オートフォーカスのログデータの統合
19867
Created On 09/26/18 13:44 PM - Last Modified 07/18/19 20:12 PM
Resolution
ファイアウォールまたはエンドポイントのセキュリティログを使用して、悪意のあるアクティビティの兆候を調査しているときに、ログエントリの成果物に追加のコンテキストが必要になることがあります。このコンテキストは、オートフォーカスによって提供することができますが、この情報を取得するためには、手動でファイアウォールからアーティファクトをコピーし、オートフォーカスを検索するために使用する必要があります。このプロセスには時間がかかり、エラーが発生しやすくなります。
新しい機能を使用すると、[ファイアウォール/パノラマログモニタ] ページから、宛先 IP アドレス、URL、または脅威名など、選択したログ要素のオートフォーカスに対して、ファイアウォール/パノラマ UI でオートフォーカスからの情報を受け取るクエリを起動できます。
オートフォーカスデバイスライセンス:
- オートフォーカスデバイスのライセンスは、デバイスが機能を使用できるかどうかを判断するためにパン-OS 7.1 で導入されています。デバイス/パノラマは、updates.paloaltonetworks.com からライセンスを取得することができます
- ライセンス申請プロセスは、サイトライセンスの下にあるカスタマーサポートポータル (CSP) アカウントでオートフォーカスの「サイト」ライセンスを正しく適用したときに自動化されます。
- バックエンドのライセンスサーバーは、CSP アカウントに接続されているすべてのデバイス/パノラマのオートフォーカスデバイスライセンスを生成します。
- その後、ライセンスキーは毎日のチェックイン時にデバイスに自動的に送信されるか、ライセンスキーがライセンスサーバーから取得されます。
構成 (WebUI):
- オートフォーカスデバイスライセンスがデバイス上に存在する場合、パノラマ/デバイス > セットアップ > 管理タブには、詳細を設定するための「オートフォーカス」ペインがあります。
- 有効: この機能を有効にするには、チェック
- アドレスの URL : https://autofocus.paloaltonetworks.com:10443
- クエリタイムアウト (秒): クエリタイムアウト値を指定します。
オートフォーカスクエリ:
- 最初に表示される変更はありません--トラフィックログは、以前の PAN-OS のバージョンと同じように見えます。
- サポートされている列の右端 (トラフィックログの送信元と送信先のアドレス) にカーソルを合わせると、黒い下向きの三角形のボタンが表示されます。
- 矢印をクリックすると、オートフォーカスボタンが表示されます:
- もう一度クリックすると、オートフォーカスインテリジェンスの概要ポップアップが表示されます。
- オートフォーカス検索リンク: ファイアウォールからオートフォーカス検索を開くには、このリンクをクリックしてください。 オートフォーカス検索エディタが新しいタブで開き、ファイアウォールアーティファクトが検索条件として追加されます。あなたは同様にオートフォーカスの検索に脅威の概要に含まれている他の成果物を追加することができます。
- パッシブ dns: IP アドレス、ドメイン、および url については、アーティファクトの最新のパッシブ dns 履歴が一覧表示されます。
- マッチングタグ: オートフォーカスタグアーティファクトに一致します。
- 関連セッション: アーティファクトに関連付けられたサンプルが見つかったセッションの数。
- 山火事判決: アーティファクトを含む greyware、良性、およびマルウェアのサンプルの数。
- 最近の山火事の結果: 山火事がアーティファクトを検出した最新のサンプル。
オートフォーカスのためのサービスルート:
- オートフォーカスサービスルートを新たに導入
- デバイス > セットアップ > サービス > サービスルートの構成
- オートフォーカスのクエリは、指定されたインターフェイスから送信されます
- 管理インターフェイスは既定で設定されています
CLI
- 次の CLI コマンドは、PAN-OS 7.1 に追加されます。
# 設定 deviceconfig オートフォーカス設定
+ オートフォーカス-オートフォーカスサーバーの url url
+ 有効オートフォーカスサービスを有効にする
+ クエリタイムアウトクエリ時間 (秒単位)
<Enter>終了入力</Enter>