Was kann meine Firewall noch tun? Kundenspezifische Berichte!

Nach der Konfiguration der Firewall, die Sicherheitsrichtlinien und-Profile ermöglicht, können Sie sich zurücklehnen und sich auf andere Aufgaben konzentrieren, da Sie wissen, dass Ihr Netzwerk sicher ist. Ein guter Weg, um diese Ruhe zu bewahren, ohne ständig Protokolle zu überprüfen und nach Anomalien zu suchen, ist, geplante Berichte zu verwenden, um Sie über alles zu informieren, was in Ihrem Netzwerk passiert.

Werfen Sie einen Blick auf das Video, dann folgen Sie Schritt für Schritt, um Ihre eigenen benutzerdefinierten Berichte zu konfigurieren.

Mehrere vordefinierte Berichte sind bereits für Ihre Bequemlichkeit eingerichtet; Diese beginnen mit der Erstellung brauchbarer Berichtsdaten, sobald die Palo Alto Networks Firewall eingeschaltet und ins Netz gestellt wird. Falls einige dieser Berichte nicht nützlich sind, können Sie diese durch kundenspezifische Berichte deaktivieren und ersetzen.

Wenn Sie mit der Erstellung eines eigenen Berichts beginnen, ist eine ihrer ersten Möglichkeiten, welche Datenbank für Ihren Bericht verwendet werden soll. Sie werden feststellen, dass es zwei Gruppen zur Auswahl gibt, Zusammenfassung und detailliert, die jeweils ähnliche Arten von Protokollen enthalten. 

Die zusammenfassenden Datenbanken sind optimierte Datenbanken, die alle 15 Minuten, jede Stunde, jeden Tag und jede Woche zusammengefasste Daten aus den Log-Dateien sammeln, so dass schnell Berichte erstellt werden können. Die detaillierten Protokolle ermöglichen es Ihnen, die Log-Dateien auf der Suche nach sehr spezifischen Daten zu kriechen, aber länger dauern, um zu generieren.

Ein Unterschied zwischen der Zusammenfassung und der detaillierten URL-Datenbank ist zum Beispiel, dass die zusammenfassende Datenbank Berichten kann, welche Kategorien und Domains x-Mal aufgerufen wurden , während das detaillierte Protokoll genaue URLs melden kann, auf die von einer bestimmten Quelle zugegriffen wird.  

Für die meisten Berichte empfehlen wir, die zusammenfassenden Datenbanken zu nutzen.

Nach der Auswahl der Datenbank, um Ihren Bericht zu erstellen, aktivieren Sie den Zeitplan und setzen Sie einen Zeitrahmen. Ein ungeplanter Bericht kann nur manuell ausgeführt werden, erlaubt aber kleinere Zeitrahmen, während ein geplanter Bericht, der historisch Berichte generiert und speichert, so konfiguriert werden kann, dass er automatisch einen Tages-, Wochen-oder Monatsbericht per e-Mail meldet.

Wenn Sie einen Blick auf einige Beispiel Berichte werfen möchten, können Sie eine Berichtsvorlage aus den vordefinierten Berichten laden, die Sie dann anpassen können. Beginnen Sie mit dem Laden der Top-Anwendungs Vorlage: 

Die ausgewählten Spalten und die Datenbank werden automatisch aus der Vorlage geladen, Sie müssen nur den Namen und den Zeitrahmen ändern.

Klickt man auf den Run Now-Button, wird ein Beispiel Bericht erstellt.

Wenn Sie zu den Berichts Einstellungen zurückkehren, können Sie dem Bericht weitere Details hinzufügen, indem Sie die Spalte "Bedrohungen" hinzufügen, die "Art by" in Bedrohungen ändern und die Daten tagsüber goutieren.

Klickt man erneut auf den Knopf Run now, hat der Bericht ein ganz anderes Aussehen: die erkannten Bedrohungen pro Anwendung werden gemeldet, die Daten werden pro Tag gruppiert und von den meisten Bedrohungen bis zum geringsten sortiert.

Sie können auch den Abfrage-Builder verwenden, um den Bericht ein wenig weiter zu stimmen. Wenn Sie DNS und Portmapper aus dem Bericht herausfiltern wollen, können Sie einen Filter für die Anwendung erstellen, der nicht DNS und Portmapper entspricht.

Der Bericht wird diese Anträge nun nicht mehr enthalten.

Wenn Sie weitermachen und auf OK und Commit klicken, wird der Bericht zu den geplanten Reports-Jobs hinzugefügt, die jede Nacht laufen und in den Custom Reports Viewer verfügbar werden:

Nachdem Sie einige dieser Berichte erstellt haben, können Sie Sie in eine Berichts Gruppe aufnehmen. 

Die Berichts Gruppe kann dann zu einem e-Mail-Scheduler hinzugefügt werden, so dass Sie automatisch an Sie und Ihre Mitarbeiter verschickt wird.

Wenn Sie vorher noch kein e-Mail-Server-Profil erstellt haben, sollte es ähnlich aussehen:

Sie können eine Test-e-Mail senden, um sicherzustellen, dass Ihre Konfiguration wie erwartet funktioniert, bevor Sie sich verpflichten und darauf warten, dass der erste Bericht erscheint.

Ich hoffe, Sie fanden diesen Artikel nützlich. Lassen Sie sich einen Kommentar unten hinterlassen oder schauen Sie sich andere Episoden dieser Serie an .

Viele Grüße,

Tom