¿Qué más puede hacer mi Firewall? Informes personalizados!

Después de configurar el cortafuegos, habilitar directivas y perfiles de seguridad, puede sentarse y centrarse en otras tareas, sabiendo que su red es segura. Una buena manera de mantener esa paz mental sin comprobar constantemente los registros y buscar anomalías es utilizar informes programados para mantenerlo informado sobre todo lo que sucede en su red.

Eche un vistazo al vídeo y, a continuación, siga paso a paso para configurar sus propios informes personalizados.

Varios informes pre-definidos ya están configurados para su conveniencia; estos empiezan a crear datos de informes utilizables en el momento en que el cortafuegos de Palo Alto Networks está encendido y puesto en la red. En caso de que algunos de estos informes no sean útiles, puede deshabilitarlos y reemplazarlos por informes personalizados.

Cuando se inicia la creación de un informe personalizado, una de las primeras opciones es qué base de datos se va a utilizar para el informe. Te darás cuenta de que hay dos grupos para elegir, Resumen y detallado, cada uno que contiene tipos similares de registros. 

Las bases de datos resumidas son bases de dato optimizadas que recogen información resumida de los archivos de registro cada 15 minutos, cada hora, cada día y cada semana, permitiendo que los informes se creen rápidamente. Los registros detallados le permiten arrastrar los archivos de registro en busca de datos muy específicos, pero tardan más en generarse.

Una diferencia entre la base de datos de URL resumida y detallada, por ejemplo, es que la base de datos de resumen puede informar a qué categorías y dominios se ha accedido x número de veces, mientras que el registro detallado puede informar de las direcciones URL exactas a las que se tiene acceso desde una fuente determinada.  

Para la mayoría de los informes, se recomienda utilizar las bases de datos de resumen.

Después de seleccionar la base de datos para crear el informe, habilite la programación y establezca un plazo. Un informe no programado sólo se puede ejecutar manualmente, pero permite menores plazos, mientras que un informe programado, que genera y almacena los informes históricamente, puede configurarse para enviar automáticamente un informe diario, semanal o mensual.

Si desea echar un vistazo a algunos informes de ejemplo, puede cargar una plantilla de informe desde los informes predefinidos, que puede personalizar. Comience cargando la plantilla de aplicaciones superiores: 

Las columnas y la base de datos seleccionadas se cargan automáticamente desde la plantilla, sólo es necesario cambiar el nombre y el marco de tiempo.

Si hace clic en el botón ejecutar ahora, se generará un informe de ejemplo.

Si vuelve a la configuración del informe, puede agregar más detalles al informe agregando la columna ' amenazas ', cambiando el ' ordenar por ' a las amenazas y gouping los datos por día.

Si hace clic en el botón ejecutar ahora de nuevo, el informe tendrá un aspecto completamente diferente: las amenazas detectadas por aplicación se notifican, los datos se agrupan por día y se ordenan desde la mayoría de las amenazas a menos.

También puede utilizar el generador de consultas para afinar el informe un poco más. Si desea filtrar DNS y portmapper del informe, puede crear un filtro para la aplicación que no sea igual a DNS y portmapper.

El informe ya no contendrá estas aplicaciones.

Si sigue adelante y hace clic en aceptar y confirmar, el informe se agregará a los trabajos de informes programados que se ejecutan todas las noches y están disponibles en el visor de informes personalizados:

Después de crear algunos de estos informes, puede seguir adelante y agregarlos a un grupo de informes. 

El grupo de informes se puede Agregar a un programador de correo electrónico para que se le envíe automáticamente por correo a usted y a sus compañeros de trabajo.

Si no ha creado un perfil de servidor de correo electrónico antes, debería verse algo como esto:

Puede enviar un correo electrónico de prueba para asegurarse de que su configuración funciona como se esperaba antes de comprometerse y esperar a que aparezca el primer informe.

Espero que usted encontró este artículo útil. No dude en dejar un comentario a continuación o ver otros episodios de esta serie.

Saludos,

Tom