Que peut faire mon pare-feu? Rapports personnalisés!

Après avoir configuré le pare-feu, en activant les stratégies de sécurité et les profils, vous pouvez vous asseoir et vous concentrer sur d'autres tâches, en sachant que votre réseau est sécurisé. Une bonne façon de garder cette tranquillité d'esprit sans constamment vérifier les journaux et la recherche d'anomalies est d'utiliser des rapports planifiés pour vous tenir informé sur tout ce qui se passe dans votre réseau.

Jetez un oeil à la vidéo, puis suivez étape par étape pour configurer vos propres rapports personnalisés.

Plusieurs rapports pré-définis sont déjà mis en place pour votre commodité; Ces commencer à créer des données de rapport utilisable au moment où le pare-feu Palo Alto Networks est allumé et mis dans le réseau. Si certains de ces rapports ne sont pas utiles, vous pouvez les désactiver et les remplacer par des rapports personnalisés.

Lorsque vous commencez à créer un rapport personnalisé, l'un de vos premiers choix est la base de données à utiliser pour votre rapport. Vous remarquerez qu'il ya deux groupes à choisir, résumé et détaillé, chacun contenant des types similaires de journaux. 

Les bases de données récapitulatives sont des bases de données optimisées qui recueillent des données résumées des fichiers journaux toutes les 15 minutes, toutes les heures, tous les jours et toutes les semaines, ce qui permet de créer rapidement des rapports. Les journaux détaillés vous permettent d'analyser les fichiers journaux à la recherche de données très spécifiques, mais prennent plus de temps à générer.

Une différence entre la base de données d'URL récapitulative et détaillée, par exemple, est que la base de données récapitulative peut indiquer les catégories et les domaines auxquels on a accédé x nombre de fois, tandis que le journal détaillé peut signaler les URL exactes accessibles à partir d'une certaine source.  

Pour la plupart des rapports, nous recommandons d'utiliser les bases de données récapitulatives.

Après avoir sélectionné la base de données pour créer votre rapport, activez la planification et définissez une période. Un rapport non planifié peut être exécuté uniquement manuellement, mais permet des délais plus petits, tandis qu'un rapport planifié, qui génère et stocke des rapports historiquement, peut être configuré pour envoyer automatiquement un rapport quotidien, hebdomadaire ou mensuel.

Si vous souhaitez jeter un oeil à certains exemples de rapports, vous pouvez charger un modèle de rapport à partir des rapports prédéfinis, que vous pouvez ensuite personnaliser. Commencez par charger le modèle top applications: 

Les colonnes sélectionnées et la base de données sont automatiquement chargées à partir du modèle, vous devez uniquement modifier le nom et l'échéancier.

Si vous cliquez sur le bouton Exécuter maintenant, un exemple de rapport est généré.

Si vous retournez aux paramètres du rapport, vous pouvez ajouter plus de détails au rapport en ajoutant la colonne «menaces», en changeant le «Trier par» en menaces et en gouping les données par jour.

Si vous cliquez à nouveau sur le bouton Exécuter, le rapport aura un aspect complètement différent: les menaces détectées par application sont signalées, les données sont regroupées par jour et triées de la plupart des menaces au moins.

Vous pouvez également utiliser le générateur de requêtes pour régler le rapport un peu plus loin. Si vous souhaitez filtrer DNS et portmapper à partir du rapport, vous pouvez créer un filtre pour l'application non égal à DNS et portmapper.

Le rapport ne contiendra désormais plus ces applications.

Si vous allez de l'avant et cliquez sur OK et valider, le rapport sera ajouté aux travaux de rapports planifiés qui s'exécutent tous les soirs et deviennent disponibles dans la visionneuse de rapports personnalisés:

Une fois que vous avez créé quelques-uns de ces rapports, vous pouvez aller de l'avant et de les ajouter dans un groupe de rapports. 

Le groupe de rapports peut ensuite être ajouté à un planificateur de courriels afin qu'il soit automatiquement envoyé à vous et à vos collègues de travail.

Si vous n'avez pas créé un profil de serveur de messagerie avant, il devrait ressembler un peu comme ceci:

Vous pouvez envoyer un e-mail de test pour vous assurer que votre configuration fonctionne comme prévu avant de valider et d'attendre que le premier rapport apparaisse.

J’espère que vous avez trouvé cet article utile. N'hésitez pas à laisser un commentaire ci-dessous ou consultez d'autres épisodes de cette série.

Cordialement,

Tom