本文介紹了如何將 Palo Alto 網絡設備連接到 Azure Sentinel。?Palo Alto Networks 數據連接器可讓你輕松連接 Palo Alto 網絡日志和 Azure Sentinel，查看儀表板、創建自定義警報，以及改進調查。?使用 Azure 上的 Palo Alto 網絡可以更深入地了解組織的 Internet 使用情況，并增強其安全操作功能。

工作原理

需要在專用 Linux 計算機（VM 或本地）上部署代理，以支持 Palo Alto 網絡與 Azure Sentinel 之間的通信。?下圖說明了 Azure 中 Linux VM 的情況下的設置。

或者，如果你在其他云中或本地計算機中使用 VM，則會存在此設置。

安全注意事項

請確保根據組織的安全策略配置計算機的安全性。?例如，你可以將網絡配置為與你的企業網絡安全策略一致，并更改守護程序中的端口和協議以符合你的要求。?你可以使用以下說明來改善計算機安全配置：??Azure 中的安全 VM、網絡安全的最佳做法。

若要在安全解決方案和 Syslog 計算機之間使用 TLS 通信，需要將 Syslog 守護程序（rsyslog 或 syslog-ng）配置為在 TLS 中進行通信：使用 tls Rsyslog 加密 Syslog 流量，使用 tls 加密日志消息–syslog-ng。

必備組件

請確保用作代理的 Linux 計算機運行的是以下操作系統之一：

• 64 位

  • CentOS 6 和 7
  • Amazon Linux 2017.09
  • Oracle Linux 6 和 7
  • Red Hat Enterprise Linux Server 6 和 7
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
  • SUSE Linux Enterprise Server 12

• 32 位

  • CentOS 6
  • Oracle Linux 6
  • Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS 和 16.04 LTS

• 守護程序版本

  • Syslog-ng： 2.1-3.22。1
  • Rsyslog： v8

• 支持的 Syslog Rfc

  • Syslog RFC 3164
  • Syslog RFC 5424

請確保您的計算機還滿足以下要求：

• 權限
  • 您的計算機上必須具有提升的權限（sudo）。
• 軟件要求
  • 請確保在計算機上運行 Python

步驟1：部署代理

在此步驟中，需要選擇將充當 Azure Sentinel 和安全解決方案之間代理的 Linux 計算機。?你將需要在代理計算機上運行腳本：

• 安裝 Log Analytics 代理，并根據需要對其進行配置，以便通過 TCP 偵聽端口514上的 Syslog 消息，并將 CEF 消息發送到 Azure Sentinel 工作區。
• 使用端口25226將 Syslog 守護程序配置為將 CEF 消息轉發到 Log Analytics 代理。
• 設置 Syslog 代理以收集數據并將其安全地發送到 Log Analytics，并對其進行分析和擴充。

在 Azure Sentinel 門戶中，單擊 "數據連接器"，選擇 "?Palo Alto Networks?"，然后單擊 "連接器" 頁。

在 "安裝并配置 Syslog 代理" 下，選擇你的計算機類型（Azure、其他云或本地）。

?備注

因為下一步中的腳本會安裝 Log Analytics 代理，并將計算機連接到 Azure Sentinel 工作區，請確保此計算機未連接到任何其他工作區。

您的計算機上必須具有提升的權限（sudo）。?請確保使用以下命令在計算機上具有 Python：?python –version

在代理計算機上運行以下腳本。?sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

腳本運行時，請檢查以確保沒有收到任何錯誤或警告消息。

步驟2：將 Palo Alto Networks 日志轉發到 Syslog 代理

將 Palo Alto Networks 配置為通過 Syslog 代理將 Syslog 消息以 CEF 格式轉發到 Azure 工作區：

請參閱通用事件格式（CEF）配置指南，并下載適用于你的設備類型的 pdf。?按照指南中的所有說明設置 Palo Alto Networks 設備，收集 CEF 事件。

轉到 "配置 Syslog 監視"，然后執行步驟2和步驟3，將 CEF 事件從 Palo Alto 網絡設備轉發到 Azure Sentinel。

請確保將Syslog 服務器格式設置為BSD。

?備注

PDF 中的復制/粘貼操作可能會更改文本并插入隨機字符。?若要避免這種情況，請將文本復制到編輯器，并在粘貼之前刪除可能會破壞日志格式的任何字符，如本示例中所示。

若要在 Palo Alto Networks 事件的 Log Analytics 中使用相關架構，請搜索CommonSecurityLog。

步驟3：驗證連接性

打開 Log Analytics，確保使用 CommonSecurityLog 架構接收日志。
可能需要長達20分鐘的時間，日志才會開始出現在 Log Analytics 中。

在運行該腳本之前，我們建議您從安全解決方案發送消息，以確保將這些消息轉發到您配置的 Syslog 代理計算機。

您的計算機上必須具有提升的權限（sudo）。?請確保使用以下命令在計算機上具有 Python：?python –version

運行以下腳本，檢查代理、Azure Sentinel 和安全解決方案之間的連接。?它會檢查是否正確配置了守護程序轉發，偵聽了正確的端口，并且沒有阻止守護程序與 Log Analytics 代理之間的通信。?該腳本還會發送模擬消息 "TestCommonEventFormat" 來檢查端到端連接。?
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

后續步驟

本文檔介紹了如何將 Palo Alto 網絡設備連接到 Azure Sentinel。?要詳細了解 Azure Sentinel，請參閱以下文章：

• 了解如何了解你的數據以及潛在的威脅。
• 開始通過 Azure Sentinel 檢測威脅。

總結

以上是生活随笔為你收集整理的将 Palo Alto Networks 连接到 Azure Sentinel的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。