Palo Alto Networks PA シリーズ

パロアルトPA DSMの仕様

次の表は、Palo Alto PA シリーズ DSM の仕様を示しています。

表1: Palo Alto PAシリーズ向けDSM仕様

仕様	値
メーカー	パロアルトネットワークス
DSM名	パロアルトPAシリーズ
RPM ファイル名	DSM-PaloAltoPaSeries-JSA_version-build_number.noarch.rpm
イベント形式	PAN-OS v3.0~v9.1、プリズマアクセスv2.1用 LEEF PAN-OS v4.0 から v6.1 への CEF。(CEF:0対応)
JSA 記録ログ タイプ	トラフィック 脅威 設定 システム HIP マッチ データ 野火 認証 トンネルインスペクション 相関 URL フィルタリング ユーザーID Sctp ファイル データ Gtp HIP マッチ IPタグ グローバル保護 - メモ： このログ タイプを使用するには、Palo Alto で EventStatus フィールドを有効にする必要があります。 復 号 化
自動的に検出されましたか?	はい
アイデンティティが含まれますか?	はい
カスタム プロパティを含む	いいえ
詳細	パロアルトネットワークスの Web サイト

Palo Alto PA シリーズ デバイスで Syslog の宛先を作成する

Palo Alto PA シリーズ イベントを JSA に送信するには、Palo Alto PA シリーズ デバイスで Syslog の宛先(Syslog または LEEF イベント形式)を作成します。

メモ：

Palo Alto はすべての Syslog デバイスに 1 つのフォーマットしか送信できません。Syslog 形式を変更することで、Syslog を必要とする他のデバイスも同じ形式をサポートする必要があります。

1. Palo Alto Networks インターフェイスにログインします。

2. [ デバイス ] タブで、[ サーバー プロファイル] > Syslog] をクリックし、[追加] をクリックします。

3. 以下の手順で Syslog の宛先を作成します。

   1. Syslog サーバー プロファイル ダイアログ ボックスで、追加をクリックします。

   2. syslog サーバーとして使用する JSA システムの名前、サーバー IP アドレス、ポート、およびファシリティを指定します。

   3. Syslog を使用している場合は、すべてのログ タイプの カスタム形式 列を [デフォルト] に設定します。

4. 次の手順で LEEF イベントを設定します。

   メモ：

   書式設定の問題が発生するため、テキストをテキストエディタにコピーし、キャリッジリターンまたは改行文字を削除して、適切なフィールドに貼り付けます。

   1. Syslog サーバー プロファイル ダイアログの [構成ログ形式] タブをクリックします。

   2. [Config]をクリックし、以下のテキストをコピーして、[Config Log Format](設定ログ形式)列に貼り付けます。

      • PAN-OS v3.0 - v6.1--

      • PAN-OS v7.1 - v9.1--

   3. [システム] をクリックし、使用しているバージョンに適用される次のテキストのいずれかをコピーして、システム ログ タイプの [システム ログ形式] フィールドに貼り付けます。バージョンが表示されない場合は、この手順を省略します。

      • PAN-OS v3.0 - v6.1--

      • PAN-OS v7.1 - v9.1--

   4. [脅威] をクリックし、使用しているバージョンに適用される次のテキストのいずれかをコピーし、[脅威ログ タイプ] にファイルされた脅威ログ形式に貼り付けます。バージョンが表示されない場合は、この手順を省略します。

      • PAN-OS v3.0 - v6.1--

      • PAN-OS v7.1--

      • PAN-OS v8.0 - 9.1--

   5. [トラフィック] をクリックし、使用しているバージョンに適用される以下のテキストのいずれかをコピーし、[トラフィック ログ形式] フィールドにトラフィック ログ タイプに貼り付けます。バージョンが表示されない場合は、この手順を省略します。

      • PAN-OS v3.0 - v6.1--

      • PAN-OS v7.1--

      • PAN-OS v8.0 - 9.1--

   6. PAN-OS 3.0 ~ 6.1 以外のバージョンを使用している場合は、HIP 一致をクリックし、使用しているバージョンに適用される次のテキストのいずれかをコピーして、HIP 一致ログ タイプの HIP 一致ログ形式フィールドに貼り付けます。

      • PAN-OS v7.1--

      • PAN-OS v8.0 - 9.1--

   7. PAN-OS 8.0-9.1を使用している場合は、以下のテキストをコピーして、URLフィルタリングログタイプのカスタムフォーマット列に貼り付けます。

      PAN-OS v8.0 - 9.1-

   8. PAN-OS 8.0-9.1を使用している場合は、以下のテキストをコピーして、データログタイプのカスタムフォーマット列に貼り付けます。

      PAN-OS v8.0 - 9.1--

   9. PAN-OS 8.0~ 9.1 を使用している場合は、以下のテキストをコピーして、野火のログ タイプのカスタム形式列に貼り付けます。

      PAN-OS v8.0 - 9.1--

   10. PAN-OS 8.0- 9.1を使用している場合は、以下のテキストをコピーして、認証ログタイプのカスタムフォーマット列に貼り付けます。

       PAN-OS v8.0 - 9.1--

   11. PAN-OS 8.0-9.1を使用している場合は、以下のテキストをコピーして、ユーザーIDログタイプのカスタムフォーマット列に貼り付けます。

       PAN-OS v8.0 - 9.1--

   12. PAN-OS 8.0- 9.1を使用している場合は、以下のテキストをコピーして、トンネルインスペクションログタイプのカスタムフォーマット列に貼り付けます。

       PAN-OS v8.0 - 9.1--

   13. PAN-OS 8.0- 9.1を使用している場合は、以下のテキストをコピーして、相関ログタイプのカスタムフォーマット列に貼り付けます。

       PAN-OS v8.0 - 9.1--

   14. PAN-OS 8.1 - 9.1を使用している場合は、以下のテキストをコピーして、SCTPログタイプのカスタムフォーマット列に貼り付けます。

       PAN-OS v8.1 - 9.1

   15. PAN-OS 9.xを使用している場合は、以下のテキストをコピーして、IPTagログタイプのカスタムフォーマット列に貼り付けます。

5. [ OK] をクリックします。

6. Syslogメッセージに含まれるイベントの重大度を指定するには、 ログ設定をクリックします。

   1. Syslog メッセージに含める重大度ごとに、[重大度] をクリックし、[Syslog] メニューから Syslog の宛先を選択します。

   2. [OK] をクリックします。

7. [ コミット] をクリックします。

Palo Alto Networks デバイスと JSA 間の通信を許可するには、転送ポリシーを作成します。 Palo Alto PA シリーズ デバイスでの転送ポリシーの作成を参照してください。

JSA への転送 Palo Alto Cortex Data Lake(次世代ファイアウォール)LEEF イベント

Palo Alto Cortex Data Lake イベントを JSA に送信するには、JSA に TLS Syslog ログ ソースを追加し、Syslog サーバーにログを転送するように Cortex Data Lake を構成する必要があります。

1. TLS Syslog プロトコルを使用して JSA にログ ソースを追加します。詳細については、 Palo Alto PA シリーズの TLS Syslog ログ ソース パラメーターを参照してください。

2. コーテックス・データ・レイクからJSAにログを転送します。詳細については、 Palo Alto のマニュアルを参照してください。

メモ：

• コーテックス・データ・レイクからログを転送する際、LEEFのログ形式を選択します。

• Palo Alto の cat フィールドと EventStatus フィールドを有効にする必要があります。 EventStatus フィールドは、JSA の グローバル保護 イベントを解析するために必要です。

Palo Alto PA シリーズ デバイスでの転送ポリシーの作成

JSA コンソールまたは イベント コレクター が Palo Alto PA シリーズ デバイスとは異なるセキュリティ ゾーンにある場合は、転送ポリシー ルールを作成します。

1. Palo Alto Networks にログインします。

2. ダッシュボードで、[ポリシー] タブ を クリックします。

3. [ ポリシー] > [ポリシー ベースの転送] をクリックします。

4. [ 追加] をクリックします。

5. パラメーターを設定します。ポリシーベースの転送値の説明については、 Palo Alto Networks Administrator's Guide を参照してください。

Palo Alto PA シリーズ ネットワーク ファイアウォール デバイスでの ArcSight CEF フォーマット Syslog イベントの作成

Palo Alto Networks ファイアウォールを設定して、ArcSight CEF フォーマットの Syslog イベントを JSA に送信します。

1. Palo Alto Networks インターフェイスにログインします。

2. [ デバイス ] タブをクリックします。

3. [ サーバー プロファイル >Syslog] を選択し、 [ 追加] をクリックします。

4. [ サーバー ] タブで、[ 追加] をクリックします。

5. Syslog サーバーとして使用する JSA システムの名前、サーバー IP アドレス、ポート、およびファシリティを指定します。

   1. 名前はSyslogサーバー名です。

   2. Syslog サーバーは、Syslog サーバーの IP アドレスです。

   3. トランスポート/ポートのデフォルトは514です。

   4. 教員のデフォルトはLOG_USERです。

6. そのログ タイプに対する ArcSight CEF に基づいて、カスタム形式を定義する一覧表示されているログ タイプのいずれかを選択するには、次の手順を実行します。

   1. [カスタム ログ形式] タブをクリックし、表示されているログ タイプのいずれかを選択して、そのログ タイプの ArcSight CEF に基づいてカスタム形式を定義します。リストされているログ タイプは、構成、システム、脅威、トラフィック、HIP 一致です。

   2. [OK] を 2 回クリックしてエントリを保存し、[コミット] をクリックします。

7. ArcSight のドキュメント『 Implementing ArcSight CEF』で提供されるイベント マッピング テーブルを使用する独自の CEF スタイル形式を定義するには、CEF スタイル形式の定義に関する以下の情報を使用できます。

   [カスタム ログ形式] タブは、CEF で特殊文字として定義されている文字をエスケープすることをサポートしています。たとえば、バックスラッシュを使用してバックスラッシュと等しい文字をエスケープするには、 [エスケープ] チェックボックスをオンにして、エスケープ文字と\asエスケープ文字を指定\=asします。

   以下のリストは、各ログ タイプの認定プロセスで使用された CEF スタイルの形式を示しています。これらのカスタムフォーマットには、Syslogのデフォルトフォーマットに表示されるのと同様の順序ですべてのフィールドが含まれています。

   メモ：

   PDF フォーマットのため、メッセージ形式を PAN-OS Web インターフェイスに直接コピーアンドペーストしないでください。代わりに、テキストエディタに貼り付け、キャリッジリターンまたは改行文字を削除し、Webインターフェイスにコピーアンドペーストします。

   • トラフィック--

   • 脅威-

   • 構成-

   • • オプション:--

   • システム--

   • HIP マッチ-

Syslog設定の詳細については、 Palo Alto Networks Web サイトの PAN-OS 管理者ガイド(https://www.paloaltonetworks.com)を参照してください。

Palo Alto PA シリーズの TLS Syslog ログ ソース パラメーター

JSA がログ ソースを自動的に検出しない場合は、TLS Syslog プロトコルを使用して JSA コンソールに Palo Alto PA シリーズのログ ソースを追加します。

TLS Syslog プロトコルを使用する場合、構成する必要がある特定のパラメーターがあります。

次の表では、Palo Alto PA シリーズから TLS Syslog イベントを収集するために特定の値を必要とするパラメーターについて説明します。

表 2:Palo Alto PA シリーズ DSM の TLS Syslog ログ ソース パラメーター

パラメーター	値
ログ ソース タイプ	パロアルトPAシリーズ
プロトコル設定	TLS Syslog
ログ ソース識別子	ログの送信元を識別するための IP アドレスまたはホスト名。

TLS Syslogプロトコルパラメーターとその値の完全なリストについては、 TLS Syslogプロトコル設定オプションを参照してください。

Palo Alto PA シリーズサンプル イベント メッセージ

JSA との統合が成功したことを確認する方法として、これらのサンプル イベント メッセージを使用します。

メモ：

書式設定の問題により、メッセージ形式をテキスト エディタに貼り付け、キャリッジ リターンまたは改行文字を削除します。

Syslogプロトコルを使用した場合のパロアルトPAシリーズのサンプルメッセージ

サンプル 1: 以下のサンプル イベント メッセージは、トロイの木馬脅威イベントに対する PAN-OS イベントを示しています。

表 3:サンプル イベントのハイライトされたフィールド

JSAフィールド名	ハイライトされたペイロード フィールド
イベント ID	イベント ID 値は268198686。 メモ： 通常 LEEF ヘッダーのイベント ID フィールドが使用されます。ただし、特定のイベント タイプでは、LEEF フィールドや サブタイプなどのカスタム フィールドや アクション を使用して一意のイベント ID を形成することがあります。
カテゴリ	PA シリーズの脅威 メモ： cat フィールドの値は、イベントのカテゴリーとして直接使用されません。このフィールドの値は、事前定義されたカテゴリー値のセットを決定するために使用されます。特定のイベントタイプでは、LEEFフィールドまたはカスタムフィールドを使用して固有のイベントカテゴリーを形成できます。
デバイスの時刻	DevTime
ソース IP	Src
宛先 IP	Dst
送信元ポート	srcPort
宛先ポート	dstPort
NAT 後ソース IP	srcPostNAT
NAT 後の宛先 IP	dstPostNAT
NAT Soure ポートのポスト	srcPostNATPort
NAT 後の宛先ポート	dstPostNATPort
プロトコル	プロト

サンプル 2: 次のイベント メッセージの例は、ポリシーによってセッションが許可されている Prisma イベントを示しています。

表 4:サンプル イベントのハイライトされたフィールド

JSAフィールド名	ハイライトされたペイロード フィールド
イベント ID	イベント ID 値は許可されます。
イベントカテゴリー	PA シリーズ トラフィック メモ： cat フィールドの値は、イベントのカテゴリーとして直接使用されません。このフィールドの値は、事前定義されたカテゴリー値のセットを決定するために使用されます。特定のイベントタイプでは、LEEFフィールドまたはカスタムフィールドを使用して固有のイベントカテゴリーを形成できます。
デバイスの時刻	DevTime
ソース IP	Src
宛先 IP	Dst
送信元ポート	srcPort
宛先ポート	dstPort
NAT 後ソース IP	srcPostNAT
NAT 後の宛先 IP	dstPostNAT
NAT Soure ポートのポスト	シニア
NAT 後の宛先ポート	dstPostNATPort
プロトコル	プロト

TLS Syslog プロトコルを使用した場合の Palo Alto PA シリーズのサンプル メッセージ

次のサンプル イベント メッセージは、バージョン 10.1 の次世代ファイアウォール イベントを示しています。

表 5:サンプル イベントのハイライトされたフィールド

JSAフィールド名	ハイライトされたペイロード フィールド
イベント ID	drop-all(LEEF header Event IDフィールド) メモ： 通常 LEEF ヘッダーの イベント ID フィールドが使用されます。ただし、特定のイベント タイプでは、LEEF フィールドや サブタイプなどのカスタム フィールドや アクション を使用して一意のイベント ID を形成することがあります。
カテゴリ	PA シリーズ GTP メモ： cat フィールドの値は、イベントのカテゴリーとして直接使用されません。このフィールドの値は、事前定義されたカテゴリー値のセットを決定するために使用されます。特定のイベントタイプでは、LEEFフィールドまたはカスタムフィールドを使用して固有のイベントカテゴリーを形成できます。
デバイスの時刻	DevTime
ソース IPv6	Src
宛先 IPv6	Dst
送信元ポート	SrcPort
宛先ポート	dstPort
NAT 後ソース IP	srcPostNAT
NAT 後の宛先 IP	dstPostNAT
NAT Soure ポートのポスト	srcPostNATPort
NAT 後の宛先ポート	dstPostNATPort
プロトコル	Tcp
名	usrName メモ： ユーザー名にその値の一部としてドメインが含まれている場合、ドメイン部分は削除され、実際のユーザー名部分のみが使用されます。