Palo Alto Networks陷阱ESM

帕洛阿尔托网络陷阱是一个端点保护代理,检测和报告不寻常的事件,发生在整个组织。如果使用帕洛阿尔托网络陷阱,可以配置帕洛阿尔托ESM Console将安全事件转发给InsightIDR。帕洛阿尔托陷阱事件源允许InsightIDR解析第三方警报文档。

要设置帕洛阿尔托网络陷阱事件源,你需要:

  1. 配置Palo Alto ESM控制台
  2. 在InsightIdr中设置事件源
  3. 验证配置工作

配置Palo Alto ESM控制台

  1. 在ESM Console中,选择设置>ESM>syslog.,启用syslog.
  2. 设定Syslog服务器到InsightIdr收集器的IP地址。
  3. 将未使用的采集器端口配置为Syslog港口
  4. 使用syslog.随着syslog协议
  5. 选择任何超时或者协议
  6. PALO ALTO将安全事件分类为预防,通知和检测后。当发送到InsightIdr时,这些类别分别分配了低,中或高的RAPP7严重等级。将以下类别的安全事件发送到InsightIdr:
    • 预防活动
    • 通知事件
    • 后检波事件
  7. 选择要转发到InsightIdr的任何其他事件。
  8. 保存您的更改。

设置事件源

  1. 从左菜单,转到数据收集
  2. 出现“数据收集”页面时,单击“数据收集”页面设置事件源下拉和选择添加事件源
  3. 从“第三方提醒”部分,单击帕洛阿尔托图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,您还可以命名您的活动源。
  5. 如果要发送所有数据,请启用未过滤的日志选项。
  6. 在ESM Console界面中输入您选择的端口。
  7. 选择TCP作为您的协议。
  8. 保存您的更改。

验证配置

配置Palo Alto ESM控制台并在InsightIdr中设置新的事件源后,您需要验证数据是否已发送到InsightIdr。

  1. 从左菜单,转到数据收集
  2. 出现“数据收集管理”页面时,单击“数据收集管理”页面活动来源标签。
  3. 查找要查看的Palo Alto事件源记录,然后单击查看原始日志.将出现原始日志窗口。

查看日志示例

要查看帕洛阿尔托陷阱发送的可解析日志,请进入日志搜索并选择第三方警报日志集。

帕洛阿尔托陷阱的可解析日志如下:

         

          

           
          

         

          

           

            1

           <134> 1 2019-08-29T09:38:06.00Z-06:00 10.1.72.5  -   -   -  2019年8月29日09:38:06,陷阱代理,1.2.3.45678,威胁,通知事件,主机名-1,User1,新的通知事件。父进程:powershell.exe。儿童进程:CSC.exe。预防键:17494D16-6EE3-498C-AD97-E3839E9FD911,6,儿童过程保护,PowerShell.exe,17494D16-6E_3-498C-AD97-E3839E9FD911,12-34567,10.20.32.19 ,, 8月29日2019 09:38:01那