Palo Alto Networks陷阱ESM
帕洛阿尔托网络陷阱是一个端点保护代理,检测和报告不寻常的事件,发生在整个组织。如果使用帕洛阿尔托网络陷阱,可以配置帕洛阿尔托ESM Console将安全事件转发给InsightIDR。帕洛阿尔托陷阱事件源允许InsightIDR解析第三方警报文档。
要设置帕洛阿尔托网络陷阱事件源,你需要:
配置Palo Alto ESM控制台
- 在ESM Console中,选择设置>ESM>syslog.,启用syslog..
- 设定Syslog服务器到InsightIdr收集器的IP地址。
- 将未使用的采集器端口配置为Syslog港口.
- 使用syslog.随着syslog协议.
- 选择任何超时或者协议.
- PALO ALTO将安全事件分类为预防,通知和检测后。当发送到InsightIdr时,这些类别分别分配了低,中或高的RAPP7严重等级。将以下类别的安全事件发送到InsightIdr:
- 预防活动
- 通知事件
- 后检波事件
- 选择要转发到InsightIdr的任何其他事件。
- 保存您的更改。
设置事件源
- 从左菜单,转到数据收集.
- 出现“数据收集”页面时,单击“数据收集”页面设置事件源下拉和选择添加事件源.
- 从“第三方提醒”部分,单击帕洛阿尔托图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,您还可以命名您的活动源。
- 如果要发送所有数据,请启用未过滤的日志选项。
- 在ESM Console界面中输入您选择的端口。
- 选择TCP作为您的协议。
- 保存您的更改。
验证配置
配置Palo Alto ESM控制台并在InsightIdr中设置新的事件源后,您需要验证数据是否已发送到InsightIdr。
- 从左菜单,转到数据收集.
- 出现“数据收集管理”页面时,单击“数据收集管理”页面活动来源标签。
- 查找要查看的Palo Alto事件源记录,然后单击查看原始日志.将出现原始日志窗口。
查看日志示例
要查看帕洛阿尔托陷阱发送的可解析日志,请进入日志搜索并选择第三方警报日志集。
帕洛阿尔托陷阱的可解析日志如下:
1<134> 1 2019-08-29T09:38:06.00Z-06:00 10.1.72.5 - - - 2019年8月29日09:38:06,陷阱代理,1.2.3.45678,威胁,通知事件,主机名-1,User1,新的通知事件。父进程:powershell.exe。儿童进程:CSC.exe。预防键:17494D16-6EE3-498C-AD97-E3839E9FD911,6,儿童过程保护,PowerShell.exe,17494D16-6E_3-498C-AD97-E3839E9FD911,12-34567,10.20.32.19 ,, 8月29日2019 09:38:01那
这个页面对你有帮助吗?