コンテンツにスキップ

Palo Alto Firewall インテグレーションガイド🔗

以下は、Palo Alto Firewall または Panorama を設定し、システム、構成(監査ログ)、トラフィック、およびセキュリティイベントを Secureworks® Taegis™ XDR に送信するためのガイドです。

導入要件🔗

ソース 宛先 ポート/プロトコル
Palo Alto Firewall または Panorama Taegis™ XDR Collector IP UDP/514

注意

本ドキュメントの命名規則は参考例であり、必須ではありません。スクリーンショットに含まれる名称は、提案された命名規則と異なる場合があります。

注意

一部の手順を保存するには、Palo Alto の設定インターフェースで Commit ボタンを使用する必要があります。Palo Alto の使用方法については Palo Alto Documentation を参照してください。

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Palo Alto Firewall Auth, HTTP, Netflow NIDS

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Palo Alto Firewall v8.0 - v9.x - v10.0 設定🔗

重要

セキュリティルールがデフォルトプロファイルで設定されている場合は、既存のプロファイルをクローンし、各ルールを新しいクローンプロファイルに変更する必要があります。

 

Palo Alto Firewall から XDR のみへログを送信する🔗

Syslog サーバープロファイル🔗

Syslog サーバープロファイル は、PAN デバイスのさまざまな設定セクションで、特定の syslog サーバーへログを転送するために使用されます。

  1. Device タブから、左側のツリーメニューで Server Profiles → Syslog を選択します。Syslog サーバープロファイルダイアログが表示されます。

  2. プロファイル名を TDR-COLLECTOR とします。

  3. サーバーエントリ名を TDR-SYSLOG とし、XDR Collector の IP アドレスを指定します。

  4. FacilityLOG_LOCAL1 を選択します。

    Syslog Server

ログ設定🔗

Log Settings セクションは、Log Forwarding プロファイル で処理されないログを扱います。Log Settings セクションは SystemConfigurationUser-IDHIP MatchIP-Tag (9.0+)GlobalProtect (9.1+)Correlation (9.1+) ログを処理します。Log Forwarding ProfileAuthDataThreatTrafficTunnelURLWildfire ログを処理します。

Firewall で、すべてのタイプが見えるまでスクロールしてください。

Firewall Log Settings

注意

新しいバージョンでは追加のログタイプがある場合があるため、すべてを設定していることを確認してください。

Palo Alto Firewall から XDR へシステム(診断)ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. System の下で Add を選択します。Log Settings - System ダイアログが表示されます。
  3. 名前を TDR-SYS と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending System Logs

Palo Alto Firewall から XDR へ構成(監査ログ)ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. Configuration の下で Add を選択します。Log Settings - Configuration ダイアログが表示されます。
  3. 名前を TDR-CONF と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending Config Logs

Palo Alto Firewall から XDR へ User-ID ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. User-ID の下で Add を選択します。Log Settings - User-ID ダイアログが表示されます。
  3. 名前を TDR-ID と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending User-ID Logs

Palo Alto Firewall から XDR へ HIP-Match ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. HIP-Match の下で Add を選択します。Log Settings - HIP-Match ダイアログが表示されます。
  3. 名前を TDR-HIP と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending HIP-Match Logs

Palo Alto Firewall から XDR へ IP-Tag ログを送信する(9.0+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. IP-Tag の下で Add を選択します。Log Settings - IP-Tag ダイアログが表示されます。
  3. 名前を TDR-IPTAG と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending IP-Tag Logs

Palo Alto Firewall から XDR へ GlobalProtect ログを送信する(9.1+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. GlobalProtect の下で Add を選択します。Log Settings - GlobalProtect ダイアログが表示されます。
  3. 名前を TDR-GP と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending GlobalProtect Logs

Palo Alto Firewall から XDR へ Correlation ログを送信する(9.1+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. Correlation の下で Add を選択します。Log Settings - Correlation ダイアログが表示されます。
  3. 名前を TDR-CORR と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending Correlation Logs

Log Forwarding プロファイル🔗

Log Forwarding Profile セクションは、Log Settings セクションで処理されないセッションログを扱います。Log Forwarding ProfileAuthDataThreatTrafficTunnelURLWildfire ログを処理します。Log Settings セクションは SystemConfigurationUser-IDHIP MatchIP-Tag (9.0+)GlobalProtect (9.1+)Correlation (9.1+) ログを処理します。

Palo Alto Firewall で XDR 用の Log Forwarding プロファイルを作成する🔗
  1. Objects タブから、左側のツリーメニューで Log Forwarding を選択します。
  2. メインパネルで Add を選択します。
  3. Log Forwarding Profile ダイアログが表示されます。
  4. 名前に TDR-FORWARDING を入力します。

  5. 以下を追加・命名します:

    • TDR-LOGFW-THREATthreat ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-WFwildfire ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-DATAdata ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-AUTHauth ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-URLurl ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-TRAFtraffic ログタイプ、Syslog に TDR-COLLECTOR

    Log Forwarding

Palo Alto Firewall で Log Forwarding プロファイルをポリシールールおよびネットワークゾーンに割り当てる🔗
  1. Policies > Security を選択し、ルールを編集します。
  2. Actions を選択し、作成した Log Forwarding プロファイルを選択します。
  3. Profile TypeProfiles または Group に設定し、ログ生成および転送をトリガーするために必要な セキュリティプロファイル または Group Profile を選択します:
    • Threat logs — トラフィックがルールに割り当てられた任意のセキュリティプロファイルに一致する必要があります。
    • Wildfire Submission logs — トラフィックがルールに割り当てられた WildFire Analysis プロファイル に一致する必要があります。
  4. トラフィックログについては、Log At Session Start および/または Log At Session End を選択します。
  5. OK をクリックしてルールを保存します。

Panorama v8.0 - v9.0 - v9.1 設定🔗

Panorama は、サードパーティの syslog サーバーへ直接ログを転送できます。Panorama には以下のモードがあります:

  • Panorama モード:管理コンソールと統合ログコレクターの両方として動作します。
  • Management Only モード:他の外部 Panorama が独立したログコレクターとして動作することを前提とします。
  • Log Collector モード:主にログの受信のみを行い、Web GUI はなく、Panorama Management モードで管理されます。
  • レガシーモード:VMware のみサポートされ、ログコレクターの概念はありません。すべてのログ転送は Log Settings セクションで行われます。このモードは最もスケーラビリティが低い展開モードです。

展開モードは Dashboard タブの General Information ウィジェットで確認できます。

Panorama Deployment Mode

XDR Syslog サーバープロファイル🔗

  1. Panorama タブから、左側のツリーメニューで Server Profiles > Syslog を選択します。
  2. メインパネルで Add を選択します。
  3. Syslog サーバープロファイルダイアログが表示されます。
  4. 新しいプロファイル名を TDR-COLLECTOR-PNR とします。
  5. Add を選択し、サーバープロファイル名を TDR-SYSLOG、XDR Collector の IP アドレスを割り当てます。

  6. FacilityLOG_LOCAL1 を追加します。

    Panorama VM Syslog Server Profile

レガシーモード(VM)Panorama(Log Collector なし)から XDR へログを送信する🔗

重要

このセクションは、より複雑な設定が必要な M-100 以上のハードウェアモデルには該当しません。このモードは一般的な運用方法ではありません。

 

注意

Panorama とファイアウォールの両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

ログ設定の構成🔗

  1. Panorama タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルで、以下の各ログタイプごとにエントリを Add し、前述の TDR-COLLECTOR-PNR を syslog として設定します:

    • TDR-SYSSystem ログ
    • TDR-CONFConfig ログ
    • TDR-IDUserID ログ
    • TDR-THREATThreat ログ(スパイウェア/脆弱性)
    • TDR-URLURL ログ(Web フィルタリング)
    • TDR-DATADATA ログ(DLP)
    • TDR-TRAFFICTraffic ログ(セッショントラフィックログ)
    • TDR-WFWildfire ログ
    • TDR-TUNTunnel ログ(VPN)
    • TDR-AUTH認証 ログ
    • TDR-CORRCorrelation ログ

    Panorama VM Log Settings

    注意

    新しいバージョンでは追加のログタイプがある場合があるため、すべてを設定していることを確認してください。

Panorama(VM または M)から XDR へ Managed Collectors でログを送信する🔗

Panorama M ハードウェアモデルおよび Managed Collectors を持つ VM(Mgmt Only/Panorama モード)🔗

重要

分散ログ収集の場合、Panorama のデバイスログ転送設定は Log Settings ではなく、Collector Groups → Collector Log Forwarding で行います。

 

注意

Panorama とファイアウォールの両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

以下は分散ログ収集アーキテクチャの簡易図です。

Panorama Managed Collectors

ログ設定の構成 - Log Collector Group🔗

  1. Panorama タブから、左側のツリーメニューで Collector Groups を選択します。
  2. 監視対象の既存のコレクターグループを編集します。Collector Group が 1 つ(default)のみの場合、M ハードウェアは Panorama モードで動作しています。
  3. 対象の Collector Group を選択し、Collector Log Forwarding タブを選択します。

  4. 先ほど作成した TDR-COLLECTOR-PNR へ syslog を送信するため、以下の各ログタイプごとにエントリを作成します:

    • TDR-SYSSystem ログ
    • TDR-CONFConfig ログ
    • TDR-IDUserID ログ
    • TDR-THREATThreat ログ(スパイウェア/脆弱性)
    • TDR-URLURL ログ(Web フィルタリング)
    • TDR-DATADATA ログ(DLP)
    • TDR-TRAFFICTraffic ログ(セッショントラフィックログ)
    • TDR-WFWildfire ログ
    • TDR-TUNTunnel ログ(VPN)
    • TDR-CORRCorrelation ログ
    • TDR-AUTH認証 ログ

    Collector Log Forwarding

    注意

    新しいバージョンでは追加のログタイプがある場合があるため、すべてを設定していることを確認してください。

既存のセキュリティルール(ファイアウォールルール)の更新(全バージョン共通)🔗

セキュリティプロファイル(UTM/NGFW 機能)の適用とログ転送の有効化🔗

セキュリティプロファイルは、セキュリティルールに適用されて初めて有効となります。また、セキュリティルールには Log Forwarding Profile が関連付けられていないとログが転送されません。セキュリティポリシールールを定義します:

  1. Policies タブから、左側のツリーメニューで Security を選択します。
  2. 各セキュリティルールを選択し、そのルールの Security Policy ダイアログを開きます。
  3. Actions タブに移動します。
  4. Profile TypeProfiles を選択します。
  5. お客様の環境で使用している AntivirusVulnerability ProtectionAnti-SpywareURL FilteringFile BlockingData FilteringWildfire Analysis(PANOS 7.1 以降)の各セキュリティプロファイルを選択します。

  6. Log Forwarding には TDR-FORWARDING が選択されていることを確認します。

    注意

    Action タブの Log Setting セクションでは、PAN のベストプラクティスとして Log at Session End のみを有効にすることが推奨されています。トラブルシューティング目的で Log at Session Start を有効にする場合は、作業終了後に無効化することを推奨します。

    Security Policy Rule

Palo Alto Firewall v6.1 - 7.0 - 7.1 設定(サポート終了)🔗

以下は、Palo Alto Firewall から XDR への複数の設定シナリオをカバーしています。ご利用の Palo Alto バージョンに適したものを選択してください。

Palo Alto Firewall から XDR のみへログを送信する🔗

注意

Panorama と Palo Alto Firewall の両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

XDR Syslog サーバープロファイルの作成🔗

この手順では、後続の syslog イベント転送で使用する名前付き syslog オブジェクトを作成します。

  1. Device タブに移動し、左ペインの Server ProfilesSyslog を選択します。
  2. 名前を TDR-COLLECTOR とし、TDR-SYSLOG というエントリを XDR Collector の IP アドレスで追加します。

  3. Facility で LOG_LOCAL1 を選択します。

    XDR Syslog Server Profile

    XDR Syslog サーバープロファイル

Palo Alto Firewall から XDR へシステム(診断)ログを送信する🔗

システムログは、監査ログ やトラブルシューティング(ユーザーログイン情報、NTP 問題、ハードウェアイベント、user-id イベントなど)に役立つ幅広い情報を提供します。

PANOS 6.1 以下🔗
  1. Device タブで、左側のツリーメニューから Log Settings > System を選択します。

  2. メインパネルで各重大度レベルを選択し、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Device Tab, System Log Settings

    Device タブ、System ログ設定

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで、左側のツリーメニューから Log Settings を選択します。

  2. メインパネルで System ウィジェットに TDR-COLLECTOR を選択します。

    Device Tab, System Log Settings

    Device タブ、System ログ設定

Palo Alto Firewall から XDR へ構成(監査ログ)ログを送信する🔗

構成ログは、PAN FW で誰が何を変更したかの情報を提供します。これらは、設定ミスや不正な変更によるデバイス/ネットワークのセキュリティ侵害の追跡に役立ちます。

PANOS 6.1 以下🔗
  1. Device タブで、左側のメニューから Log Settings --> Config を選択します。

  2. メインパネルで、Syslog ProfileTDR-COLLECTOR を選択します。

    Panos 6.1 and below

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで、左側のメニューから Log Settings を選択します。

  2. メインパネルで Config ウィジェットに TDR-COLLECTOR を選択します。

    Panos 7 Config

Palo Alto Firewall から XDR へ Correlation(セキュリティ)ログを送信する(PANOS 7.0+)🔗

PANOS 7.0 以降では、新しいタイプのセキュリティイベントとして Correlation イベントが追加されました。これは複数の threat イベントの相関から構成されるベンダー独自のメタイベントです。これらの新しいセキュリティイベントは、感染ホストの検出に有用です。 PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで Log Settings を選択します。

  2. メインパネルで Correlation ウィジェットに TDR-COLLECTOR を選択します。

    Correlation Logs

Palo Alto Firewall で XDR のみへのログ記録用 Log Forwarding プロファイルを作成する🔗

この手順では、syslog サーバープロファイルを参照して、XDR へ転送するイベント(トラフィック、セキュリティ/脆弱性、wildfire)および重大度レベルを指定する名前付きプロファイルを作成します。

  1. Objects タブで Log Forwarding を選択します。
  2. メインパネルで Add を選択します。Log Forwarding Profile ダイアログが表示されます。
  3. 名前に TDR-FORWARDING を入力します。

  4. Syslog 列のすべての項目で TDR-COLLECTOR を選択します。

    Log Forwarding Profile

Panorama v6.1 - 7.1 設定(サポート終了)🔗

以下は、Panorama から XDR への複数の設定シナリオをカバーしています。ご利用の Panorama バージョンに適したものを選択してください。

顧客 Panorama から XDR へログを送信する🔗

注意

Panorama と Palo Alto Firewall の両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

XDR Syslog サーバープロファイル🔗

Panorama で、TDR-COLLECTOR という名前の Server Syslog Profile を作成し、XDR Collector の IP アドレスを割り当てます。

Panorama Syslog Server Profile

Panorama から XDR へシステム(診断)ログを送信する🔗

システムログは、監査ログ やトラブルシューティング(ユーザーログイン情報、NTP 問題、ハードウェアイベント、user-id イベントなど)に役立つ幅広い情報を提供します。

PANOS 6.1 以下🔗

System Log Settings を TDR-COLLECTOR syslog サーバープロファイルに設定します。

  1. Panorama タブから、左側のツリーメニューで Log Settings → System を選択します。

  2. Syslog Profile 列のすべての項目で TDR-COLLECTOR を選択します。

    Panorama System Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルの System ウィジェットで TDR-COLLECTOR を選択します。

    Panorama System Logs

Panorama から XDR へ構成(監査ログ)ログを送信する🔗

構成ログは、Panorama Firewall で誰が何を変更したかの情報を提供します。これらは、設定ミスや不正な変更によるデバイス/ネットワークのセキュリティ侵害の追跡に役立ちます。

PANOS 6.1 以下🔗
  1. Panorama タブから、左側のツリーメニューで Log Settings → Config を選択します。

  2. メインパネルで Log Settings - Config が syslog に TDR-COLLECTOR を指していることを確認します。

    Panorama Config Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルの Config ウィジェットで TDR-COLLECTOR を選択します。

    Panorama Config Logs

Panorama から XDR へトラフィックログを送信する🔗

トラフィックログは、イベント相関やネットワークフォレンジックに使用される追加情報を提供します。たとえば、Watchlist に登録された IP ネットワーク/ホストへの不審なアウトバウンドトラフィックなどです。

PANOS 6.1 以下🔗
  1. Panorama タブから Log Settings → Traffic を選択します。

  2. メインパネルで Traffic Settings を TDR-COLLECTOR syslog サーバープロファイルに設定します。

    Panorama Traffic

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルで Traffic ウィジェットに TDR-COLLECTOR を選択します。

    Panorama Traffic Logs

Panorama から XDR へ Threat(セキュリティ)ログを送信する🔗

Threat ログは、PAN デバイスで検知された不正なアクティビティに関するセキュリティイベントを提供します。たとえば、リモートエクスプロイト、侵入試行、サービス拒否攻撃などです。

PANOS 6.1 以下🔗

  1. Panorama タブから、左側のツリーメニューで Log Settings → Threat を選択します。

  2. メインパネルで Threat 設定を TDR-COLLECTOR syslog サーバープロファイルに設定します。

    Panorama Threat Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルで Threat ウィジェットに TDR-COLLECTOR を選択します。

    Panorama Threat Logs

Panorama から XDR へ Correlation(セキュリティ)ログを送信する - PANOS 7🔗

PANOS 7.0 以降では、新しいタイプのセキュリティイベントとして Correlation イベントが追加されました。これは複数の threat イベントの相関から構成されるベンダー独自のメタイベントです。これらの新しいセキュリティイベントは、感染ホストの検出に有用です。

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントログ設定がすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルの Correlation ウィジェットの Syslog Profile 列で TDR-COLLECTOR を選択します。

    Panorama Correlation Logs

Panorama から XDR へ Wildfire(セキュリティ)ログを送信する🔗

Wildfire セキュリティイベントは、主に疑わしいファイルのサンドボックス解析結果や Wildfire ウイルス(Wildfire シグネチャ)アラートです。これらは、サンドボックス解析や Wildfire コミュニティから送信されたマルウェアサンプルによって作成されたシグネチャを通じて、比較的新しいマルウェアの検出に役立ちます。

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Wildfire イベントを Panorama から送信できます。さらに、Config、System、Threat、Wildfire、Traffic、Correlation イベントログ設定がすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルの Wildfire ウィジェットの Syslog Profile 列で TDR-COLLECTOR を選択します。

    Panorama Wildfire Logs