コンテンツにスキップ

Palo Alto Firewall インテグレーションガイド🔗

以下は、Palo Alto Firewall または Panorama を構成して、システム、構成(監査)、トラフィック、およびセキュリティイベントを Secureworks® Taegis™ XDR に送信するためのガイドです。

導入要件🔗

ソース 宛先 ポート/プロトコル
Palo Alto Firewall または Panorama Taegis™ XDR Collector IP UDP/514

注意

本ドキュメントの命名規則は参考例であり、必須ではありません。スクリーンショットに含まれる名称は、提案された命名規則と異なる場合があります。

注意

一部の手順を保存するには、Palo Alto の設定インターフェースで Commit ボタンを使用する必要があります。Palo Alto の使用方法については Palo Alto Documentation を参照してください。

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Palo Alto Firewall Auth, HTTP, Netflow NIDS

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Palo Alto Firewall v8.0 - v9.x - v10.0 構成🔗

重要

セキュリティルールがデフォルトプロファイルで構成されている場合は、既存のプロファイルをクローンし、各ルールを新しいクローンプロファイルに変更する必要があります。

 

Palo Alto Firewall から XDR のみへログを送信する🔗

Syslog サーバープロファイル🔗

Syslog サーバープロファイル は、PAN デバイスのさまざまな設定セクションで、特定の syslog サーバーまたは複数のサーバーにログを転送するために使用されます。

  1. Device タブから、左側のツリーメニューで Server Profiles → Syslog を選択します。Syslog サーバープロファイルダイアログが表示されます。

  2. プロファイル名を TDR-COLLECTOR とします。

  3. サーバーエントリ名を TDR-SYSLOG とし、XDR Collector の IP アドレスを指定します。

  4. FacilityLOG_LOCAL1 オプションを選択します。

    Syslog Server

ログ設定🔗

Log Settings セクションは、Log Forwarding プロファイル で処理されないログを処理するために使用されます。Log Settings セクションは SystemConfigurationUser-IDHIP MatchIP-Tag (9.0+)GlobalProtect (9.1+)Correlation (9.1+) ログを処理します。Log Forwarding ProfileAuthDataThreatTrafficTunnelURLWildfire ログを処理します。

Firewall で、すべてのタイプが見えるまでスクロールしてください。

Firewall Log Settings

注意

新しいバージョンでは追加のログタイプがある場合があるため、すべてを構成していることを確認してください。

Palo Alto Firewall から XDR へシステム(診断)ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. System の下で Add を選択します。Log Settings - System ダイアログが表示されます。
  3. 名前を TDR-SYS と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending System Logs

Palo Alto Firewall から XDR へ構成(監査)ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. Configuration の下で Add を選択します。Log Settings - Configuration ダイアログが表示されます。
  3. 名前を TDR-CONF と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending Config Logs

Palo Alto Firewall から XDR へ User-ID ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. User-ID の下で Add を選択します。Log Settings - User-ID ダイアログが表示されます。
  3. 名前を TDR-ID と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending User-ID Logs

Palo Alto Firewall から XDR へ HIP-Match ログを送信する🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. HIP-Match の下で Add を選択します。Log Settings - HIP-Match ダイアログが表示されます。
  3. 名前を TDR-HIP と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending HIP-Match Logs

Palo Alto Firewall から XDR へ IP-Tag ログを送信する(9.0+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. IP-Tag の下で Add を選択します。Log Settings - IP-Tag ダイアログが表示されます。
  3. 名前を TDR-IPTAG と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending IP-Tag Logs

Palo Alto Firewall から XDR へ GlobalProtect ログを送信する(9.1+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. GlobalProtect の下で Add を選択します。Log Settings - GlobalProtect ダイアログが表示されます。
  3. 名前を TDR-GP と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending GlobalProtect Logs

Palo Alto Firewall から XDR へ Correlation ログを送信する(9.1+)🔗
  1. Device タブから、左側のツリーメニューで Log Settings を選択します。
  2. Correlation の下で Add を選択します。Log Settings - Correlation ダイアログが表示されます。
  3. 名前を TDR-CORR と入力します。

  4. Syslog セクションで、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Sending Correlation Logs

Log Forwarding プロファイル🔗

Log Forwarding Profile セクションは、Log Settings セクションで処理されないセッションログを処理するために使用されます。Log Forwarding ProfileAuthDataThreatTrafficTunnelURLWildfire ログを処理します。Log Settings セクションは SystemConfigurationUser-IDHIP MatchIP-Tag (9.0+)GlobalProtect (9.1+)Correlation (9.1+) ログを処理します。

Palo Alto Firewall で XDR 用の Log Forwarding プロファイルを作成する🔗
  1. Objects タブから、左側のツリーメニューで Log Forwarding を選択します。
  2. メインパネルで Add を選択します。
  3. Log Forwarding Profile ダイアログが表示されます。
  4. 名前に TDR-FORWARDING を入力します。

  5. 以下を追加して名前を付けます:

    • TDR-LOGFW-THREATthreat ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-WFwildfire ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-DATAdata ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-AUTHauth ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-URLurl ログタイプ、Syslog に TDR-COLLECTOR
    • TDR-LOGFW-TRAFtraffic ログタイプ、Syslog に TDR-COLLECTOR

    Log Forwarding

Palo Alto Firewall でポリシールールおよびネットワークゾーンに Log Forwarding プロファイルを割り当てる🔗
  1. Policies > Security を選択し、ルールを編集します。
  2. Actions を選択し、作成した Log Forwarding プロファイルを選択します。
  3. Profile TypeProfiles または Group に設定し、ログ生成および転送をトリガーするために必要な セキュリティプロファイル または Group Profile を選択します:
    • Threat logs — ルールに割り当てられた任意のセキュリティプロファイルに一致するトラフィック。
    • Wildfire Submission logs — ルールに割り当てられた WildFire Analysis プロファイル に一致するトラフィック。
  4. Traffic ログについては、Log At Session Start および/または Log At Session End を選択します。
  5. OK をクリックしてルールを保存します。

Panorama v8.0 - v9.0 - v9.1 構成🔗

Panorama は、ログをサードパーティの syslog サーバーに直接転送できます。Panorama にはさまざまなモードがあります:

  • Panorama モード:管理コンソールと統合ログコレクターの両方として動作します。
  • Management Only モード:他の外部 Panorama が独立した Log Collector として動作することを前提とします。
  • Log Collector モード:主にログの受信のみを行い、Web-GUI はなく、Panorama Management モードによって管理されます。
  • レガシーモード:VMware のみサポートされ、Log Collector の概念はありません。すべてのログ転送は Log Settings セクションで行われます。このモードは最もスケーラブルでない展開モードです。

展開モードは Dashboard タブの General Information ウィジェットで確認できます。

Panorama Deployment Mode

XDR Syslog サーバープロファイル🔗

  1. Panorama タブから、左側のツリーメニューで Server Profiles > Syslog を選択します。
  2. メインパネルで Add を選択します。
  3. Syslog サーバープロファイルダイアログが表示されます。
  4. 新しいプロファイル名を TDR-COLLECTOR-PNR とします。
  5. Add を選択してサーバープロファイルを追加します。名前は TDR-SYSLOG、XDR Collector の IP アドレスを割り当てます。

  6. FacilityLOG_LOCAL1 オプションを追加します。

    Panorama VM Syslog Server Profile

レガシーモード(VM)Panorama(Log Collector なし)から XDR へログを送信する🔗

重要

このセクションは、より複雑な構成が必要な M-100 以上のハードウェアモデルには該当しません。このモードは一般的な運用方法ではありません。

 

注意

Panorama とファイアウォールの両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

ログ設定の構成🔗

  1. Panorama タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルで、以下の各ログタイプごとにエントリを Add し、前のセクションで作成した TDR-COLLECTOR-PNR を使用して syslog を構成します:

    • TDR-SYSSystem ログ
    • TDR-CONFConfig ログ
    • TDR-IDUserID ログ
    • TDR-THREATThreat ログ(スパイウェア/脆弱性)
    • TDR-URLURL ログ(Web フィルタリング)
    • TDR-DATADATA ログ(DLP)
    • TDR-TRAFFICTraffic ログ(セッショントラフィックログ)
    • TDR-WFWildfire ログ
    • TDR-TUNTunnel ログ(VPN)
    • TDR-AUTH認証 ログ
    • TDR-CORRCorrelation ログ

    Panorama VM Log Settings

    注意

    新しいバージョンでは追加のログタイプがある場合があるため、すべてを構成していることを確認してください。

Panorama(VM または M)から Managed Collectors で XDR へログを送信する🔗

Panorama M ハードウェアモデルおよび Managed Collectors(Mgmt Only/Panorama モード)🔗

重要

分散ログ収集の場合、Panorama でのデバイスログ転送の構成は Log Settings ではなく、Collector Groups → Collector Log Forwarding で行います。

 

注意

Panorama とファイアウォールの両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

以下は、分散ログ収集アーキテクチャの簡略図です。

Panorama Managed Collectors

ログ設定の構成 - Log Collector Group🔗

  1. Panorama タブから、左側のツリーメニューで Collector Groups を選択します。
  2. 監視対象の既存のコレクターグループを編集します。Collector Group が 1 つだけ(default)であれば、M ハードウェアは Panorama モードで動作しています。
  3. 対象の Collector Group を選択し、Collector Log Forwarding タブを選択します。

  4. 先ほど作成した TDR-COLLECTOR-PNR へ syslog を送信するため、各ログタイプごとにエントリを作成し、以下のように構成します:

    • TDR-SYSSystem ログ
    • TDR-CONFConfig ログ
    • TDR-IDUserID ログ
    • TDR-THREATThreat ログ(スパイウェア/脆弱性)
    • TDR-URLURL ログ(Web フィルタリング)
    • TDR-DATADATA ログ(DLP)
    • TDR-TRAFFICTraffic ログ(セッショントラフィックログ)
    • TDR-WFWildfire ログ
    • TDR-TUNTunnel ログ(VPN)
    • TDR-CORRCorrelation ログ
    • TDR-AUTH認証 ログ

    Collector Log Forwarding

    注意

    新しいバージョンでは追加のログタイプがある場合があるため、すべてを構成していることを確認してください。

既存のセキュリティルール(ファイアウォールルール)の更新(全バージョン共通)🔗

セキュリティプロファイルの適用—UTM/NGFW 機能—およびログ転送の有効化🔗

セキュリティプロファイルは、セキュリティルールに適用されていなければ意味がありません。さらに、セキュリティルールには Log Forwarding Profile が関連付けられていないとログが転送されません。セキュリティポリシールールを定義します:

  1. Policies タブから、左側のツリーメニューで Security を選択します。
  2. 各セキュリティルールを選択し、そのルールの Security Policy ダイアログを開きます。
  3. Actions タブに移動します。
  4. Profile TypeProfiles を選択します。
  5. お客様の環境で使用している AntivirusVulnerability ProtectionAnti-SpywareURL FilteringFile BlockingData FilteringWildfire Analysis(PANOS 7.1 以上)セキュリティプロファイルを選択します。

  6. Log Forwarding には TDR-FORWARDING が選択されていることを確認します。

    注意

    Action タブの Log Setting セクションでは、PAN のベストプラクティスとして Log at Session End のみを有効にすることが推奨されています。トラブルシューティングのために Log at Session Start を有効にする必要がある場合は、作業終了後に無効にすることを推奨します。

    Security Policy Rule

Palo Alto Firewall v6.1 - 7.0 - 7.1 構成(サポート終了)🔗

以下は、Palo Alto Firewall から XDR への複数の構成シナリオを示します。お使いの Palo Alto バージョンに適したものを選択してください。

Palo Alto Firewall から XDR のみへログを送信する🔗

注意

Panorama と Palo Alto Firewall の両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

XDR Syslog サーバープロファイルの作成🔗

これは、後の手順で XDR へ syslog イベントを転送するために使用される名前付き syslog オブジェクトを作成します。

  1. Device タブに移動し、左ペインの Server ProfilesSyslog を選択します。
  2. 名前を TDR-COLLECTOR とし、TDR-SYSLOG というエントリを追加し、XDR Collector の IP アドレスを指定します。

  3. Facility で LOG_LOCAL1 オプションを選択します。

    XDR Syslog Server Profile

    XDR Syslog サーバープロファイル

Palo Alto Firewall から XDR へシステム(診断)ログを送信する🔗

システムログは、監査やトラブルシューティング(ユーザーログイン情報、NTP 問題、ハードウェアイベント、user-id イベントなど)に役立つ幅広い情報を提供します。

PANOS 6.1 以下🔗
  1. Device タブで、左側のツリーメニューから Log Settings > System を選択します。

  2. メインパネルで各重大度レベルを選択し、Syslog プロファイルに TDR-COLLECTOR を選択します。

    Device Tab, System Log Settings

    Device タブ、System ログ設定

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで、左側のツリーメニューから Log Settings を選択します。

  2. メインパネルで System ウィジェットに TDR-COLLECTOR を選択します。

    Device Tab, System Log Settings

    Device タブ、System ログ設定

Palo Alto Firewall から XDR へ構成(監査)ログを送信する🔗

構成ログは、PAN FW で誰が何を変更したかの情報を提供します。これらは、設定ミスや不正な変更によるデバイス/ネットワークのセキュリティ侵害の追跡に役立ちます。

PANOS 6.1 以下🔗
  1. Device タブで、左側のメニューから Log Settings --> Config を選択します。

  2. メインパネルで、Syslog ProfileTDR-COLLECTOR を選択します。

    Panos 6.1 and below

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで、左側のメニューから Log Settings を選択します。

  2. メインパネルで Config ウィジェットに TDR-COLLECTOR を選択します。

    Panos 7 Config

Palo Alto Firewall から XDR へ Correlation(セキュリティ)ログを送信する(PANOS 7.0+)🔗

PANOS 7.0 以降では、新しいタイプのセキュリティイベントとして Correlation イベントが追加されました。これは複数の threat イベントの相関から構成されるベンダー独自のメタイベントです。これらの新しいセキュリティイベントは、感染ホストの検出に有用です。 PANOS 7.0 以降では、Config、System、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブで Log Settings を選択します。

  2. メインパネルで Correlation ウィジェットに TDR-COLLECTOR を選択します。

    Correlation Logs

Palo Alto Firewall で XDR のみへのログ記録用 Log Forwarding プロファイルを作成する🔗

これは、syslog サーバープロファイルを参照して、XDR へ転送される 唯一の イベント(トラフィック、セキュリティ/脆弱性、wildfire)および重大度レベルを指定する名前付きプロファイルを作成します。

  1. Objects タブで Log Forwarding を選択します。
  2. メインパネルで Add を選択します。Log Forwarding Profile ダイアログが表示されます。
  3. 名前に TDR-FORWARDING を入力します。

  4. Syslog 列のすべての項目に TDR-COLLECTOR を選択します。

    Log Forwarding Profile

Panorama v6.1 - 7.1 構成(サポート終了)🔗

以下は、Panorama から XDR への複数の構成シナリオを示します。お使いの Panorama バージョンに適したものを選択してください。

顧客 Panorama から XDR へログを送信する🔗

注意

Panorama と Palo Alto Firewall の両方で XDR へログを送信しないでください。どちらか一方を選択してください。

 

XDR Syslog サーバープロファイル🔗

Panorama で、XDR Collector の IP アドレスを持つ TDR-COLLECTOR という Server Syslog Profile を作成します。

Panorama Syslog Server Profile

Panorama から XDR へシステム(診断)ログを送信する🔗

システムログは、監査やトラブルシューティング(ユーザーログイン情報、NTP 問題、ハードウェアイベント、user-id イベントなど)に役立つ幅広い情報を提供します。

PANOS 6.1 以下🔗

System Log Settings を TDR-COLLECTOR syslog サーバープロファイルに設定します。

  1. Panorama タブから、左側のツリーメニューで Log Settings → System を選択します。

  2. Syslog Profile 列のすべての項目に TDR-COLLECTOR を選択します。

    Panorama System Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルの System ウィジェットに TDR-COLLECTOR を選択します。

    Panorama System Logs

Panorama から XDR へ構成(監査)ログを送信する🔗

Config ログは、Panorama Firewall で誰が何を変更したかの情報を提供します。これらは、設定ミスや不正な変更によるデバイス/ネットワークのセキュリティ侵害の追跡に役立ちます。

PANOS 6.1 以下🔗
  1. Panorama タブから、左側のツリーメニューで Log Settings → Config を選択します。

  2. メインパネルで、Log Settings - Config が syslog に TDR-COLLECTOR を指していることを確認します。

    Panorama Config Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Device タブから、左側のツリーメニューで Log Settings を選択します。

  2. メインパネルの Config ウィジェットに TDR-COLLECTOR を選択します。

    Panorama Config Logs

Panorama から XDR へトラフィックログを送信する🔗

トラフィックログは、イベント相関やネットワークフォレンジックに使用される追加情報を提供します。たとえば、Watchlist に登録された IP ネットワーク/ホストへの不審なアウトバウンドトラフィックなどです。

PANOS 6.1 以下🔗
  1. Panorama タブから Log Settings → Traffic を選択します。

  2. メインパネルで Traffic Settings を TDR-COLLECTOR syslog サーバープロファイルに設定します。

    Panorama Traffic

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルで Traffic ウィジェットに TDR-COLLECTOR を選択します。

    Panorama Traffic Logs

Panorama から XDR へ Threat(セキュリティ)ログを送信する🔗

Threat ログは、PAN デバイスで検知された不正なアクティビティに関するセキュリティイベントを提供します。たとえば、リモートエクスプロイト、侵入試行、サービス拒否攻撃などです。

PANOS 6.1 以下🔗

  1. Panorama タブから、左側のツリーメニューで Log Settings → Threat を選択します。

  2. メインパネルで Threat 設定を TDR-COLLECTOR syslog サーバープロファイルに設定します。

    Panorama Threat Logs

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama Config、System、Threat、Wildfire、Traffic、Correlation イベントがすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルで Threat ウィジェットに TDR-COLLECTOR を選択します。

    Panorama Threat Logs

Panorama から XDR へ Correlation(セキュリティ)ログを送信する - PANOS 7🔗

PANOS 7.0 以降では、新しいタイプのセキュリティイベントとして Correlation イベントが追加されました。これは複数の threat イベントの相関から構成されるベンダー独自のメタイベントです。これらの新しいセキュリティイベントは、感染ホストの検出に有用です。

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama Config、System、Threat、Wildfire、Traffic、Correlation イベントログ構成はすべて 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルの Correlation ウィジェットの Syslog Profile 列で TDR-COLLECTOR を選択します。

    Panorama Correlation Logs

Panorama から XDR へ Wildfire(セキュリティ)ログを送信する🔗

Wildfire セキュリティイベントは、主に疑わしいファイルのサンドボックス分析結果や Wildfire ウイルス(Wildfire シグネチャ)アラートです。これらは、サンドボックスや Wildfire コミュニティから送信されたマルウェアサンプルによって作成されたシグネチャを通じて、比較的新しいマルウェアの検出に役立ちます。

PANOS 7.0 および 7.1🔗

PANOS 7.0 以降の Panorama では、Wildfire イベントを Panorama から送信できるようになりました。さらに、すべての Config、System、Threat、Wildfire、Traffic、Correlation イベントログ構成が 1 画面に表示されます。

  1. Panorama タブから Log Settings を選択します。

  2. メインパネルの Wildfire ウィジェットの Syslog Profile 列で TDR-COLLECTOR を選択します。

    Panorama Wildfire Logs