メインコンテンツまでスキップ
Sumo Logic Japanese

Palo Alto Networks 9 アプリケーションのログの収集

このページでは、Palo Alto Networks 9 用 Sumo Logic アプリケーションのログを収集する方法を説明し、ログ メッセージと、Palo Alto Networks アプリケーションの事前定義済みダッシュボードから引用したクエリの例を示します。

このページでは、Palo Alto Networks 9 用 Sumo Logic アプリケーションのログ収集を設定する方法を説明し、ログ メッセージと、Palo Alto Networks アプリケーションの事前定義済みダッシュボードから引用したクエリの例を示します。

収集プロセスの概要

Palo Alto Networks 9 のログ収集の設定は、以下の作業から構成されます。

  1. Hosted Collector と クラウド Syslog Source の作成
  2. ログの送信先の定義
  3. syslog 転送の設定
  4. Palo Alto Networks でのログの検証

ステップ 1.Hosted Collector と クラウド Syslog Source の作成

このステップでは、Hosted Collector と、Palo Alto Networks デバイスからログおよびイベントを受信する Syslog サーバとして機能するクラウド Syslog Source を設定します。

Hosted Collector と クラウド Syslog Source を追加するには、次の手順を実行します。

  1. Sumo Logic にログインして Hosted Collector を作成します。
  2. Hosted Collector でクラウド Syslog Source を作成して、以下を指定します。
    1. Source 名を入力します。
    2. Source Category を指定します。NW/PAN/V9
  3. [Save (保存)] をクリックします。
  4. トークン、ホスト URL、および TCP TLS ポートを安全な場所にコピーしておきます。この情報は、以降の作業で必要になります。

ステップ 2.ログの送信先の定義

このステップでは、ログの送信先を定義するサーバ プロファイルを作成します。これが Sumo Logic クラウド Syslog Source のホスト名、ポート、およびプロトコル (TLS) となります。

ログの送信先を指定したサーバ プロファイルを作成するには、次の手順を実行します。

  1.  Palo Alto Networks Web インターフェイスに管理者ユーザとしてログインします。
  2. [Device (デバイス)] タブ > [Server Profiles (サーバ プロファイル)] > [Syslog] を選択します。
  3. 画面の一番下にある [Add (追加)] をクリックして、エンドポイントの詳細とプロファイル名 (例: Sumo_Logs_Profile01) を入力します。
  4. [Syslog Server Profile (Syslog サーバ プロファイル)] ウィンドウで [Servers (サーバ)] タブを選択して [Add (追加)] をクリックします。
  5. [Servers (サーバ)] ウィンドウで以下の情報を指定します。
    1. Name (名前): Sumo_CloudSyslog_EndPoint01
    2. Syslog Server (Syslog サーバ): ステップ 1 からの URL
    3. Transport (トランスポート): SSL
    4. Port (ポート): ステップ 1 からのポート
    5. Format (形式): IETF
    6. Facility (ファシリティ): LOG_USER
  6. [Syslog Server Profile (Syslog サーバ プロファイル)] ウィンドウで [Custom Log Format (カスタム ログ形式)] タブを選択して、以下のログ タイプに対して次のカスタム形式を使用します。
    1. Config
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$host,$vsys,$cmd,$admin,$client,$result,$path,$before-change-detail,$after-change-detail,$seqno,$actionflags,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name <ステップ 1 からのトークン>
    2. System
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$vsys,$eventid,$object,,,$module,$severity,$opaque,$seqno,$actionflags,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name <ステップ 1 からのトークン>
    3. Threat
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$src,$dst,$natsrc,$natdst,$rule,$srcuser,$dstuser,$app,$vsys,$from,$to,$inbound_if,$outbound_if,$logset,,$sessionid,$repeatcnt,$sport,$dport,$natsport,$natdport,$flags,$proto,$action,$misc,$threatid,$category,$severity,$direction,$seqno,$actionflags,$srcloc,$dstloc,,$contenttype,$pcap_id,$filedigest,$cloud,$url_idx,$user_agent,$filetype,$xff,$referer,$sender,$subject,$recipient,$reportid,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name,,$src_uuid,$dst_uuid,$http_method,$tunnel_id/$imsi,$monitortag/$imei,$parent_session_id,$parent_start_time,$tunnel,$thr_category,$contentver,,$assoc_id,$ppid,$http_headers,$url_category_list,$rule_uuid,$http2_connection <ステップ 1 からのトークン>
    4. Traffic
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$src,$dst,$natsrc,$natdst,$rule,$srcuser,$dstuser,$app,$vsys,$from,$to,$inbound_if,$outbound_if,$logset,,$sessionid,$repeatcnt,$sport,$dport,$natsport,$natdport,$flags,$proto,$action,$bytes,$bytes_sent,$bytes_received,$packets,$start,$sec,$category,,$seqno,$actionflags,$srcloc,$dstloc,,$pkts_sent,$pkts_received,$session_end_reason,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name,$action_source,$src_uuid,$dst_uuid,$tunnelid/$imsi,$monitortag/$imei,$parent_session_id,$parent_start_time,$tunnel,$assoc_id,$chunks,$chunks_sent,$chunks_received,$rule_uuid,$http2_connection <ステップ 1 からのトークン>
    5. HIPMatch
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$srcuser,$vsys,$machinename,$os,$src,$matchname,$repeatcnt,$matchtype,,,$seqno,$actionflags,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name,$vsys_id,$srcipv6,$hostid<ステップ 1 からのトークン>
    6. USERID
      ,$receive_time,$serial,$type,$subtype,,$time_generated,$vsys,$ip,$user,$datasourcename,$eventid,$repeatcnt,$timeout,$beginport,$endport,$datasource,$datasourcetype,$seqno,$actionflags,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name,$vsys_id,$factortype,$factorcompletiontime,$factorno,,,$ugflags,$userbysource <ステップ 1 からのトークン>
  7. [OK] をクリックします。
  8. 変更内容をコミットします。

ステップ 3.syslog 転送の設定

各ログ タイプ (config、system、threat、traffic、HIPMatch、USERID) の syslog 転送を設定するには、Palo Networks のドキュメントで説明されている手順に従ってログ転送を設定します。

ステップ 4.Palo Alto Networks でのログの検証

このステップでは、Palo Alto Network Web インターフェイスを使用してログを表示し、ファイアウォールでログが生成されることを確認します。

Palo Alto Networks でログを検証するには、次の手順を実行します。

  1. Palo Alto Networks UI で [Monitor (モニタ)] > [Logs (ログ)] を選択します。
  2. セットアップが完了したら、Sumo Logic にログインします。
  3. ログが Sumo Logic に転送されていることを検証するため、ステップ 1 で設定した Source Category を使用してクエリを実行します。例:
    _sourceCategory = NW/PAN/V9

サンプル ログ

Palo Alto Networks 9 アプリケーションでは以下のログ タイプが使用されます。

  1. System (システム) ログ
  2. Configuration (設定) ログ
  3. USERID ログ
  4. HIPMatch ログ
  5. Traffic (トラフィック) ログ
  6. Threat (脅威) ログ
System (システム) ログ

Oct 09 10:15:15 SumoRedfw01a 1,2019/10/09 10:15:15,001234567890002,SYSTEM,general,0,2019/10/09 10:15:15,,general,,0,0,general,critical,License for feature threat will expire on 2019/09/28,0123456789,0x0,0,0,0,0,,SumoRedfw01a

Configuration (設定) ログ

Oct 14 11:37:34 SumoRedfw01a 1,2019/10/14 11:37:34,001234567890001,CONFIG,0,0,2019/10/14 11:37:34,195.186.216.125,,clone,dduc,Web,Succeeded, config shared reports,,,0123456789,0x8000000000000000,0,0,0,0,,SumoRedfw01a

USERID ログ

Oct 09 10:10:15 SumoRedfw01a.sumotest.com 1,2019/10/09 10:10:15,001234567890002,USERID,logout,2304,2019/10/09 10:10:15,vsys1,17.174.122.37,dduc,,0,1,0,0,0,vpn-client,globalprotect,0123456789,0x0,0,0,0,0,,SumoRedfw01a,1,,2019/10/09 10:10:15,1,0x80,aruan

HIPMatch ログ

Oct 09 10:20:15 SumoRedfw01a.sumotest.com 1,2019/10/09 10:20:15,001234567890002,HIPMATCH,0,2304,2019/10/09 10:20:15,ira,vsys1,oh-C02ABCDEFGH4,Mac,67.240.185.235,GP-HIP-PROFILE,1,profile,0,0,0123456789,0x0,0,0,0,0,,SumoRedfw01a,1,0.0.0.0,gh:85:90:99:5a:40,C02ABCDEFGH

Traffic (トラフィック) ログ

Oct 09 10:19:15 SumPunFw07.sumotest.com 1,2019/10/09 10:19:15,001234567890002,TRAFFIC,drop,2304,2019/10/09 10:19:15,209.118.103.150,160.177.222.249,0.0.0.0,0.0.0.0,InternalServer,,,not-applicable,vsys1,inside,z1-FW-Transit,ethernet1/2,,All traffic,2019/10/09 10:19:15,0,1,63712,443,0,0,0x0,udp,deny,60,60,0,1,2019/10/09 10:19:15,0,any,0,0123456789,0x0,Netherlands,10.0.0.0-10.255.255.255,0,1,0,policy-deny,0,0,0,0,,SumPunFw07,from-policy,,,0,,0,,N/A,0,0,0,0,1202585d-b4d5-5b4c-aaa2-d80d77ba456e,0

Threat Logs (脅威ログ)

Oct 09 10:21:11 SumPunFw07.sumotest.com 1,2019/10/09 10:21:11,001234567890002,THREAT,vulnerability,2304,2019/10/09 10:21:11,205.168.30.201,240.84.174.144,NAT_205.168.30.201,230.230.1.33,Rule 95,,,web-browsing,vsys3,z2-FW-Sumo-Internal,Z4-Outbound-internet,ethernet1/2,ethernet1/2,All traffic,2019/10/09 10:21:11,793911,1,37442,443,37442,20077,0x1402000,tcp,alert,"64.99.23.90/sslmgr?scep-profile-name=%99c",Palo Alto Networks GlobalProtect Remote Code Execution Vulnerability(54582),unknown,critical,client-to-server,0123456789,0x2000000000000000,United States,10.0.0.0-10.255.255.255,0,,0,,,1,,,,,,,,0,0,0,0,0,,SumPunFw07,,,,,0,,0,,N/A,code-execution,AppThreat-8189-5641,0x4,0,4294967295,,,6bbbbec9-d123-4d51-1204-6aefd221079b,0

クエリの例

[Palo Alto Networks 9 - Threat Overview (Palo Alto Networks 9 - 脅威概要)] ダッシュボードでは、次のクエリが複数の脅威を認識しているターゲット IP を検出します。

_sourceCategory=Loggen/PAN* ",THREAT," !(",file," or ",url,")

| csv _raw extract 1 as f1, 2 as Receive_Time, 3 as serialNum, 4 as type, 5 as subtype, 6 as f2, 7 as LogGenerationTime, 8 as src_ip, 9 as dest_ip, 10 as NAT_src_ip, 11 as NAT_dest_ip, 12 as ruleName, 13 as src_user, 14 as dest_user, 15 as app, 16 as vsys, 17 as src_zone, 18 as dest_zone, 19 as inbound_interface, 20 as outbound_interface, 21 as LogAction, 22 as f3, 23 as SessonID, 24 as RepeatCount, 25 as src_port, 26 as dest_port, 27 as NAT_src_port, 28 as NAT_dest_port, 29 as flags, 30 as protocol, 31 as action, 32 as urlORFileName, 33 as Threat_Content_Name, 34 as category, 35 as severity, 36 as direction, 37 as seqNum, 38 as action_flags, 39 as src_country, 40 as dest_country, 41 as f4, 42 as content_type, 43 as pcap_id, 44 as filedigest, 45 as cloud, 46 as url_idx, 47 as user_agent, 48 as filetype, 49 as xff, 50 as referer, 51 as sender, 52 as subject, 53 as recipient, 54 as reportid, 55 as Device_Group_Hierarchy_l1, 56 as Device_Group_Hierarchy_l2, 57 as Device_Group_Hierarchy_l3, 58 as Device_Group_Hierarchy_l4, 59 as vsys_name, 60 as DeviceName, 61 as f5, 62 as Source_VM_UUID, 63 as Destination_VM_UUID, 64 as method, 65 as Tunnel_ID_IMSI, 66 as Monitor_Tag_IMEI, 67 as Parent_Session_ID, 68 as parent_start_time, 69 as Tunnel, 70 as thr_category, 71 as contentver, 72 as f6, 73 as SCTP_Association_ID, 74 as Payload_Protocol_ID, 75 as http_headers, 76 as URLCategoryList, 77 as UUIDforrule, 78 as HTTP2Connection

| where type = "THREAT" and subtype not in ("file", "url")

| count_distinct(Threat_Content_Name) as UniqueThreats by dest_ip

| sort by UniqueThreats, dest_ip asc

| limit 10

  • この記事は役に立ちましたか?