Connecter Palo Alto Networks à Azure SentinelConnect Palo Alto Networks to Azure Sentinel

Cet article explique comment connecter votre appliance Palo Alto Networks à Azure Sentinel.This article explains how to connect your Palo Alto Networks appliance to Azure Sentinel. Le connecteur de données Palo Alto Networks vous permet de connecter facilement vos journaux Palo Alto Networks à Azure Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes.The Palo Alto Networks data connector allows you to easily connect your Palo Alto Networks logs with Azure Sentinel, to view dashboards, create custom alerts, and improve investigation. L’utilisation de Palo Alto Networks sur Azure Sentinel vous permet d’obtenir davantage d’informations sur l’utilisation d’Internet de votre organisation et améliore ses fonctionnalités de sécurité.Using Palo Alto Networks on Azure Sentinel will provide you more insights into your organization’s Internet usage, and will enhance its security operation capabilities.

FonctionnementHow it works

Vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou ordinateur local) afin de prendre en charge les communications entre Palo Alto Networks et Azure Sentinel.You need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between Palo Alto Networks and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d’une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration existe également si vous utilisez une machine virtuelle dans un autre cloud ou sur un ordinateur local.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

PrérequisPrerequisites

Assurez-vous que l’ordinateur Linux que vous utilisez en tant que proxy exécute l’un des systèmes d’exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions de démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • Syslog RFC pris en chargeSyslog RFCs supported

    • Syslog RFC 3164Syslog RFC 3164
    • Syslog RFC 5424Syslog RFC 5424

Assurez-vous que votre ordinateur répond également aux exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d’exécution sur votre ordinateurMake sure you have Python running on your machine

ÉTAPE 1 : Déployer l’agentSTEP 1: Deploy the agent

Au cours de cette étape, vous devez sélectionner l’ordinateur Linux qui fera office de proxy entre Azure Sentinel et votre solution de sécurité.In this step, you need to select the Linux machine that will act as a proxy between Azure Sentinel and your security solution. Vous devez exécuter un script sur la machine proxy qui :You will have to run a script on the proxy machine that:

  • Installe l’agent Log Analytics et le configure en fonction des besoins afin d’écouter les messages Syslog sur le port 514 via TCP et envoie les messages CEF à votre espace de travail Azure Sentinel.Installs the Log Analytics agent and configures it as needed to listen for Syslog messages on port 514 over TCP and send the CEF messages to your Azure Sentinel workspace.
  • Configure le démon Syslog pour transférer les messages CEF à l’agent Log Analytics à l’aide du port 25226.Configures the Syslog daemon to forward CEF messages to the Log Analytics agent using port 25226.
  • Configure l’agent Syslog pour collecter les données et les envoyer en toute sécurité à Log Analytics, où elles sont analysées et enrichies.Sets the Syslog agent to collect the data and send it securely to Log Analytics, where it is parsed and enriched.
  1. Dans le portail Azure Sentinel, cliquez sur Data Connectors (Connecteurs de données) et sélectionnez Palo Alto Networks puis Open connector page (Ouvrir la page du connecteur).In the Azure Sentinel portal, click Data connectors and select Palo Alto Networks and then Open connector page.

  2. Sous Installer et configurer l’agent Syslog, sélectionnez le type de votre machine, Azure, autre cloud ou locale.Under Install and configure the Syslog agent, select your machine type, either Azure, other cloud, or on-premises.

    Notes

    Étant donné que le script de l’étape suivante installe l’agent Log Analytics et connecte l’ordinateur à votre espace de travail Azure Sentinel, vérifiez que cet ordinateur n’est pas connecté à un autre espace de travail.Because the script in the next step installs the Log Analytics agent and connects the machine to your Azure Sentinel workspace, make sure this machine is not connected to any other workspace.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant sur votre machine proxy.Run the following script on your proxy machine. sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Pendant l’exécution du script, vérifiez que vous ne recevez pas de messages d’erreur ou d’avertissement.While the script is running, check to make sure you don't get any error or warning messages.

ÉTAPE 2 : Transférer les journaux Palo Alto Networks à l’agent SyslogSTEP 2: Forward Palo Alto Networks logs to the Syslog agent

Configurez Palo Alto Networks pour transférer les messages Syslog au format CEF à votre espace de travail Azure par le biais de l’agent Syslog :Configure Palo Alto Networks to forward Syslog messages in CEF format to your Azure workspace via the Syslog agent:

  1. Accédez à Common Event Format (CEF) Configuration Guides (Guides de configuration CEF (Common Event Format) et téléchargez le PDF correspondant au type de votre appliance.Go to Common Event Format (CEF) Configuration Guides and download the pdf for your appliance type. Suivez les instructions qui s’y trouvent pour configurer votre appliance Palo Alto Networks et collecter des événements CEF.Follow all the instructions in the guide to set up your Palo Alto Networks appliance to collect CEF events.

  2. Accédez à Configure Syslog monitoring (Configurer la surveillance Syslog) et suivez les étapes 2 et 3 pour configurer l’envoi d’événement CEF depuis votre appliance Palo Alto Networks vers Azure Sentinel.Go to Configure Syslog monitoring and follow steps 2 and 3 to configure CEF event forwarding from your Palo Alto Networks appliance to Azure Sentinel.

    1. Veillez à définir le Syslog server format (Format du serveur Syslog) sur BSD.Make sure to set the Syslog server format to BSD.

      Notes

      Les opérations copier/coller depuis le PDF peuvent modifier le texte et insérer des caractères aléatoires.The copy/paste operations from the PDF might change the text and insert random characters. Pour éviter ce souci, copiez le texte dans un éditeur et supprimez tous caractères qui pourraient poser problème au format du journal avant de les coller, comme montré dans cet exemple.To avoid this, copy the text to an editor and remove any characters that might break the log format before pasting it, as you can see in this example.

      Problème de copie de texte CEF

  3. Pour utiliser le schéma approprié dans Log Analytics pour les événements Palo Alto Networks, recherchez CommonSecurityLog.To use the relevant schema in Log Analytics for the Palo Alto Networks events, search for CommonSecurityLog.

ÉTAPE 3 : Valider la connectivitéSTEP 3: Validate connectivity

  1. Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.Open Log Analytics to make sure that logs are received using the CommonSecurityLog schema.
    Plus de 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.It may take upwards of 20 minutes until your logs start to appear in Log Analytics.

  2. Avant d’exécuter le script, nous vous recommandons d’envoyer des messages à partir de votre solution de sécurité pour vous assurer qu’ils sont transmis à la machine proxy Syslog que vous avez configurée.Before you run the script, we recommend that you send messages from your security solution to make sure they are being forwarded to the Syslog proxy machine you configured.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant pour vérifier la connectivité entre l’agent, Azure Sentinel et votre solution de sécurité.Run the following script to check connectivity between the agent, Azure Sentinel, and your security solution. Il vérifie que le transfert de démon est correctement configuré, écoute sur les ports appropriés et s’assure que rien ne bloque la communication entre le démon et l’agent Log Analytics.It checks that the daemon forwarding is properly configured, listens on the correct ports, and that nothing is blocking communication between the daemon and the Log Analytics agent. Le script envoie également des messages fictifs « TestCommonEventFormat » pour vérifier la connectivité de bout en bout.The script also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances Palo Alto Networks à Azure Sentinel.In this document, you learned how to connect Palo Alto Networks appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: