Qradar Palo Alto Entegrasyonu

Merhabalar,
Bugün ki makalemizde Palo Alto firewallımız üzerindeki sistem,data,url loglarını syslog profili oluşturarak ve bu sistem,data,url loglarını derecelendirerek qradar a yönlendireceğiz. 
Yönlendirme işlemi bittikten ve logları başarılı bir şekilde qradar üzerinde görüntüledikten sonra IBM ve Palo Alto Networks ortak çalışması sonucu oluşan uygulamayı qradar üzerine kuracağız.

Device->Server Profiles->Syslog 

Syslog Profilimize isim ve qradr ip adres bilgilerini girdikten sonra “Custom Log Format” sekmesini seçiyoruz.

Qradar Palo Altodan alacağı logları daha iyi yorumlaya bilmesi için gönderilen logların LEFF formatında olması gerekir. Bunun için Log formatlarına qradar sitesindeki formatları kopyalıyoruz.
Log Formatlarımızı ekledikten sonra;
objects ->Log Forwarding sekmesine gelerek yeni oluşturduğumuz profilimiz için log yönlendirme profili oluşturuyoruz.

Açılan pencerede Add tıkladığımızda gelen yeni pencerede oluşturduğum log profil için filtre uyguluyorum. 
Mesela url filtering den gelen logların derecesi kritik olanları veya Threat dan gelen logların derecesi malicious olanları gönder bu ve bunun gibi diğer log tiplerinide ekliyorum.

Her eklediğim Match list için daha önceden oluşturduğum syslog profile seçiyorum. Syslog Profili oluşturduktan ve oluşturduğumuz profildeki logları yönlendirme işlemini yaptıktan sonra firewallımızda ki kurallara giderek oluşturduğumuz profilleri atıyoruz.
Policies->Security sekmesindeki kurallarımızı tıklayarak.

Log Forwarding kısmında yeni oluşturduğumuz profili seçiyoruz. 
Firewallimiz üzerinde çalışan bütün kurallarda bu işlemi yaptıktan sonra “commit” yaparak yaptığımız değişiklikleri kaydediyoruz.

Palo Alto tarafında işlemlerimizi tamamladıktan sonra qradar tarafına geçiyoruz.

Qradar tarafında Admin sekmesine gelerek “Log Source” tıklıyoruz.

Açılan ekranda sağ üst köşedeki “+New Log Sources” tıklıyoruz ve açılan ekranda “Single Log Source” seçerek devam ediyoruz.

Palo Alto PA Series seçerek devam ediyoruz.

Protocol olarak Syslog seçiyoruz.

Log kaynağı için isim vererek devam ediyoruz.

Son olarak log kaynağının ip adresini yazıyoruz.
Yaptığımız değişikliklerin çalışabilmesi için Admin portal üzerinden “Deploy Changes” tıklayarak işlemimizi tamamlıyoruz.

Bugün Palo alto üzerinde syslog profili oluşturarak palo alto üzerinde bulunan logları qradar yönlendirdik ve logları başarılı bir şekilde qradar üzerinde görüntüledik. 
Palo Alto Networks ve IBM, gelişmiş güvenlik raporlaması ve qradar ile palo altonun daha verimli çalışabilmesi için ortak bir proje yürüttüler. Bu ortaklık sayesinde 2 vendor arasında işlemler daha da kolaylaştı ve güvenlik kısmında bir çok düzenleme yapıldı. Qradar için IBM ve palo alto bir uygulama geliştirdi ve geliştirilen bu uygulama qradar üzerinde yeni bir sekme halinde kullanıma sunuldu bunun için aşağıdaki linki tıklayarak uygulamayı indirmeniz gerekiyor.

IBM Security App Exchange – Palo Alto Networks App for QRadar
IBM X-Force Exchange is a threat intelligence sharing platform enabling research on security threats, aggregation of…exchange.xforce.ibmcloud.com

Uygulamayı indirdikten sonra Qradar Admin paneli üzerinden;

Extensions Management tıklıyoruz.

Açılan ekrandan Add tıklayarak indirdiğimiz dosyayı yüklüyoruz.

Dosyayı yükledikten ve kurduktan sonra “Deploy Changes” tıklayarak yaptığımız değişiklikleri kaydediyoruz. İşlem bittikten sonra Qradar arayüzü üzerindeki sekmelere “Palo Alto Network” sekmesini geldiğini görüyoruz.

Umarım faydalı olmuştur. Bir sonraki makalede görüşmek üzere.

Referans:
https://www.ibm.com/support/knowledgecenter/SS42VS_DSM/com.ibm.dsm.doc/c_dsm_guide_palo_alto_overview.html

Exit mobile version