【対応・完了】Paloalto Loglink機能との連携について
お世話になります。
先日導入したmomentum PasteサーバとPaloalto(PA-3020)のLog-link機能の連携動作を確認中です。
以前コマンド構文として下記の通りご教示いただき、これをPaloaltoに設定しました。
set deviceconfig system log-link LOG-LINK url http://<PasteのIPアドレス>/cgi-bin/download2.cgi?pcapfile={recvtime_YYYY}{recvtime_MM}{recvtime_DD}{recvtime_hh}{recvtime_mm}{recvtime_ss-60}-THREAT-{proto}-{src}-{dst}-{sport}-{dport}.pcap
が、Paloaltoのログ表示画面からLog-link機能で生成されたPasteのURLに遷移しようとすると、「http://<PasteのIPアドレス>/cgi-bin/list.cgi」にリダイレクトされてしまいます。
「{recvtime_YYYY}{recvtime_MM}{recvtime_DD}~」以降のキャプチャファイルを指定するパラメータに間違いがないかどうか、ご教示いただけますでしょうか。
返答 (5)
RE: Paloalto Loglink機能との連携について - komoriya が8年以上前に追加
入力されているパラメータのうちの一つが正しくないように思われます。
recvtime_ss-60 ↓ recvtime_ss
として、動作確認をしてみてください。
よろしくお願いします。
RE: Paloalto Loglink機能との連携について - kota が8年以上前に追加
お世話になります。
ご教示いただいた通り"recvtime_ss"に変更しましたが状況は変わりませんでした。
また、PasteのWeb画面にログインして確認すると、PaloAltoが検知した時刻と同じ時刻のエントリがPaste上にありませんがこちらは問題ないでしょうか。
PaloAltoがPasteにリクエストを投げた時点でPasteからMomentumにキャプチャデータを取りに行くという認識でよろしいでしょうか。
RE: Paloalto Loglink機能との連携について - komoriya が8年以上前に追加
PasteのWeb画面にログインして確認すると、PaloAltoが検知した時刻と同じ時刻のエントリがPaste上にありませんがこちらは問題ないでしょうか。
PASTEが意図した連携がされている場合には、
「PasteのWeb画面にログインして確認すると、PaloAltoが検知した時刻と同じ時刻のエントリがPaste上にあります。」
そもそも連携ができているのかの確認が必要な状態にあると考えられます。
以下の順でどこまで進んでいるのかを確認してください。
(確認する内容は wikiの 3-インストール に記載の内容と同等です)
- selinuxによって通信が妨げられていないか
selinuxは適切に設定するか、無効化する
設定状態確認コマンド:getenforce
(必要に応じ、「setenforce 0」「sed -i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config」などと、実行してください) - firewalldによって通信が妨げられていないか
firewalldを適切に設定する
設定状態確認コマンド:firewall-cmd --list-all
必要となる通信に関する情報は 通信概要 を参照ください
(必要に応じ、「firewall-cmd --add-service http --permanent」「firewall-cmd --add-port 514/udp --permanent」「firewall-cmd --reload」などと、実行してください) - 関連するすべての機器において時計は整合性がある状態となっているか
chronydを適切に設定する(時刻同期)
設定状態確認コマンド:chronyc sources
時刻の同期は重要ですので、同期できていることを確認ください - rsyslogはsyslogを受信できる設定状態か
標準設定のままで利用を開始しようとされている場合には、/var/log/local0.txtに関し、ファイルの存在そのものと、permissionの妥当性を確認してください。 - rsyslogは実際にsyslogを受信しているか
標準設定のままで利用を開始しようとされている場合には、local0で受信するように設定されていると思います。
この場合、/var/log/local0.txtに意図したsyslog messageが、paloaltoがsyslogを送信した直後に追記されていっているかを確認ください。 - swatchの設定が妥当か
標準設定の場合、/opt/momentum_client/conf/local0.confの内容を確認ください。
pipeから始まっている行が、たとえば次のようになっているかを確認してください。
「pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 172.16.10.20 3" 」
この例では、「172.16.10.20」が連携先のmomentum Probeです。
また、「3」がsyslog mesageを解釈する際に使用するdevice idです。 - swatchは動作しているか
そもそもswatchは起動して機能している状態かを確認してください。 - momentum Probeではtxtsrvとbinsrvが動作しているか
momentum ProbeのWebUIの「システム状態」の「サービス情報」の一覧で、「ps_txtsrv」と「ps_binsrv」が実行中:はい、となっているか - PASTEの機器からmomentum ProbeのPSSにreachableか
PASTE機器上のCLIで、「ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.10.20 -c I」などと実行し、フィールドタイプ情報などが表示されるか
ここまでの確認が全部OKなのに意図した動作ができていない場合、PASTEの設定を開示いただくなどが必要かもしれません。
PaloAltoがPasteにリクエストを投げた時点でPasteからMomentumにキャプチャデータを取りに行くという認識でよろしいでしょうか。
少し休んでから仕事を始めるような動作となります。
初期設定では、message受信後、15秒処理開始を待機し、messageのなかの時刻から60秒前の時刻から65秒間のデータを取り出す動きをします。
タイミングの詳細説明は、wikiの「4.1. 設定項目」の「pcap_timingセクション」に説明がありますので、こちらを参照ください。
http://tapas.terilogy.com/projects/paste/wiki/How_to_use_it#pcap_timingセクション
同じ説明は、以下の場所にも記載しています。
http://<PasteのIPアドレス>/config_help.html
WebUIのconfig画面の右上のHelpボタンをクリックすると表示されます。
RE: Paloalto Loglink機能との連携について - kota が約8年前に追加
改めてPaloAltoのthreatログに該当する事象を発生させたところ、Paste上にエントリが作成されるようになりました。
設定自体はできていたものの確認の仕方がまずかったようです。
本件クローズしていただいて結構です。ありがとうございました。