Bu yazımızda Microsoft un ürünü olan Azure Sentinel ile Güvenlik duvarı Palo Alto entegrasyon konusu üzerinde duracağız.
Azure Sentinel Microsft un Cloud Platform üzerinde geliştirdiği SIEM ürünüdür.
Azure Sentinel sadece Azure üzerinde çalışan kaynaklardan veri toplamaz. Office 365 ve AWS gibi farklı cloud platformlarındaki loglarıda toplayabilir hatta OnPrem üzerinde çalışan Palo Alto,Cisco,Citrix,f5 gibi ürünlerinde loglarını da toplayıp, topladığı logları yorumlayıp tehdit algılama ve müdahale işlemlerimizi daha hızlı hale getirmemize yardımcı olacak ve detaylı raporlar,dashboard lar la işimizi daha da kolaylaştıracaktır.
Topoloji den bahsedecek olursak ;
1.Adım: Syslog server üzerine OMS agent kururak gerekli yetki tanımlamalarını yapacağız.
2.Adım : Palo Alto tarafında logları Syslog server yönlendireceğiz.
Fakat burada Azure Sentinel Logları düzgün bir şekilde alıp yorumlaya bilmesi için Logları CEF formatında syslog a göndermesi gerekmektedir.
3.Adım: Azure portal üzerinde, Log Analytics te syslog izinlerini vererek kurulumu tamamlayacağız.
1-Syslog Server
Syslog Server için bir adet ubuntu server kurarsanız rsyslog default olarak üzerinde kurulu geldiği için ek bir kuruluma ihtiyaç duymayacaksınız.
Sunucu kurulumundan sonra sunucu üzerine phyton kurulması gerekiyor. Phyton kurulum komutlarını aşşağıda paylaşıyorum.
#sudo apt update
#sudo apt install software-properties-common
#sudo add-apt-repository ppa:deadsnakes/ppa
#sudo apt install python3.8
#python3.8 — version (komutu ile yüklemenin başarılı olduğunu kontrol ediyoruz)
2- Palo Alto üzerindeki Logları Syslog yönlendirme
Sunucu isim ve ip address girdikten sonra Custom Log Format tabının altına geliyoruz. Azure Sentinel Logları düzgün bir şekilde alıp yorumlaya bilmesi için Palo Altonun Logları CEF formatında syslog a göndermesi gerekmektedir. Bunun için buradan palo alto versiyonu nuza uygun dökümanı indirerek Sayfa 9 daki Log Formatlarını Palo Alto tarafında Custom Format giriyoruz.
Log tiplerini ekledikten sonra Log yönledirme profilini Policies>Security altındaki Kurallarımıza eklememiz gerekiyor.
Log Setting bölümündeki kutuları işaretledikten sonra Log Forwarding bölümüne oluşturduğumuz Profili Seçiyoruz.
Commit yapmayı unutmuyoruz :)
İşlem bittikten sonra Syslog server da
#tcpdump host <firewall ip address>
komutunu çalıştırarak logların başarılı bir şekilde geldiğini görüntülüyoruz.
2-Azure Yapılandırması
Arama tabına “Log Analytics Workspaces” yazıyoruz. Gelen ekranda daha önce olşturduğumuz çalışan konfigurasyonu nu seçiyoruz
Data>Syslog altında veri toplamayı etkinleştiriyoruz.
Syslog ayarlarını yaptıktan sonra arama tabına Azure Sentinel yazarak gelen sonuçlar üzerinden Azure Sentinel Seçiyoruz.
Work Space Seçtikten sonra “Workbooks” tıklıyoruz ve Palo Alto Seçiyoruz.View Template tıkladığımızda Açılan Pencerede Syslog sunucusunda çalıştıracağımız komutu kopyalayarak Syslog serverda çalıştırıyoruz.
İşlemin bitmesi zaman alabilir ; sentinel agent kurulumu ve syslog server üzerinde syslog dosyasında gerekli yetkilendirmeleri kendisi otomatik yapıcaktır.
İşlem bittikten sonra verileri göndermesi biraz zaman alabilir. Manuel aradaki bağlantıyı kontrol etmek isterseniz View Template de Açılan Pencere nin en altında bağlantı kontrol komutunu çalıştırabilirsiniz. İşlemlerimiz bittikten sonra bir önceki ekranda View Template yanında bulunan Save butonunu tıklayarak yaptığımız değişiklikleri kaydediyoruz.
Palo Alto Overview üzerinden loglarımızın başarılı bir şekilde geldiğini görüntülüyoruz.
