こんにちは、
私たちは、別の組織のネットワークから Palo Alto ログを社内の Splunk Enterprise Security(オンプレミス)インスタンスに取り込む作業を進めています。これは、別のネットワーク上にあります。両方の組織間の接続は、Equinix という製品を介したインターコネクションによって促進されています。これにより、私たちの組織間のデータやファイルのやり取りはインターネット上で安全に行われます。
私は、他の組織のログを自組織のネットワークに効率的かつコスト効果的に取り込む方法を検討しています。私たちは、内部の Palo Alto ファイアウォールのログを syslog サーバに転送し、それらをそこから Splunk のインデクサーに送信しています。外部組織の Palo Alto ログの取り込みメカニズムはどのように異なるのでしょうか?
ご助力いただければ幸いです!
この Equinix 製品は具体的に何をしますか?基本的に VPN であれば、既存の Palo Alto ログに使っている syslog と同じ方法で良いでしょう。
以前、Palo Alto ログについて似たようなことを行ったことがあります。ログをインターネット上の NAT アドレスに送信し、それから DMZ の Heavy Forwarder にルーティングしました。その Heavy Forwarder はポート 2035 経由でインデクサーにデータを送ることだけができました。セキュリティ上の理由から GUI は有効にしておらず、アクセスも制限していました。私の覚えている限り、証明書もインストールしていました。参考になれば幸いです。
Splunk の HTTP Event Collector (HEC) を強くお勧めします。その後、PA のログ転送プロファイルを使用して Splunk の HTTP Event Collector に送るのが良いでしょう。
セキュリティ確保のための最良の選択肢は VPN です。私たちもそれで行っています。Palo Alto → syslogNG で Splunk UF → VPN → Splunk インデクサー
相手側のインフラにコレクションポイントを設置できますか?VPN 経由で UDP syslog を転送しようとしているのですか? VPN がダウンした場合のデータ損失や、UDP の場合のホームランロギングの大きなデータ損失について心配しています。
HECまたは新しい Splunk UF の HTTP 入力を使うこともできます。これは従来の s2s (splunk2splunk) 方式を、HEC 経由で行います(props.confのLB_CHUCK_BREAKERが必要ですが)。これにより、H2Cに変換せずに済み、LBやリバースプロキシを使って HEC トークンを渡すことも可能です。
このアプリはダッシュボードや保存済み検索を提供するだけで、ログの取り込み方法自体は提供しませんよね?
Equinixはネットワークエッジの仮想化プラットフォームで、複数の異なる組織を接続します。つまり、独自のPalo Alto NGFWを通じて進入・退出トラフィックの中心となるハブを提供します。したがって、組織1が組織2とファイルやデータを交換したい場合は、これらのやり取りがEquinixを通じて行われます。
なるほど、面白いアプローチですね。ソースの Palo Alto ログから自組織へのクラウドやデータセンター間接続(例:Equinix)を利用しなかったと仮定していますか?
私たちが組織(組織1)と別の組織(組織2)との接続を確立するために行っている主要なステップの一つは、BGPを利用して CIDR範囲を Equinix(データセンター間の交換)に広告することです。そこで疑問なのですが、最初に Palo Alto ログがどこにルーティングされるのかです…。
これは確かに効果的です。H2Cを設定できる Heavy Forwarder がありますから。
私の考えでは、Palo Alto → Splunk Heavy Forwarder(HEC) → Splunk インデクサーです。
HEC を通じて PA ログを取り込むオプションがあるとは思いませんでした…。