次世代ファイアウォールPalo Alto(Prisma)のログをSOCへ転送！syslog-ng Store Box (SSB)で課題解決！

2023年11月7日公開
2024年5月7日更新
syslog-ng PE syslog-ng Store Box
SOC SSB Syslogサーバーシスログサーバーログサーバーログ保存ログ管理

螺子です。今回は、SSBで課題(問題)解決した事例を紹介します。

はじめに

K社では、自社のクラウド環境の刷新に伴い、セキュリティー対策として、次世代ファイアウォールのPalo Alto(Prisma)を採用し、さらに、Palo Alto(Prisma)のログをS社のSOC (Security Operation Center)サービスに転送してサイバー攻撃やインシデント対策に対応したいと考えていました。

しかし、ここで、一つの課題に遭遇しました。

Cortex Data Lake(Prisma)からのログはSyslog over TLS(6514/tcp)の通信となるため、S社のSOCサービスアプリケーションでは直接データを受け取ることができません。

Syslog over TLSの通信を受信し復号化した後、Syslog(514/udp)型式でSOCサービスアプリケーションに転送するためのSyslogサーバーの構築をK社側でお願いいたします。

とうものです。

S社のSOCサービスのアプリケーションでは、Palo Alto(Prisma)のログを直接受信できないので、K社側で中継サーバーを用意する必要があるということです。

また、K社のログサーバーの要件として、以下がありました。

ログを一年間保存可能。
ログの高速検索可能。

この課題を解決するのに選ばれたのが、syslog-ng Store Box (SSB)です。

ログの長期保存と高速検索の必要性

K社のセキュリティポリシーでは、ログを一年間保存します。
SOCサービスでは、必要(怪しい)なログのみフィルターして調査・分析し、長期的にログは保存されません。その為、ログサーバーでログを長期的に保存することは有益です。

標的型攻撃等では、最初の攻撃から認知までに1年近くを要する場合もあり、インシデント発生時に原因究明を適切に行うために、過去に遡った調査も必要にることからログは十分な期間保存しておくことが必要だからです。

また、ログを迅速に検索できないと、サイバー攻撃やその他の脅威への対応に時間がかかる可能性があります。

選ばれた理由

K社に、SSBが選ばれた主な理由は以下になります。

上記の課題を解決(Palo Alto(Prisma)のTLSログをSOCサービスへ復号し転送)できること。
⇒ SSBは、TLSログ受信をサポートし、任意の形式でログを転送できます。
ログを1年間保存できること。
⇒ SSBバーチャルアプライアンスは、仮想ディスクに必要な保存容量を割り当てることができます。また、必要に応じて後から拡張することも可能です。
ログを高速に検索できること。
⇒ SSBは、受信したログにインデックス付けすることで、高速に検索処理が可能です。

それでは、上記の課題をどうのように解決したか見てみましょう。

事前準備

K社側で事前に準備するのは、パブリック認証局から発行されたSSBのサーバー証明書およびサーバー証明書に対応した秘密鍵です。

※ サーバー証明書などの作成方法については、ご利用の認証局にお問い合わせください。

Cortex Data Lake(Prisma)の設定

ログをSSBに送信する為のCortex Data Lake(Prisma)の設定は以下の例の通り、コンフィグレーション名とSyslogサーバー(SSB)にアクセスする為のFQDN(完全修飾ドメイン名)を設定するだけです。

SSBの設定

SSBの設定を、以下に示します。

サーバー証明書および秘密鍵のアップロード

TLS通信に使用するサーバー証明書および復号に使用する秘密鍵をアップロードします。

[Log]>[Options]の[TLS settings]に移動し、[TLS certificate]および[TLS private key]フィールドのマークをクリックしてサーバー証明書および秘密鍵をそれぞれアップロード(テキストをカット&コピー、あるいはファイルを指定してアップロードが可能)します。