次世代ファイアウォールPalo Alto(Prisma)のログをSOCへ転送!syslog-ng Store Box (SSB)で課題解決!

螺子です。今回は、SSBで課題(問題)解決した事例を紹介します。

はじめに

K社では、自社のクラウド環境の刷新に伴い、セキュリティー対策として、次世代ファイアウォールのPalo Alto(Prisma)を採用し、さらに、Palo Alto(Prisma)のログをS社のSOC (Security Operation Center)サービスに転送してサイバー攻撃やインシデント対策に対応したいと考えていました。

しかし、ここで、一つの課題に遭遇しました。

Cortex Data Lake(Prisma)からのログはSyslog over TLS(6514/tcp)の通信となるため、S社のSOCサービスアプリケーションでは直接データを受け取ることができません。

Syslog over TLSの通信を受信し復号化した後、Syslog(514/udp)型式でSOCサービスアプリケーションに転送するためのSyslogサーバーの構築をK社側でお願いいたします。

とうものです。

S社のSOCサービスのアプリケーションでは、Palo Alto(Prisma)のログを直接受信できないので、K社側で中継サーバーを用意する必要があるということです。

また、K社のログサーバーの要件として、以下がありました。

  • ログを一年間保存可能。
  • ログの高速検索可能。

この課題を解決するのに選ばれたのが、syslog-ng Store Box (SSB)です。

ログの長期保存と高速検索の必要性

K社のセキュリティポリシーでは、ログを一年間保存します。
SOCサービスでは、必要(怪しい)なログのみフィルターして調査・分析し、長期的にログは保存されません。その為、ログサーバーでログを長期的に保存することは有益です。

標的型攻撃等では、最初の攻撃から認知までに1年近くを要する場合もあり、インシデント発生時に原因究明を適切に行うために、過去に遡った調査も必要にることからログは十分な期間保存しておくことが必要だからです。

また、ログを迅速に検索できないと、サイバー攻撃やその他の脅威への対応に時間がかかる可能性があります。

選ばれた理由

K社に、SSBが選ばれた主な理由は以下になります。

  • 上記の課題を解決(Palo Alto(Prisma)のTLSログをSOCサービスへ復号し転送)できること。
    ⇒ SSBは、TLSログ受信をサポートし、任意の形式でログを転送できます。
  • ログを1年間保存できること。
    ⇒ SSBバーチャルアプライアンスは、仮想ディスクに必要な保存容量を割り当てることができます。また、必要に応じて後から拡張することも可能です。
  • ログを高速に検索できること。
    ⇒ SSBは、受信したログにインデックス付けすることで、高速に検索処理が可能です。

それでは、上記の課題をどうのように解決したか見てみましょう。

事前準備

K社側で事前に準備するのは、パブリック認証局から発行されたSSBのサーバー証明書およびサーバー証明書に対応した秘密鍵です。

※ サーバー証明書などの作成方法については、ご利用の認証局にお問い合わせください。

Cortex Data Lake(Prisma)の設定

ログをSSBに送信する為のCortex Data Lake(Prisma)の設定は以下の例の通り、コンフィグレーション名とSyslogサーバー(SSB)にアクセスする為のFQDN(完全修飾ドメイン名)を設定するだけです。

図1. Cortex Data Lake(Prisma)の設定例

SSBの設定

SSBの設定を、以下に示します。

サーバー証明書および秘密鍵のアップロード

TLS通信に使用するサーバー証明書および復号に使用する秘密鍵をアップロードします。

[Log]>[Options]の[TLS settings]に移動し、[TLS certificate]および[TLS private key]フィールドのマークをクリックしてサーバー証明書および秘密鍵をそれぞれアップロード(テキストをカット&コピー、あるいはファイルを指定してアップロードが可能)します。

図2. [TLS settings]設定画面例
図3. サーバー証明書設定例
図4. 秘密鍵設定例
図5. [TLS settings]設定例

ディスティネーション(転送先)設定

次に、ログをSOCに転送する為のディスティネーション(転送先)設定を行います。

[Log]>[Destinations]に移動し、新しいディスティネーション(転送先、ここではSOCアプリケーション)を作成します。

図6. ディスティネーション設定例

相互認証の無効

SSBでは、デフォルトでTLSログを受信する`tls`ソースが設定されています。デフォルトでは、相互認証するように設定されている為、相互認証を無効にします。

[Log]>[Sources]の`tls`ソースを展開し、[Peer verification]フィールドを`None`に変更します。

図7. [Peer verification]設定例

パス設定

最後に、受信したログをディスティネーション(転送先)に転送する為のパスを作成します。

以下の例では、TLS受信したログをSOCへ転送(ディスティネーション名`prismalog_dest_soc`)し、かつ、ローカルディスク(ログスペース名`prisma`)に保存しています。

図8. パス設定例
図9. Palo Alto(Prisma)ログの受信例

おわりに

いかがでしたでしょうか。Palo Alto(Prisma)のログ(TLSログ)をSOC (Security Operation Center)サービスに直接送信できない課題をSSBを中継サーバーとして利用することで解決しました。

SSBは、この課題に数ステップの設定作業で済みました。また、最大70,000EPSの処理性能の持つSSBは、ログの復号および転送処理を高速に処理できます。

SSBは、仮想ディスクに必要な容量を割り当て、ログを必要な期間保存でき、受信したログにインデクス付けすることで、ログを高速に検索が可能です。

このような課題を解決するのに、SSBがお役立て(または、SSBをご検討)頂ければ幸いです。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • TLS (Transport Layer Security)ログ受信
  • ログの転送

参考資料

TLS (Transport Layer Security)ログ受信の詳細については、syslog-ng Store Box 7 LTS管理者ガイドの「2.4 セキュアチャネルからのログ受信」および「11.4 TLS 暗号化ログ転送に使用される証明書の設定」を参照してください。

また、ログの転送の詳細については、同ガイドの「9.3 リモートサーバーへのログメッセージ転送」を参照してください。

なお、エージェントを使用してWindowsイベントログを暗号化転送する方法について、過去記事「syslog-ng Agent for Windowsで暗号化通信の設定」で紹介していますので合わせてご参考にしてください。

「リモートアクセスログを調査」連載記事リスト

「syslog-ng Store Box大活用連載企画」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP