防火墙为所有网络提供了一个安全层,并且是机构的前几道安全防线之一。多年以来,除了传统的防火墙功能之外,它们已经发展为包括应用程序防火墙和入侵防御功能。这些“下一代防火墙”由Palo Alto Networks等公司制造。它们包含丰富的安全信息,审计它们可以证明对网络安全非常有用。
在许多情况下,审计数据很有价值,包括:
许多失败的网络访问企图来自单一源,这可能反映了恶意的意图。
某个用户被发现多次登录防火墙失败,这可能表明存在内部威胁或被盗用的帐户。
主机在特定时间段内收到不同寻常的高额流量,这会形成可疑事件。
防火墙会记录一系列关键事件,指示需要更正的某种错误或故障。
检测到间谍软件下载,这可能指示对网络的威胁。
一、自动审计过程需求
因为防火墙处理整个网络的流量,所以它们会生成大量的日志数据。要处理大量的防火墙日志,自动完成审计数据分析至关重要。自动完成此过程可消除错过重要信息的风险,并使整个过程更加高效。通过预定义报表和告警,EventLog Analyzer成为理想的防火墙审计工具。
二、使用EventLog Analyzer审计Palo Alto网络防火墙
EventLog Analyzer是一个集中式的基于Web的工具,可为所有网络设备(包括Palo Alto Networks防火墙)提供IT合规和日志管理功能。通过以下功能,轻松监控Palo Alto Networks防火墙日志:
直观易用的界面,超过30个专属于Palo Alto Networks防火墙的现成报表,涵盖流量概述和威胁报表。报表以图形、列表和表格式提供,并且可从任何报表条目轻松访问纯文本日志信息。
带有直接计划选项和导出选项的自定义报表。
有关所有关注事件的实时电子邮件和短信告警。
安全的防篡改的日志归档。
强大的日志取证功能,可实现强大的搜索功能,并提供多种灵活选项。
三、Palo Alto Networks日志分析报表
EventLog Analyzer的Palo Alto Networks防火墙报表分类为五个组以易于访问:
有关成功登录的报表:
这些报表列示针对防火墙的所有成功登录,登录次数最多的主机和用户,同时提供用于识别登录模式趋势的报表。
失败的登录报表:
与成功登录的报表类似,这些报表列示试图登录防火墙的所有失败登录尝试,失败登录次数最多的主机和用户,同时提供用于识别失败登录模式中的趋势的报表。
允许的流量报表:
这些报表详细列示通过防火墙进入网络的所有连接,同时识别流量模式和趋势。
拒绝连接的报表:
与允许流量的报表类似,这些报表详细列示被拒绝访问网络的所有连接,同时提供流量模式和趋势。
系统事件报表:
这些报表识别在防火墙上安装或升级的所有包。
IDS/IPS报表:
这些报表列示可能攻击和关键攻击,并识别攻击企图最常涉及的源设备和目标设备。还包括攻击趋势报表。
严重性报表:
这些报表按严重性对日志信息进行分类,并且点击一下就可以访问所有事件(包括紧急事件、错误事件、关键事件、告警事件、警告事件、通知事件、参考事件和调试事件)。
通过快速设置和高效的报表和告警,EventLog Analyzer成为管理和分析Palo Alto Networks防火墙日志的理想工具。
