Cisco IOS ile NETFLOW – Palo Alto Cortex XDR (Broker VM) entegrasyonu
Palo Alto Networks Broker, ağınız ile Cortex XDR arasında köprü kuran, Cortex XDR ile entegre, güvenli bir sanal makinedir. Aracıyı kurarak, uç noktalarınızı yönlendirebileceğiniz ve günlükleri ve dosyaları analiz için toplayıp iletebileceğiniz güvenli bir bağlantı kurarsınız.
BrokerVM’i sisteminize kurduktan sonra arayüzüne giriş yapın
Ardından sağ alt köşesindeki Register’a bastığınızda
Aşağıdaki ekrandaki gibi bir pencere açılacak ve sizden Token girmenizi isteyecek.
Bu aşamadan sonra Paloalto Cortex XDR sayfanıza girip Settings -> Configurations ardından açılan sayfada
Sol taraftaki menüden Broker VMs’e tıklayıp sağ üst köşedeki “Generate Token”a basılır ve oluşturulan token kopyalanarak BrokerVM makinadaki ekrana yapıştırılır. Bu işlemin düzgün tamamlanabilmesi için BrokerVM makinanın mutlaka internet erişiminin bulunması gerekmektedir.
İlgili makina Cortex XDR sayfamıza düştükten sonra üzerinde sağ tıklayıp Broker Management -> Upgrade Broker Version yapılır.
Upgrade işlemi bittikten sonra Netflow işleminin sağlanabilmesi için yine sağ tıklayıp Netflow Collector -> Activate işlemi yapılır.
Bu durumda Cortex XDR ile Broker VM arasındaki konfigürasyon tamamlanmış ve artık switchlerinizden NetFlow datasının alınmasına hazır durumdadır.
Cisco Switchlerinizden BrokerVM’e doğru NetFlow datasının alınabilmesi için aşağıdaki konfigürasyon adımlarını tamamlamanız gerekmektedir.
Oluşturacağınız bu konfigürasyon 4 aşamadan oluşmaktadır. Burda dikkat edilmesi gereken husus; izlenmek istenen interface için IN ve OUT yönünde ayrı ayrı profiller oluşturmaktır.
Bu profiller oluşturulmazsa aşağıdaki gibi bir hata alınabilir.
% Flow Monitor: Failed to add monitor to interface: Unsupported key field “interface input” for ip traffic in Output direction
- FLOW RECORD için IN ve OUT yönünde iki ayrı recorder oluşturma
conf t
flow record XDRrecorderIN
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport source-port
match transport destination-port
match ipv4 tos
match interface input
collect interface output
collect counter bytes long
collect timestamp absolute first
exit
flow record XDRrecorderOUT
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport source-port
match transport destination-port
match ipv4 tos
match interface output
collect interface input
collect counter bytes long
collect timestamp absolute first
end
2. FLOW EXPORTER OLUŞTURMA
conf t
flow exporter XDRexporter
destination x.x.x.x (BrokerVM IP adresi)
source vlanX (paketlerin BrokerVM’e ulaşacağı kaynak)
trasport udp 2055
export-protocol NetFlow-v9
end
3. FLOW MONITOR için IN ve OUT YÖNÜNDE PROFİL OLUŞTURMA
conf t
flow monitor XDRmonitorIN
exporter XDRexporter
record XDRrecorderIN
cache timeout active 60
exit
flow monitor XDRmonitorOUT
exporter XDRexporter
record XDRrecorderOUT
cache timeout active 60
4. INTERFACE’E FLOW KONFİGÜRASYONU
conf t
interface X (Flow datasının izlenmek istediği interface – örn: trunk interface)
ip flow monitor XDRmonitorIN input
ip flow monitor XDRmonitorOUT output
end
Bu admlar tamamlandıktan bir süre sonra Cortex XDR sayfanıza girip NetFlow Collector üzerinde biraz beklerseniz, gelen logların olduğunu gözlemlediğinizde tüm işlemler tamamlanmış demektir.
Sonrasında üst menüden Reporting, yan menüden de Dataset Management tıklanıp Dataset sayfasının en altında ip_flow_ip_flow_raw seçeceğine sağ tıklayıp View Schema seçilir.
Açılan pencerede dataset = ip_flow_ip_flow_raw sorgusu çalıştırılarak sağ tarafta bulunan Run’a basılır.
Bu durumdan sonra 1-2 hafta sistem izlenerek makine öğrenmesi sayesinde trafiğin analitiği sağlanarak oluşan anomaliler alarm olarak oluşmaya başlayacaktır.