Palo Alto VM-Series Next-Generation FirewallからのアラートメールをAmazon SESで送信する

記事タイトルとURLをコピーする

はじめに

こんにちは、技術3課の紅林です。ドラクエ部です。ドラクエⅪをぼちぼち進めています。
さて、今回は、Palo Alto VM-Series Next-Generation Firewall(以下、次世代ファイアウォール)からのアラートメールをAmazon SESで送信する方法をご紹介したいと思います。
次世代ファイアウォールについては弊社ブログの過去記事等も合わせて参照頂けたらと思います。

次世代ファイアウォールログ転送機能

ログ転送機能概要

次世代ファイアウォールはログを外部のシステムに転送できます。ログの長期保存や重大な脅威等の即時通知に利用可能です。転送方式としては、syslogメッセージ、SNMPトラップ、電子メール、HTTPによる転送が可能です(※)。
ログ転送は例えば以下の発生をPalo Altoで検出した際等に実施可能です。

  • 設定変更時
  • システムアラート発生時
  • 脅威の検出時
  • トラフィック発生時
  • 認証失敗時

また、ログ転送機能とは別となりますが、日付ごとのアプリケーションやトラフィックのログをレポートとしてまとめて出力も可能です。PDF、CSV、XMLで出力形式を選択可能です。
※Palo Altoの統合管理製品であるPanoramaを利用することも可能です。

メール転送機能の技術的な構成要素

次世代ファイアウォールのメール転送機能を利用するには、メールを送信するためのSMTPサーバが必要です。Palo Altoがメール転送を行う際には、そのメールサーバに接続し、メールが送信されます。
ただし、構成上の注意点として、Palo Altoのメール送信機能はSMTP認証に対応していないため、Palo Altoから接続するSMTPサーバは認証の無いリクエストを受け付ける必要があります。

構成図

上記の通り、システム構成要素としては、Palo Altoから接続するSMTPサーバが必要です。また、VPCから実際のメール送信を行うには、Amazon SESの利用が手軽でしょう。
今回構成するメール送信の構成図は以下の通りとなります。Palo AltoからSMTPサーバに接続し、SMTPサーバからSESにリレーすることで、メールを送信します。

手順例

共通手順

Amazon SES設定

詳細手順は割愛しますが、Palo Altoから送信するメールアドレスでSESから送信できるように設定しましょう。
弊社ブログの過去記事にもいくつかSESに関する記事がありますので、参考にして頂けたらと思います。

SMTPサーバ(EC2)構築

次世代ファイアウォールと同じVPC内にSMTPサーバを構築します。上記SESのエンドポイントにリレーするよう、構築します。
詳細手順は割愛しますが、例えば、Amazon Linux、Postfixであれば、以下のドキュメントが参考になると思います。
Amazon SES と Postfix の統合 - Amazon Simple Email Service

次世代ファイアウォール設定

サーバプロファイル(電子メール)設定

次世代ファイアウォールのダッシュボードから、デバイス→サーバプロファイル->電子メール→追加を選択し、表示されたダイアログにメールサーバのSMTPサーバのアドレスやログ転送に用いるメールアドレス情報等を入力します。

以上が共通の手順となります。以下、いくつかログ設定を試してみます。

設定変更検出時のアラート設定

次世代ファイアウォールの設定を変更したときにメール送信してみます。
デバイス→ログ設定→設定->追加を選択し、表示されたダイアログの名前に任意の文字列、フィルタを入力します。転送方式->電子メールで「追加」を選択し、先程作成した電子メールのサーバプロファイルを選択し、「OK」を選択し、Commitします。
以上で設定を変更した際にメールで送信されるようになります。

実際に、上記設定した後で設定変更をしてみます。 以下が送信されたメールのサンプルとなります。

脅威検出時のアラート設定

次に脅威検出時にメール送信してみます。
今回は例として、Palo Altoのファイルブロッキング機能で、ブロックした際にメールを送信するようにしてみます。

前提となる構成

以下の図のようにインターネットからPalo Altoを経由して内部のWebサーバに通信できるようDstNATの設定およびセキュリティポリシを構成しておきます。セキュリティポリシはWebブラウジングを許可するよう設定しておきます。
また、Webサーバにブロックの対象となるファイルを配置しておきます。今回は例としてブロック対象の.exeファイルとなるsetup.exeという名称のファイルを配置しました。

ログ転送プロファイル設定

オブジェクト→ログ転送→追加→追加を選択し、表示されたダイアログでログ転送プロファイルを作成します。ログタイプやフィルタは要件に応じて設定し、「転送方式」の「電子メール」の部分で、上記で作成したサーバプロファイルを選択し、OKを選択します。

セキュリティポリシに適用

Webブラウジングのセキュリティポリシに上記のログ転送プロファイルを適用します。以下のように当該のセキュリティポリシを選択し、「アクション」のログ設定->ログ転送で上記のプロファイルを選択します。また、今回、ファイルブロッキング機能を利用するため、プロファイル設定->ファイルブロッキングから、「strict file blocking」を選択します。

テスト

以上で準備が整いましたので、実際にsetup.exeファイルをダウンロードするようブラウザでアクセスします。実際にアクセスすると以下のようにブロックされた旨のページが表示されます。

また、同時に脅威が検出された旨のメールが送信されます。以下はそのサンプルとなります。

おわりに

今回、次世代ファイアウォールからアラートメールを送信する機能について紹介しました。
最近出たゾーマのCMがかっこいいですね。