サービス概要
English version of PALallax manual site is under construction now.
Version 1.xのマニュアルはこちら(英語)をご覧ください。
Version 1.x of the manual, please click here
PALallaxは、パロアルトネットワークス次世代ファイアウォールのログに対応した可視化ツールです。
デフォルトでは、以下の情報を可視化可能です。
※カスタマイズすることで、 より多くの情報を可視化可能です
- Log Count
- Traffic Bytes
- Application and port
- Source ip and Application
- Hostname
- Action
- Type/SubType
- Source/Destination Address
- Destination Country
- Threat Code/Severity
変更履歴
Version1.0
Version2.0
- ログ取込み方式をSNMP TrapからSyslogに変更
- 使用コンポーネントのバージョンアップ
Version2.1
Version2.1.2
- 使用コンポーネントのバージョンアップ
- デフォルトパラメータのチューニング
Version3.0.0
Version4.0.0
- PAN-OS9.1に対応
- GlobalProtectログに対応
- 使用コンポーネントのバージョンアップ
Version4.1.0
- PAN-OS10.1に対応
- PrismaAccessに対応
- 使用コンポーネントのバージョンアップ
Version4.2.0
システム概要図
コンポーネント
PALallaxは以下のコンポーネントを使用しています。
- Java : 17.0.2
- ElasticSearch : 8.1.1
- Fluentd(td-agent) : 4.3.0
- kibana : 8.1.1
- nginx : 1.18.0
システム要件
動作に必要な環境は以下です。
- Firewall
- PAN-OS : 9.1.x, 10.1.x, 10.2.x
- FortiOS : 6.0以降
- Nozomi Networks Guardian : 21.X
- Server(最低動作環境)
- OS : ubuntu 20.04(Focal)
- CPU >= Intel® Core™ i3 , Intel® Xeon® Processor E3 Family
- Memory(GiB) >= 8
- Storage(GiB) >= 50
使用方法
1.Installation
インストール手順は以下の通りです。(root権限で実行して下さい)
PALalallaxをインストールする対象のサーバで実行してください。
2.PALallax Configuration
次にPALallaxのセキュリティ設定を行います。
2.1 CA証明書の設定
2.2 ノード証明書の設定
2.3 http用の証明書発行
3.Paloalto Configuration
SYSLOG転送設定 ※ログ取得対象機器での作業
ファイアウォールにSyslog送信設定を行います。
(1).サーバプロファイルの設定
ファイアウォールのCLIで以下のコマンドを実行します。
赤文字の箇所は環境に合わせて選択、入力して下さい。
※PAN-OSのバージョンによって設定内容が異なります
## PAN-OS9.1の場合はこちらの設定を行います
## PAN-OS10.1の場合はこちらの設定を行います
## PAN-OS10.2の場合はこちらの設定を行います
WebUI上では以下のように変更されます。
[DEVICE] > [Server Profiles] > [Syslog]
(2). ログ転送プロファイルの設定
PALallaxに送信するログのタイプに、上記(1)で設定したプロファイルを適用します。
[OBJECTS] > [Log Forwarding]
(3). 対象のセキュリティポリシーに、上記(2)で設定したプロファイルを適用します。
[POLICIES] > [Security] > ポリシーを選択 > [Actions]
(4). GlobalProtecログ設定
上記(1)で設定したServer Profileを適用します。
[DEVICE] > [Log Seetings]
4.Fortigate Configuration
Fortigateのログを取り込まない場合は本手順をスキップしてください。
SYSLOG転送設定 ※ログ取得対象機器での作業
ログ取得対象機器にSyslog送信設定を行います。
※以下は現在対応しているFortiGateでの設定です
5.Nozomi Configuration
Nozomiのログを取り込まない場合は本手順をスキップしてください。
Nozomiにアクセスします。
右上の「管理メニュー」から「データインテグレーション」をクリックします
右上の「追加」をクリックします
エンドポイントを追加します。
・エンドポイント設定:Common Event Format(CEF)
・TLS:無効
・接続先URI:tcp://"Your IP":514 ※1
・”アラートの送信を有効にする”にチェック ※2
・”監査ログの送信を有効にする”にチェック ※2
・”ヘルスログの送信を有効にする”にチェック ※2
※1 "Your IP"をLForMサーバのIPに置き換えてください
※2 送信するログは必要に応じてチェックを外してください
6.Confirmation
Visit
http://"PALallax IP":5601
ユーザ名は"elastic"、パスワードはPASS③を入力してください。
よくあるご質問(FAQ)
こちらのページをご覧ください。
Tips
PALallaxのTipsは下記技術ブログをご覧ください。
ライセンス
PALallaxは Apache License version 2.0で提供しています。
PALallaxをご利用いただいた時点で、以下のご利用規約に同意いただけたものといたします。
PALallaxに関するお問い合わせは、下記フォームからをお願いします。
デモのご依頼も下記よりお願いいたします。
お問い合わせフォーム