Recopila registros de auditoría de Check Point

Compatible con:

En este documento, se explica cómo transferir registros de auditoría de Check Point a Google Security Operations con Bindplane. El analizador extrae campos de los registros de auditoría del firewall de Check Point en formato SYSLOG o CEF, realiza transformaciones y asignaciones de datos, y estructura el resultado en el modelo de datos unificado (UDM) de Google Security Operations para el análisis de seguridad. Específicamente, controla los eventos de acceso y cierre de sesión del usuario, las actualizaciones de estado y enriquece los datos con contexto adicional de los registros.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso con privilegios al dispositivo de Check Point

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_AUDIT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Check Point

  1. Accede a la Consola de administración de Checkpoint.
  2. Ve a Logs and Monitoring > Log Export.
  3. Haz clic en Agregar.
  4. Elige Syslog como el tipo de exportación.
  5. Proporciona los siguientes detalles de configuración:
    • Name: Ingresa un nombre para tu configuración (por ejemplo, Google SecOps Export).
    • Destino: Ingresa la dirección IP del agente de BindPlane.
    • Puerto: Ingresa el número de puerto del agente de Bindplane.
    • Exportación de registros: Selecciona Registros de auditoría o Todos.
    • Formato de Syslog: Selecciona RFC 3164 o RFC 5424.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actúa read_only_udm.security_result.action Valor del campo act en el registro sin procesar.
additional_info read_only_udm.security_result.description Valor del campo additional_info en el registro sin procesar.
administrador read_only_udm.target.user.user_display_name Valor del campo administrator en el registro sin procesar.
comentario read_only_udm.additional.fields.value.string_value Valor del campo comment en el registro sin procesar. La clave está codificada como comment.
deviceDirection read_only_udm.network.direction Si deviceDirection=1, entonces OUTBOUND; de lo contrario, INBOUND.
ifname read_only_udm.additional.fields.value.string_value Valor del campo ifname en el registro sin procesar. La clave está codificada como ifname.
loguid read_only_udm.metadata.product_log_id Valor del campo loguid en el registro sin procesar.
log_sys_message read_only_udm.metadata.description Valor del campo log_sys_message en el registro sin procesar.
msg read_only_udm.metadata.description Valor del campo msg en el registro sin procesar.
operación read_only_udm.security_result.action_details Valor del campo operation en el registro sin procesar.
origin read_only_udm.intermediary.ip Valor del campo origin en el registro sin procesar.
originsicname read_only_udm.additional.fields.value.string_value Valor del campo originsicname en el registro sin procesar. La clave está codificada como originsicname.
resultado read_only_udm.security_result.outcomes.value Valor del campo outcome en el registro sin procesar. La clave está codificada como outcome.
producto read_only_udm.metadata.product_name Valor del campo product en el registro sin procesar.
rt read_only_udm.metadata.event_timestamp.seconds Valor del campo rt en el registro sin procesar, convertido a segundos.
sendtotrackerasadvancedauditlog read_only_udm.additional.fields.value.string_value Valor del campo sendtotrackerasadvancedauditlog en el registro sin procesar. La clave está codificada como sendtotrackerasadvancedauditlog.
sequencenum read_only_udm.additional.fields.value.string_value Valor del campo sequencenum en el registro sin procesar. La clave está codificada como sequencenum.
session_uid read_only_udm.additional.fields.value.string_value Valor del campo session_uid en el registro sin procesar. La clave está codificada como session_uid.
sntdom read_only_udm.principal.administrative_domain Valor del campo sntdom en el registro sin procesar.
src read_only_udm.principal.ip Valor del campo src en el registro sin procesar.
asunto read_only_udm.security_result.summary Valor del campo subject en el registro sin procesar.
update_service read_only_udm.additional.fields.value.string_value Valor del campo update_service en el registro sin procesar. La clave está codificada como update_service.
versión read_only_udm.additional.fields.value.string_value Valor del campo version en el registro sin procesar. La clave está codificada como version.
N/A read_only_udm.metadata.event_type Si el campo host existe en el registro sin procesar, entonces STATUS_UPDATE. Si el campo operation es igual a Log Out, entonces USER_LOGOUT. Si el campo operation es igual a Log In, entonces USER_LOGIN. En caso contrario, GENERIC_EVENT.
N/A read_only_udm.metadata.vendor_name Valor codificado: Check Point.
N/A read_only_udm.metadata.product_version Valor codificado: Check Point.
N/A read_only_udm.metadata.product_event_type Valor codificado: [Log] - Log.
N/A read_only_udm.metadata.log_type Valor codificado: CHECKPOINT_FIREWALL.
N/A read_only_udm.principal.hostname Valor del campo host en el registro sin procesar.
N/A read_only_udm.principal.asset.hostname Valor del campo host en el registro sin procesar.
N/A read_only_udm.extensions.auth.type Si el campo operation es igual a Log Out o Log In, entonces AUTHTYPE_UNSPECIFIED.
N/A read_only_udm.extensions.auth.mechanism Si el campo operation es igual a Log Out o Log In, entonces MECHANISM_UNSPECIFIED.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.