Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'audit Check Point

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux d'audit Check Point dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux d'audit du pare-feu Check Point au format SYSLOG ou CEF, effectue des transformations et des mappages de données, et structure la sortie dans le modèle de données unifié (UDM) Google Security Operations pour l'analyse de la sécurité. Il gère spécifiquement les événements de connexion et de déconnexion des utilisateurs, les mises à jour de l'état et enrichit les données avec un contexte supplémentaire provenant des journaux.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié à l'appliance Check Point

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_AUDIT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog dans Check Point

Connectez-vous à la console de gestion Checkpoint.
Accédez à Journaux et surveillance > Exportation de journaux.
Cliquez sur Ajouter.
Sélectionnez Syslog comme type d'exportation.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom pour votre configuration (par exemple, Google SecOps Export).
- Destination : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Exporter les journaux : sélectionnez Journaux d'audit ou Tous.
- Format Syslog : sélectionnez RFC 3164 ou RFC 5424.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
agir	read_only_udm.security_result.action	Valeur du champ `act` dans le journal brut.
additional_info	read_only_udm.security_result.description	Valeur du champ `additional_info` dans le journal brut.
administrateur	read_only_udm.target.user.user_display_name	Valeur du champ `administrator` dans le journal brut.
commentaire	read_only_udm.additional.fields.value.string_value	Valeur du champ `comment` dans le journal brut. La clé est codée en dur sous la forme `comment`.
deviceDirection	read_only_udm.network.direction	Si `deviceDirection`=1, alors OUTBOUND, sinon INBOUND.
ifname	read_only_udm.additional.fields.value.string_value	Valeur du champ `ifname` dans le journal brut. La clé est codée en dur sous la forme `ifname`.
loguid	read_only_udm.metadata.product_log_id	Valeur du champ `loguid` dans le journal brut.
log_sys_message	read_only_udm.metadata.description	Valeur du champ `log_sys_message` dans le journal brut.
Message	read_only_udm.metadata.description	Valeur du champ `msg` dans le journal brut.
opération	read_only_udm.security_result.action_details	Valeur du champ `operation` dans le journal brut.
origin	read_only_udm.intermediary.ip	Valeur du champ `origin` dans le journal brut.
originsicname	read_only_udm.additional.fields.value.string_value	Valeur du champ `originsicname` dans le journal brut. La clé est codée en dur sous la forme `originsicname`.
résultat	read_only_udm.security_result.outcomes.value	Valeur du champ `outcome` dans le journal brut. La clé est codée en dur sous la forme `outcome`.
produit	read_only_udm.metadata.product_name	Valeur du champ `product` dans le journal brut.
rt	read_only_udm.metadata.event_timestamp.seconds	Valeur du champ `rt` dans le journal brut, convertie en secondes.
sendtotrackerasadvancedauditlog	read_only_udm.additional.fields.value.string_value	Valeur du champ `sendtotrackerasadvancedauditlog` dans le journal brut. La clé est codée en dur sous la forme `sendtotrackerasadvancedauditlog`.
sequencenum	read_only_udm.additional.fields.value.string_value	Valeur du champ `sequencenum` dans le journal brut. La clé est codée en dur sous la forme `sequencenum`.
session_uid	read_only_udm.additional.fields.value.string_value	Valeur du champ `session_uid` dans le journal brut. La clé est codée en dur sous la forme `session_uid`.
sntdom	read_only_udm.principal.administrative_domain	Valeur du champ `sntdom` dans le journal brut.
src	read_only_udm.principal.ip	Valeur du champ `src` dans le journal brut.
subject	read_only_udm.security_result.summary	Valeur du champ `subject` dans le journal brut.
update_service	read_only_udm.additional.fields.value.string_value	Valeur du champ `update_service` dans le journal brut. La clé est codée en dur sous la forme `update_service`.
version	read_only_udm.additional.fields.value.string_value	Valeur du champ `version` dans le journal brut. La clé est codée en dur sous la forme `version`.
N/A	read_only_udm.metadata.event_type	Si le champ `host` existe dans le journal brut, alors `STATUS_UPDATE`. Si le champ `operation` est égal à `Log Out`, alors `USER_LOGOUT`. Si le champ `operation` est égal à `Log In`, alors `USER_LOGIN`. Sinon, il est défini sur `GENERIC_EVENT`.
N/A	read_only_udm.metadata.vendor_name	Valeur codée en dur : `Check Point`.
N/A	read_only_udm.metadata.product_version	Valeur codée en dur : `Check Point`.
N/A	read_only_udm.metadata.product_event_type	Valeur codée en dur : `[Log] - Log`.
N/A	read_only_udm.metadata.log_type	Valeur codée en dur : `CHECKPOINT_FIREWALL`.
N/A	read_only_udm.principal.hostname	Valeur du champ `host` dans le journal brut.
N/A	read_only_udm.principal.asset.hostname	Valeur du champ `host` dans le journal brut.
N/A	read_only_udm.extensions.auth.type	Si le champ `operation` est égal à `Log Out` ou `Log In`, alors `AUTHTYPE_UNSPECIFIED`.
N/A	read_only_udm.extensions.auth.mechanism	Si le champ `operation` est égal à `Log Out` ou `Log In`, alors `MECHANISM_UNSPECIFIED`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.