收集 Check Point 审核日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Check Point 审核日志注入到 Google Security Operations。解析器会从 SYSLOG 或 CEF 格式的 Check Point 防火墙审核日志中提取字段,执行数据转换和映射,并将输出内容构建为 Google Security Operations 统一数据模型 (UDM),以进行安全分析。它专门处理用户登录/退出事件、状态更新,并使用日志中的其他上下文来丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Check Point Appliance 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CHECKPOINT_AUDIT' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Check Point 中配置 Syslog
- 登录 Checkpoint 管理控制台。
- 前往日志和监控 > 日志导出。
- 点击添加。
- 选择 Syslog 作为导出类型。
- 提供以下配置详细信息:
- 名称:输入配置的名称(例如
Google SecOps Export)。 - 目的地:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号。
- 日志导出:选择审核日志或全部。
- Syslog 格式:选择 RFC 3164 或 RFC 5424。
- 名称:输入配置的名称(例如
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| act | read_only_udm.security_result.action | 原始日志中 act 字段的值。 |
| additional_info | read_only_udm.security_result.description | 原始日志中 additional_info 字段的值。 |
| 管理员 | read_only_udm.target.user.user_display_name | 原始日志中 administrator 字段的值。 |
| 评论 | read_only_udm.additional.fields.value.string_value | 原始日志中 comment 字段的值。密钥已硬编码为 comment。 |
| deviceDirection | read_only_udm.network.direction | 如果 deviceDirection=1,则为 OUTBOUND;否则为 INBOUND。 |
| ifname | read_only_udm.additional.fields.value.string_value | 原始日志中 ifname 字段的值。密钥已硬编码为 ifname。 |
| loguid | read_only_udm.metadata.product_log_id | 原始日志中 loguid 字段的值。 |
| log_sys_message | read_only_udm.metadata.description | 原始日志中 log_sys_message 字段的值。 |
| msg | read_only_udm.metadata.description | 原始日志中 msg 字段的值。 |
| 操作 | read_only_udm.security_result.action_details | 原始日志中 operation 字段的值。 |
| 来源 | read_only_udm.intermediary.ip | 原始日志中 origin 字段的值。 |
| originsicname | read_only_udm.additional.fields.value.string_value | 原始日志中 originsicname 字段的值。密钥已硬编码为 originsicname。 |
| 结果 | read_only_udm.security_result.outcomes.value | 原始日志中 outcome 字段的值。密钥已硬编码为 outcome。 |
| 产品 | read_only_udm.metadata.product_name | 原始日志中 product 字段的值。 |
| rt | read_only_udm.metadata.event_timestamp.seconds | 原始日志中 rt 字段的值,已转换为秒。 |
| sendtotrackerasadvancedauditlog | read_only_udm.additional.fields.value.string_value | 原始日志中 sendtotrackerasadvancedauditlog 字段的值。密钥已硬编码为 sendtotrackerasadvancedauditlog。 |
| sequencenum | read_only_udm.additional.fields.value.string_value | 原始日志中 sequencenum 字段的值。密钥已硬编码为 sequencenum。 |
| session_uid | read_only_udm.additional.fields.value.string_value | 原始日志中 session_uid 字段的值。密钥已硬编码为 session_uid。 |
| sntdom | read_only_udm.principal.administrative_domain | 原始日志中 sntdom 字段的值。 |
| src | read_only_udm.principal.ip | 原始日志中 src 字段的值。 |
| subject | read_only_udm.security_result.summary | 原始日志中 subject 字段的值。 |
| update_service | read_only_udm.additional.fields.value.string_value | 原始日志中 update_service 字段的值。密钥已硬编码为 update_service。 |
| 版本 | read_only_udm.additional.fields.value.string_value | 原始日志中 version 字段的值。密钥已硬编码为 version。 |
| 不适用 | read_only_udm.metadata.event_type | 如果原始日志中存在 host 字段,则为 STATUS_UPDATE。如果 operation 字段等于 Log Out,则为 USER_LOGOUT。如果 operation 字段等于 Log In,则为 USER_LOGIN。否则为 GENERIC_EVENT。 |
| 不适用 | read_only_udm.metadata.vendor_name | 硬编码值:Check Point。 |
| 不适用 | read_only_udm.metadata.product_version | 硬编码值:Check Point。 |
| 不适用 | read_only_udm.metadata.product_event_type | 硬编码值:[Log] - Log。 |
| 不适用 | read_only_udm.metadata.log_type | 硬编码值:CHECKPOINT_FIREWALL。 |
| 不适用 | read_only_udm.principal.hostname | 原始日志中 host 字段的值。 |
| 不适用 | read_only_udm.principal.asset.hostname | 原始日志中 host 字段的值。 |
| 不适用 | read_only_udm.extensions.auth.type | 如果 operation 字段等于 Log Out 或 Log In,则为 AUTHTYPE_UNSPECIFIED。 |
| 不适用 | read_only_udm.extensions.auth.mechanism | 如果 operation 字段等于 Log Out 或 Log In,则为 MECHANISM_UNSPECIFIED。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。