本頁面由 Cloud Translation API 翻譯而成。

收集 Check Point 稽核記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Check Point 稽核記錄擷取至 Google Security Operations。剖析器會從 SYSLOG 或 CEF 格式的 Check Point 防火牆稽核記錄檔中擷取欄位，執行資料轉換和對應，並將輸出內容建構為 Google Security Operations Unified Data Model (UDM)，以供安全分析使用。具體來說，這項服務會處理使用者登入/登出事件、狀態更新，並從記錄中擷取額外背景資訊，進一步豐富資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
Check Point Appliance 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_AUDIT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Check Point 中設定 Syslog

登入 Checkpoint 管理控制台。
依序前往「記錄和監控」>「記錄匯出」。
按一下「新增」。
選擇「Syslog」做為匯出類型。
提供下列設定詳細資料：
- 名稱：輸入設定的名稱 (例如 Google SecOps Export)。
- 目的地：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
- 匯出記錄：選取「稽核記錄」或「全部」。
- 系統記錄格式：選取 RFC 3164 或 RFC 5424。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	read_only_udm.security_result.action	原始記錄中「`act`」欄位的值。
additional_info	read_only_udm.security_result.description	原始記錄中「`additional_info`」欄位的值。
管理員	read_only_udm.target.user.user_display_name	原始記錄中「`administrator`」欄位的值。
留言	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`comment`」欄位的值。金鑰會以硬式編碼方式指定為 `comment`。
deviceDirection	read_only_udm.network.direction	如果 `deviceDirection`=1，則為 OUTBOUND，否則為 INBOUND。
ifname	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`ifname`」欄位的值。金鑰會以硬式編碼方式指定為 `ifname`。
loguid	read_only_udm.metadata.product_log_id	原始記錄中「`loguid`」欄位的值。
log_sys_message	read_only_udm.metadata.description	原始記錄中「`log_sys_message`」欄位的值。
msg	read_only_udm.metadata.description	原始記錄中「`msg`」欄位的值。
作業	read_only_udm.security_result.action_details	原始記錄中「`operation`」欄位的值。
來源	read_only_udm.intermediary.ip	原始記錄中「`origin`」欄位的值。
originsicname	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`originsicname`」欄位的值。金鑰會以硬式編碼方式指定為 `originsicname`。
結果	read_only_udm.security_result.outcomes.value	原始記錄檔中「`outcome`」欄位的值。金鑰會以硬式編碼方式指定為 `outcome`。
產品	read_only_udm.metadata.product_name	原始記錄中「`product`」欄位的值。
rt	read_only_udm.metadata.event_timestamp.seconds	原始記錄中 `rt` 欄位的值，已轉換為秒數。
sendtotrackerasadvancedauditlog	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`sendtotrackerasadvancedauditlog`」欄位的值。金鑰會以硬式編碼方式指定為 `sendtotrackerasadvancedauditlog`。
sequencenum	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`sequencenum`」欄位的值。金鑰會以硬式編碼方式指定為 `sequencenum`。
session_uid	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`session_uid`」欄位的值。金鑰會以硬式編碼方式指定為 `session_uid`。
sntdom	read_only_udm.principal.administrative_domain	原始記錄中「`sntdom`」欄位的值。
src	read_only_udm.principal.ip	原始記錄中「`src`」欄位的值。
主旨	read_only_udm.security_result.summary	原始記錄中「`subject`」欄位的值。
update_service	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`update_service`」欄位的值。金鑰會以硬式編碼方式指定為 `update_service`。
version	read_only_udm.additional.fields.value.string_value	原始記錄檔中「`version`」欄位的值。金鑰會以硬式編碼方式指定為 `version`。
不適用	read_only_udm.metadata.event_type	如果原始記錄中存在 `host` 欄位，則為 `STATUS_UPDATE`。如果 `operation` 欄位等於 `Log Out`，則為 `USER_LOGOUT`。如果 `operation` 欄位等於 `Log In`，則為 `USER_LOGIN`。否則為 `GENERIC_EVENT`。
不適用	read_only_udm.metadata.vendor_name	硬式編碼值：`Check Point`。
不適用	read_only_udm.metadata.product_version	硬式編碼值：`Check Point`。
不適用	read_only_udm.metadata.product_event_type	硬式編碼值：`[Log] - Log`。
不適用	read_only_udm.metadata.log_type	硬式編碼值：`CHECKPOINT_FIREWALL`。
不適用	read_only_udm.principal.hostname	原始記錄中「`host`」欄位的值。
不適用	read_only_udm.principal.asset.hostname	原始記錄中「`host`」欄位的值。
不適用	read_only_udm.extensions.auth.type	如果 `operation` 欄位等於 `Log Out` 或 `Log In`，則為 `AUTHTYPE_UNSPECIFIED`。
不適用	read_only_udm.extensions.auth.mechanism	如果 `operation` 欄位等於 `Log Out` 或 `Log In`，則為 `MECHANISM_UNSPECIFIED`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。