Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Check Point EDR

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Antivirus Check Point ke Google Security Operations menggunakan Bindplane. Parser menangani log dari Check Point SandBlast, mengonversi log berformat SYSLOG + KV dan SYSLOG + CEF ke dalam Model Data Terpadu (UDM). Parser mengekstrak kolom dari pesan CEF menggunakan modul yang disertakan dan memetakannya ke kolom UDM, menangani berbagai jenis peristiwa, dan memperkaya data dengan konteks tambahan dari log mentah. Untuk pesan non-CEF, parser menggunakan ekstraksi nilai kunci, pola grok, dan logika bersyarat untuk memetakan kolom yang relevan ke skema UDM EDR.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Check Point Appliance dengan SandBlast

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen BindPlane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Checkpoint 1500 Appliance Series

Login ke Checkpoint Appliance.
Buka Logs & Monitoring > Log Servers > Syslog Servers.
Klik Configure.
Berikan detail konfigurasi berikut:
- Protocol: Pilih UDP.
- Nama: Masukkan nama deskriptif.
- Alamat IP: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane.
- Pilih server log Aktifkan.
- Pilih log yang akan diteruskan: Log sistem dan keamanan.
Klik Terapkan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`action`	`event.idm.read_only_udm.security_result.action`	Dipetakan langsung dari kolom CEF `action`.
`action_comment`	`event.idm.read_only_udm.additional.fields[<N>].key`: `action_comment` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `action_comment`	Dipetakan langsung dari kolom `action_comment`.
`action_details`	`event.idm.read_only_udm.security_result.action_details`	Dipetakan langsung dari kolom CEF `action_details`.
`additional_info`	`event.idm.read_only_udm.additional.fields[<N>].key`: `additional_info` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `additional_info`	Dipetakan langsung dari kolom `additional_info`.
`am_update_proxy`	`event.idm.read_only_udm.intermediary.domain.name`	Dipetakan langsung dari kolom `am_update_proxy`.
`am_update_source`	`event.idm.read_only_udm.target.url`	Dipetakan langsung dari kolom `am_update_source`.
`client_version`	`event.idm.read_only_udm.metadata.product_version`	Dipetakan langsung dari kolom `client_version`.
`cn1`	`event.idm.read_only_udm.security_result.severity`	Dipetakan dari kolom `cn1` CEF dan dikonversi ke nilai tingkat keparahan UDM (CRITICAL, HIGH, MEDIUM, LOW, INFO).
`cs1`	`event.idm.read_only_udm.additional.fields[<N>].key`: `Connectivity State` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `cs1`	Dipetakan langsung dari kolom `cs1`.
`description`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom CEF `description`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Dipetakan dari kolom `deviceDirection`. Nilai `0` dipetakan ke `INBOUND`, nilai lainnya tidak dipetakan.
`deviceFacility`	`event.idm.read_only_udm.additional.fields[<N>].key`: `deviceFacility` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `deviceFacility`	Dipetakan langsung dari kolom `deviceFacility`.
`dst`	`event.idm.read_only_udm.network.target.ip`	Dipetakan langsung dari kolom `dst` saat `event_type` adalah `Firewall`.
`engine_ver`	`event.idm.read_only_udm.additional.fields[<N>].key`: `engine_ver` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `engine_ver`	Dipetakan langsung dari kolom `engine_ver`.
`ep_rule_id`	`event.idm.read_only_udm.firewall.firewall_rule_id`	Dipetakan langsung dari kolom `ep_rule_id` saat `event_type` adalah `Firewall`.
`event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom CEF `event_type`.
`failed_updates`	`event.idm.read_only_udm.additional.fields[<N>].key`: `failed_updates` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `failed_updates`	Dipetakan langsung dari kolom `failed_updates`.
`file_md5`	`event.idm.read_only_udm.source_file.hash_md5`	Dipetakan langsung dari kolom `file_md5` saat `event_type` adalah `TE Event`.
`file_name`	`event.idm.read_only_udm.source_file.file_name`	Dipetakan langsung dari kolom `file_name` saat `event_type` adalah `TE Event`.
`file_sha1`	`event.idm.read_only_udm.source_file.hash_sha1`	Dipetakan langsung dari kolom `file_sha1` saat `event_type` adalah `TE Event`.
`file_sha256`	`event.idm.read_only_udm.source_file.hash_sha256`	Dipetakan langsung dari kolom `file_sha256` saat `event_type` adalah `TE Event`.
`host_type`	`event.idm.read_only_udm.principal.asset.type`	Dipetakan dari kolom `host_type`. `Desktop` dikonversi menjadi `WORKSTATION`, lalu nilainya diubah menjadi huruf besar.
`ifdir`	`event.idm.read_only_udm.network.direction`	Dipetakan langsung dari kolom `ifdir` dan dikapitalisasi jika `event_type` adalah `Firewall`.
`installed_products`	`event.idm.read_only_udm.principal.asset.software.name`	Dipetakan langsung dari kolom `installed_products`.
`is_scanned`	`sec_res.detection_fields[<N>].key`: `is_scanned` `sec_res.detection_fields[<N>].value`: Nilai `is_scanned`	Dipetakan langsung dari kolom `is_scanned`.
`local_time`	`event.idm.read_only_udm.additional.fields[<N>].key`: `local_time` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `local_time`	Dipetakan langsung dari kolom `local_time`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Dipetakan langsung dari kolom `log_type`.
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `loguid`.
`machine_guid`	`event.idm.read_only_udm.principal.asset.product_object_id`	Dipetakan langsung dari kolom `machine_guid`.
`media_authorized`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_authorized` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_authorized`	Dipetakan langsung dari kolom `media_authorized`.
`media_class_id`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_class_id` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_class_id`	Dipetakan langsung dari kolom `media_class_id`.
`media_description`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_description` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_description`	Dipetakan langsung dari kolom `media_description`.
`media_encrypted`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_encrypted` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_encrypted`	Dipetakan langsung dari kolom `media_encrypted`.
`media_manufacturer`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_manufacturer` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_manufacturer`	Dipetakan langsung dari kolom `media_manufacturer`.
`media_type`	`event.idm.read_only_udm.additional.fields[<N>].key`: `media_type` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `media_type`	Dipetakan langsung dari kolom `media_type`.
`msg`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom CEF `msg`.
`origin`	`event.idm.read_only_udm.about.ip`	Dipetakan langsung dari kolom CEF `origin`.
`os_name`	`event.idm.read_only_udm.additional.fields[<N>].key`: `os_name` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `os_name`	Dipetakan langsung dari kolom `os_name`.
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Dipetakan langsung dari kolom `os_version`.
`policy_date`	`event.idm.read_only_udm.additional.fields[<N>].key`: `policy_date` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `policy_date`	Dipetakan langsung dari kolom `policy_date`.
`policy_guid`	`event.idm.read_only_udm.principal.resource.product_object_id`	Dipetakan langsung dari kolom `policy_guid`.
`policy_name`	`event.idm.read_only_udm.principal.resource.name`	Dipetakan langsung dari kolom `policy_name`.
`policy_number`	`event.idm.read_only_udm.principal.resource.product_object_id`	Dipetakan langsung dari kolom `policy_number`.
`policy_type`	`event.idm.read_only_udm.additional.fields[<N>].key`: `policy_type` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `policy_type`	Dipetakan langsung dari kolom `policy_type`.
`policy_version`	`event.idm.read_only_udm.additional.fields[<N>].key`: `policy_version` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `policy_version`	Dipetakan langsung dari kolom `policy_version`.
`product`	`event.idm.read_only_udm.metadata.product_name`	Dipetakan langsung dari kolom CEF `product`.
`proto`	`event.idm.read_only_udm.network.protocol`	Dipetakan langsung dari kolom `proto` saat `event_type` adalah `Firewall`.
`reading_data_access`	`event.idm.read_only_udm.additional.fields[<N>].key`: `reading_data_access` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `reading_data_access`	Dipetakan langsung dari kolom `reading_data_access`.
`requestClientApplication`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `requestClientApplication`.
`result`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `result`.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	Dipetakan dari kolom `rt`, dibagi dengan 1.000, dan bagian bilangan bulat diambil sebagai detik.
`rule_name`	`event.idm.read_only_udm.firewall.firewall_rule`	Dipetakan langsung dari kolom `rule_name` saat `event_type` adalah `Firewall`.
`s_port`	`event.idm.read_only_udm.network.client.port`	Dipetakan langsung dari kolom `s_port` saat `event_type` adalah `Firewall`.
`sequencenum`	`event.idm.read_only_udm.additional.fields[<N>].key`: `sequencenum` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `sequencenum`	Dipetakan langsung dari kolom `sequencenum`.
`service`	`event.idm.read_only_udm.network.target.port`	Dipetakan langsung dari kolom `service` saat `event_type` adalah `Firewall`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan dari kolom `severity` dan dikonversi ke nilai tingkat keparahan UDM (KRITIS, TINGGI, SEDANG, RENDAH, INFO).
`shost`	`event.idm.read_only_udm.principal.hostname`	Dipetakan langsung dari kolom CEF `shost`.
`sig_ver`	`event.idm.read_only_udm.additional.fields[<N>].key`: `sig_ver` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `sig_ver`	Dipetakan langsung dari kolom `sig_ver`.
`src`	`event.idm.read_only_udm.principal.ip`	Dipetakan langsung dari kolom CEF `src`.
`src_machine_name`	`event.idm.read_only_udm.principal.hostname`	Dipetakan langsung dari kolom `src_machine_name` saat `event_type` kosong.
`subject`	`event.idm.read_only_udm.task.task_name`	Dipetakan langsung dari kolom `subject` saat `event_type` kosong.
`suser`	`event.idm.read_only_udm.principal.user.user_display_name`	Dipetakan langsung dari kolom CEF `suser`.
`time`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	Dipetakan langsung dari kolom `time` dan dikonversi ke detik epoch Unix.
`user_name`	`event.idm.read_only_udm.principal.user.email_addresses`	Dipetakan langsung dari kolom CEF `user_name`.
`user_sid`	`event.idm.read_only_udm.principal.user.windows_sid`	Dipetakan langsung dari kolom `user_sid`.
`version`	`event.idm.read_only_udm.additional.fields[<N>].key`: `version` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `version`	Dipetakan langsung dari kolom `version`.
`writing_data_access`	`event.idm.read_only_udm.additional.fields[<N>].key`: `writing_data_access` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`: Nilai `writing_data_access`	Dipetakan langsung dari kolom `writing_data_access`.
T/A	`event.idm.read_only_udm.metadata.event_type`	Ditetapkan ke `GENERIC_EVENT` jika tidak ada `principal.ip`, `principal.hostname`, atau `principal.mac` dalam log mentah, jika tidak, ditetapkan ke `STATUS_UPDATE`.
T/A	`event.idm.read_only_udm.metadata.vendor_name`	Nilai konstanta: `Check Point`.
T/A	`event.idm.read_only_udm.metadata.log_type`	Nilai konstanta: `CHECKPOINT_EDR`.
T/A	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Tetapkan ke `WINDOWS` jika `os_name` berisi `WINDOWS` atau `Windows`.
T/A	`event.idm.read_only_udm.network.http.user_agent`	Tetapkan ke `Check Point Endpoint Security Client` jika `requestClientApplication` ada.
T/A	`event.edr.data_source`	Nilai konstan: `CHECKPOINT_SANDBLAST` jika `message` tidak berisi `CEF`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.