Recopila registros de firewall de Check Point

Este analizador extrae los registros del firewall de Check Point. Maneja mensajes con formato CEF y sin formato CEF, incluidos syslog, pares clave-valor y JSON. Normaliza los campos, los asigna al UDM y realiza una lógica específica para los eventos de acceso y cierre de sesión, las conexiones de red y los eventos de seguridad. Enriquece los datos con información contextual, como la ubicación geográfica y la inteligencia sobre amenazas.

Antes de comenzar

• Asegúrate de tener una instancia de Google Security Operations.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
• Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso con privilegios a un firewall de Check Point.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

1. Para la instalación en Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para la instalación en Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

1. Accede a la máquina en la que está instalado Bindplane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Checkpoint_Firewall
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de Bindplane para aplicar los cambios:

   sudo systemctl restart bindplane
   

Configura la exportación de Syslog en un firewall de Check Point

1. Accede a la IU del firewall de Check Point con una cuenta con privilegios.
2. Ve a Registros y supervisión > Servidores de registro.
3. Navega a Syslog Servers.
4. Haz clic en Configurar y establece los siguientes valores:
   • Protocolo: Selecciona UDP para enviar registros de seguridad o del sistema.
   • Nombre: Proporciona un nombre único (por ejemplo, Bindplane_Server).
   • Dirección IP: Proporciona la dirección IP de tu servidor syslog (IP de Bindplane).
   • Puerto: Proporciona el puerto del servidor syslog (puerto de BindPlane).
5. Selecciona Habilitar servidor de registro.
6. Selecciona los registros que se reenviarán: Registros del sistema y de seguridad.
7. Haz clic en Aplicar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.