Raccogliere i log del firewall Check Point

Questo parser estrae i log del firewall Check Point. Gestisce i messaggi formattati in CEF e non CEF, inclusi syslog, coppie chiave-valore e JSON. Normalizza i campi, li mappa a UDM ed esegue una logica specifica per l'accesso/la disconnessione, le connessioni di rete e gli eventi di sicurezza. Arricchisce i dati con informazioni contestuali come la geolocalizzazione e l'intelligence sulle minacce.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
• Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso con privilegi a un firewall Check Point.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

1. Per l'installazione di Windows, esegui il seguente script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Per l'installazione di Linux, esegui il seguente script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi alla macchina in cui è installato Bindplane.

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Checkpoint_Firewall
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Riavvia l'agente Bindplane per applicare le modifiche:

   sudo systemctl restart bindplane
   

Configura l'esportazione Syslog in un firewall Check Point

1. Accedi all'interfaccia utente del firewall Check Point utilizzando un account con privilegi.
2. Vai a Log e monitoraggio > Server di log.
3. Vai a Server Syslog.
4. Fai clic su Configura e imposta i seguenti valori:
   • Protocollo: seleziona UDP per inviare log di sicurezza e/o log di sistema.
   • Nome: fornisci un nome univoco (ad esempio Bindplane_Server).
   • Indirizzo IP: fornisci l'indirizzo IP del server syslog (IP Bindplane).
   • Porta: fornisci la porta del server syslog (porta Bindplane).
5. Seleziona Attiva server di log.
6. Seleziona i log da inoltrare: Log di sistema e di sicurezza.
7. Fai clic su Applica.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.