Recolha registos de firewall do Check Point

Este analisador extrai registos da firewall da Check Point. Processa mensagens formatadas em CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Normaliza os campos, mapeia-os para o UDM e executa uma lógica específica para início/fim de sessão, ligações de rede e eventos de segurança. Enriquece os dados com informações contextuais, como a geolocalização e a inteligência contra ameaças.

Antes de começar

• Certifique-se de que tem uma instância do Google Security Operations.
• Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
• Certifique-se de que tem acesso privilegiado a uma firewall da Check Point.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

1. Para a instalação do Windows, execute o seguinte script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para a instalação do Linux, execute o seguinte script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda à máquina onde o Bindplane está instalado.

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Checkpoint_Firewall
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicie o agente do Bindplane para aplicar as alterações:

   sudo systemctl restart bindplane
   

Configure a exportação de Syslog numa firewall da Check Point

1. Inicie sessão na IU da firewall da Check Point com uma conta privilegiada.
2. Aceda a Registos e monitorização > Servidores de registos.
3. Navegue para Servidores Syslog.
4. Clique em Configurar e defina os seguintes valores:
   • Protocolo: selecione UDP para enviar registos de segurança e/ou registos do sistema.
   • Nome: indique um nome exclusivo (por exemplo, Bindplane_Server).
   • Endereço IP: indique o endereço IP do servidor syslog (IP do Bindplane).
   • Porta: indique a porta do servidor Syslog (porta do Bindplane).
5. Selecione Ativar servidor de registo.
6. Selecione os registos a encaminhar: Registos do sistema e de segurança.
7. Clique em Aplicar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.