Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Check Point Harmony

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Check Point Harmony Email and Collaboration (HEC) in Google Security Operations utilizzando Bindplane. Questo codice del parser estrae le coppie chiave-valore dai messaggi syslog di Check Point Harmony e le mappa a un modello UDM (Unified Data Model). Innanzitutto normalizza il formato del messaggio, poi analizza e mappa in modo iterativo i campi alle categorie UDM come principal, target, network e security_result, arricchendo i dati per l'analisi della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso con privilegi a Check Point Harmony HEC (Infinity Portal)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CHECKPOINT_HARMONY'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog per Check Point Harmony HEC

Accedi all'interfaccia utente web di Infinity Portal > Harmony Email & Collaboration.
Vai a Impostazioni > Monitoraggio > SIEM.
Fai clic su Aggiungi server SIEM.
Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Protocollo: seleziona UDP.
- (Facoltativo) Token: inserisci un tag facoltativo per i log.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
azione	security_result.action_details	Mappato direttamente.
	security_result.action	Mappato su ALLOW, BLOCK, ALLOW_WITH_MODIFICATION o QUARANTINE in base al valore del campo azione.
additional_info	additional.fields.value.string_value	Mappato direttamente con la chiave = `additional_info`.
analyzed_on	security_result.detection_fields.value	Mappato direttamente con la chiave = `analyzed_on`.
client_name	additional.fields.value.string_value	Mappato direttamente con la chiave = `client_name`.
client_version	intermediary.platform_version	Mappato direttamente.
confidence_level	security_result.detection_fields.value	Mappato direttamente con la chiave = `confidence_level`.
	security_result.confidence	Mappato su UNKNOWN_CONFIDENCE, LOW_CONFIDENCE, MEDIUM_CONFIDENCE o HIGH_CONFIDENCE in base al valore del campo confidence_level.
description	security_result.description	Mappato direttamente.
dst	target.ip	Mappato direttamente.
dst_dns_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `dst_dns_name`.
dst_machine_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `dst_machine_name`.
	target.asset.hostname	Mappato direttamente.
	target.hostname	Mappato direttamente.
dst_user_dn	security_result.detection_fields.value	Mappato direttamente con la chiave = `dst_user_dn`.
dst_user_name	target.user.userid	Mappato direttamente.
ep_rule_id	security_result.rule_id	Mappato direttamente se rule_uid è vuoto.
errori	security_result.summary	Mappato direttamente.
event_type	metadata.product_event_type	Mappato direttamente.
file_md5	target.process.file.md5	Mappato direttamente se il valore è un hash MD5 valido e non tutti zeri.
	target.file.md5	Mappato direttamente se il valore è un hash MD5 valido e non tutti zeri.
file_name	target.process.file.full_path	Mappato direttamente.
file_sha1	target.process.file.sha1	Mappato direttamente se il valore è un hash SHA-1 valido e non tutti zeri.
	target.file.sha1	Mappato direttamente se il valore è un hash SHA-1 valido e non tutti zeri.
file_sha256	target.process.file.sha256	Mappato direttamente se il valore è un hash SHA256 valido e non tutti zeri.
	target.file.sha256	Mappato direttamente se il valore è un hash SHA256 valido e non tutti zeri.
file_size	target.file.size	Mappato direttamente.
file_type	target.file.file_type	Mappato su FILE_TYPE_ZIP, FILE_TYPE_DOS_EXE, FILE_TYPE_PDF o FILE_TYPE_XLSX in base al valore del campo file_type.
flags	additional.fields.value.string_value	Mappato direttamente con la chiave = `flags`.
fw_subproduct	additional.fields.value.string_value	Mappato direttamente con la chiave = `fw_subproduct` se il prodotto è vuoto.
	metadata.product_name	Mappato direttamente se il prodotto è vuoto.
host_type	security_result.detection_fields.value	Mappato direttamente con la chiave = `host_type`.
ifdir	network.direction	Mappato direttamente dopo la conversione in maiuscolo.
ifname	security_result.detection_fields.value	Mappato direttamente con la chiave = `ifname`.
installed_products	security_result.detection_fields.value	Mappato direttamente con la chiave = `installed_products`.
is_scanned	security_result.detection_fields.value	Mappato direttamente con la chiave = `is_scanned`.
layer_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `layer_name`.
	security_result.rule_set_display_name	Mappato direttamente.
layer_uuid	security_result.detection_fields.value	Mappato direttamente con la chiave = `layer_uuid`.
	security_result.rule_set	Mappato direttamente.
loguid	metadata.product_log_id	Mappato direttamente.
machine_guid	principal.asset.attribute.labels.value	Mappato direttamente con la chiave = `machine_guid`.
malware_action	security_result.detection_fields.value	Mappato direttamente con la chiave = `malware_action`.
malware_family	security_result.detection_fields.value	Mappato direttamente con la chiave = `malware_family`.
media_authorized	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_authorized`.
media_class_id	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_class_id`.
media_description	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_description`.
media_encrypted	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_encrypted`.
media_manufacturer	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_manufacturer`.
media_type	security_result.detection_fields.value	Mappato direttamente con la chiave = `media_type`.
metodi	security_result.detection_fields.value	Mappato direttamente con la chiave = `methods`.
originsicname	security_result.detection_fields.value	Mappato direttamente con la chiave = `originsicname`.
origine	intermediary.ip	Mappato direttamente.
os_version	principal.asset.platform_software.platform_patch_level	Mappato direttamente.
outzone	security_result.detection_fields.value	Mappato direttamente con la chiave = `outzone`.
parent_rule	security_result.detection_fields.value	Mappato direttamente con la chiave = `parent_rule`.
peer_gateway	intermediary.ip	Mappato direttamente.
policy_guid	security_result.detection_fields.value	Mappato direttamente con la chiave = `policy_guid`.
policy_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `policy_name`.
policy_number	security_result.detection_fields.value	Mappato direttamente con la chiave = `policy_number`.
policy_type	security_result.detection_fields.value	Mappato direttamente con la chiave = `policy_type`.
prodotto	additional.fields.value.string_value	Mappato direttamente con la chiave = `product`.
	metadata.product_name	Mappato direttamente.
product_family	additional.fields.value.string_value	Mappato direttamente con la chiave = `product_family`.
program_name	additional.fields.value.string_value	Mappato direttamente con la chiave = `program_name`.
protection_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `protection_name`.
protection_type	security_result.detection_fields.value	Mappato direttamente con la chiave = `protection_type`.
reading_data_access	security_result.detection_fields.value	Mappato direttamente con la chiave = `reading_data_access`.
rule_action	security_result.detection_fields.value	Mappato direttamente con la chiave = `rule_action`.
rule_name	security_result.rule_name	Mappato direttamente.
rule_uid	security_result.rule_id	Mappato direttamente se ep_rule_id è vuoto.
s_port	principal.port	Mappato direttamente.
schema	security_result.detection_fields.value	Mappato direttamente con la chiave = `scheme`.
sequencenum	additional.fields.value.string_value	Mappato direttamente con la chiave = `sequencenum`.
servizio	target.port	Mappato direttamente.
service_id	security_result.detection_fields.value	Mappato direttamente con la chiave = `service_id`.
session_uid	network.session_id	Mappato direttamente.
src	principal.ip	Mappato direttamente.
src_dns_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `src_dns_name`.
src_machine_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `src_machine_name`.
	principal.asset.hostname	Mappato direttamente.
	principal.hostname	Mappato direttamente.
src_user_dn	security_result.detection_fields.value	Mappato direttamente con la chiave = `src_user_dn`.
src_user_name	principal.user.userid	Mappato direttamente.
	principal.user.email_addresses	L'indirizzo email viene estratto dal campo src_user_name se esiste e ha il formato `userid (email)`.
te_verdict_determined_by	security_result.detection_fields.value	Mappato direttamente con la chiave = `te_verdict_determined_by`.
timestamp	metadata.event_timestamp	Mappato direttamente.
trusted_domain	security_result.detection_fields.value	Mappato direttamente con la chiave = `trusted_domain`.
utente	principal.user.userid	Mappato direttamente se src_user_name è vuoto.
	principal.user.email_addresses	L'indirizzo email viene estratto dal campo utente, se esiste e ha il formato `userid (email)`.
user_name	principal.user.email_addresses	Mappato direttamente se il valore è un indirizzo email valido.
user_sid	principal.user.windows_sid	Mappato direttamente.
verdetto	security_result.detection_fields.value	Mappato direttamente con la chiave = `verdict`.
versione	additional.fields.value.string_value	Mappato direttamente con la chiave = `version`.
vpn_feature_name	security_result.detection_fields.value	Mappato direttamente con la chiave = `vpn_feature_name`.
web_client_type	security_result.detection_fields.value	Mappato direttamente con la chiave = `web_client_type`.
	metadata.log_type	Questo campo è codificato in modo permanente su `CHECKPOINT_HARMONY`.
	metadata.vendor_name	Questo campo è codificato in modo permanente su `CHECKPOINT_HARMONY`.
	principal.asset.platform_software.platform	Mappato su WINDOWS, MAC o LINUX in base al valore del campo os_name.
	network.ip_protocol	Mappato a TCP, UDP, ICMP, IP6IN4 o GRE in base al valore del campo proto e ad altri campi come service e service_id.
	security_result.severity	Mappato su BASSA, MEDIA, ALTA o CRITICA in base al valore del campo gravità.
	metadata.event_type	Questo campo è impostato su `NETWORK_CONNECTION` se sono presenti sia l'entità che la destinazione, su `STATUS_UNCATEGORIZED` se è presente solo l'entità e su `GENERIC_EVENT` in caso contrario.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.