Check Point Harmony 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 Check Point Harmony Email and Collaboration (HEC) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 이 파서 코드는 Check Point Harmony syslog 메시지에서 키-값 쌍을 추출하여 통합 데이터 모델 (UDM)에 매핑합니다. 먼저 메시지 형식을 정규화한 다음 필드를 principal, target, network, security_result과 같은 UDM 카테고리에 반복적으로 파싱하고 매핑하여 보안 분석을 위한 데이터를 보강합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
- Check Point Harmony HEC (Infinity Portal)에 대한 권한 있는 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CHECKPOINT_HARMONY' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Check Point Harmony HEC용 Syslog 구성
- Infinity Portal > Harmony Email & Collaboration 웹 UI에 로그인합니다.
- 설정 > 모니터링 > SIEM으로 이동합니다.
- SIEM 서버 추가를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 호스트: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: Bindplane 에이전트 포트 번호를 입력합니다.
- 프로토콜: UDP를 선택합니다.
- (선택사항) 토큰: 로그에 선택적 태그를 입력합니다.
- 저장을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| action | security_result.action_details | 직접 매핑됩니다. |
| security_result.action | 작업 필드의 값에 따라 ALLOW, BLOCK, ALLOW_WITH_MODIFICATION 또는 QUARANTINE에 매핑됩니다. | |
| additional_info | additional.fields.value.string_value | 키가 additional_info인 항목과 직접 매핑됩니다. |
| analyzed_on | security_result.detection_fields.value | 키가 analyzed_on인 항목과 직접 매핑됩니다. |
| client_name | additional.fields.value.string_value | 키가 client_name인 항목과 직접 매핑됩니다. |
| client_version | intermediary.platform_version | 직접 매핑됩니다. |
| confidence_level | security_result.detection_fields.value | 키가 confidence_level인 항목과 직접 매핑됩니다. |
| security_result.confidence | confidence_level 필드의 값에 따라 UNKNOWN_CONFIDENCE, LOW_CONFIDENCE, MEDIUM_CONFIDENCE 또는 HIGH_CONFIDENCE에 매핑됩니다. | |
| description | security_result.description | 직접 매핑됩니다. |
| dst | target.ip | 직접 매핑됩니다. |
| dst_dns_name | security_result.detection_fields.value | 키가 dst_dns_name인 항목과 직접 매핑됩니다. |
| dst_machine_name | security_result.detection_fields.value | 키가 dst_machine_name인 항목과 직접 매핑됩니다. |
| target.asset.hostname | 직접 매핑됩니다. | |
| target.hostname | 직접 매핑됩니다. | |
| dst_user_dn | security_result.detection_fields.value | 키가 dst_user_dn인 항목과 직접 매핑됩니다. |
| dst_user_name | target.user.userid | 직접 매핑됩니다. |
| ep_rule_id | security_result.rule_id | rule_uid가 비어 있으면 직접 매핑됩니다. |
| 오류 | security_result.summary | 직접 매핑됩니다. |
| event_type | metadata.product_event_type | 직접 매핑됩니다. |
| file_md5 | target.process.file.md5 | 값이 유효한 MD5 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. |
| target.file.md5 | 값이 유효한 MD5 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. | |
| file_name | target.process.file.full_path | 직접 매핑됩니다. |
| file_sha1 | target.process.file.sha1 | 값이 유효한 SHA-1 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. |
| target.file.sha1 | 값이 유효한 SHA-1 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. | |
| file_sha256 | target.process.file.sha256 | 값이 유효한 SHA256 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. |
| target.file.sha256 | 값이 유효한 SHA256 해시이고 모두 0이 아닌 경우 직접 매핑됩니다. | |
| file_size | target.file.size | 직접 매핑됩니다. |
| file_type | target.file.file_type | file_type 필드의 값에 따라 FILE_TYPE_ZIP, FILE_TYPE_DOS_EXE, FILE_TYPE_PDF 또는 FILE_TYPE_XLSX에 매핑됩니다. |
| flags | additional.fields.value.string_value | 키가 flags인 항목과 직접 매핑됩니다. |
| fw_subproduct | additional.fields.value.string_value | 제품이 비어 있으면 key = fw_subproduct로 직접 매핑됩니다. |
| metadata.product_name | 제품이 비어 있으면 직접 매핑됩니다. | |
| host_type | security_result.detection_fields.value | 키가 host_type인 항목과 직접 매핑됩니다. |
| ifdir | network.direction | 대문자로 변환한 후 직접 매핑됩니다. |
| ifname | security_result.detection_fields.value | 키가 ifname인 항목과 직접 매핑됩니다. |
| installed_products | security_result.detection_fields.value | 키가 installed_products인 항목과 직접 매핑됩니다. |
| is_scanned | security_result.detection_fields.value | 키가 is_scanned인 항목과 직접 매핑됩니다. |
| layer_name | security_result.detection_fields.value | 키가 layer_name인 항목과 직접 매핑됩니다. |
| security_result.rule_set_display_name | 직접 매핑됩니다. | |
| layer_uuid | security_result.detection_fields.value | 키가 layer_uuid인 항목과 직접 매핑됩니다. |
| security_result.rule_set | 직접 매핑됩니다. | |
| loguid | metadata.product_log_id | 직접 매핑됩니다. |
| machine_guid | principal.asset.attribute.labels.value | 키가 machine_guid인 항목과 직접 매핑됩니다. |
| malware_action | security_result.detection_fields.value | 키가 malware_action인 항목과 직접 매핑됩니다. |
| malware_family | security_result.detection_fields.value | 키가 malware_family인 항목과 직접 매핑됩니다. |
| media_authorized | security_result.detection_fields.value | 키가 media_authorized인 항목과 직접 매핑됩니다. |
| media_class_id | security_result.detection_fields.value | 키가 media_class_id인 항목과 직접 매핑됩니다. |
| media_description | security_result.detection_fields.value | 키가 media_description인 항목과 직접 매핑됩니다. |
| media_encrypted | security_result.detection_fields.value | 키가 media_encrypted인 항목과 직접 매핑됩니다. |
| media_manufacturer | security_result.detection_fields.value | 키가 media_manufacturer인 항목과 직접 매핑됩니다. |
| media_type | security_result.detection_fields.value | 키가 media_type인 항목과 직접 매핑됩니다. |
| 메서드 | security_result.detection_fields.value | 키가 methods인 항목과 직접 매핑됩니다. |
| originsicname | security_result.detection_fields.value | 키가 originsicname인 항목과 직접 매핑됩니다. |
| origin | intermediary.ip | 직접 매핑됩니다. |
| os_version | principal.asset.platform_software.platform_patch_level | 직접 매핑됩니다. |
| outzone | security_result.detection_fields.value | 키가 outzone인 항목과 직접 매핑됩니다. |
| parent_rule | security_result.detection_fields.value | 키가 parent_rule인 항목과 직접 매핑됩니다. |
| peer_gateway | intermediary.ip | 직접 매핑됩니다. |
| policy_guid | security_result.detection_fields.value | 키가 policy_guid인 항목과 직접 매핑됩니다. |
| policy_name | security_result.detection_fields.value | 키가 policy_name인 항목과 직접 매핑됩니다. |
| policy_number | security_result.detection_fields.value | 키가 policy_number인 항목과 직접 매핑됩니다. |
| policy_type | security_result.detection_fields.value | 키가 policy_type인 항목과 직접 매핑됩니다. |
| 제품 | additional.fields.value.string_value | 키가 product인 항목과 직접 매핑됩니다. |
| metadata.product_name | 직접 매핑됩니다. | |
| product_family | additional.fields.value.string_value | 키가 product_family인 항목과 직접 매핑됩니다. |
| program_name | additional.fields.value.string_value | 키가 program_name인 항목과 직접 매핑됩니다. |
| protection_name | security_result.detection_fields.value | 키가 protection_name인 항목과 직접 매핑됩니다. |
| protection_type | security_result.detection_fields.value | 키가 protection_type인 항목과 직접 매핑됩니다. |
| reading_data_access | security_result.detection_fields.value | 키가 reading_data_access인 항목과 직접 매핑됩니다. |
| rule_action | security_result.detection_fields.value | 키가 rule_action인 항목과 직접 매핑됩니다. |
| rule_name | security_result.rule_name | 직접 매핑됩니다. |
| rule_uid | security_result.rule_id | ep_rule_id가 비어 있으면 직접 매핑됩니다. |
| s_port | principal.port | 직접 매핑됩니다. |
| 스킴 | security_result.detection_fields.value | 키가 scheme인 항목과 직접 매핑됩니다. |
| sequencenum | additional.fields.value.string_value | 키가 sequencenum인 항목과 직접 매핑됩니다. |
| 서비스 | target.port | 직접 매핑됩니다. |
| service_id | security_result.detection_fields.value | 키가 service_id인 항목과 직접 매핑됩니다. |
| session_uid | network.session_id | 직접 매핑됩니다. |
| src | principal.ip | 직접 매핑됩니다. |
| src_dns_name | security_result.detection_fields.value | 키가 src_dns_name인 항목과 직접 매핑됩니다. |
| src_machine_name | security_result.detection_fields.value | 키가 src_machine_name인 항목과 직접 매핑됩니다. |
| principal.asset.hostname | 직접 매핑됩니다. | |
| principal.hostname | 직접 매핑됩니다. | |
| src_user_dn | security_result.detection_fields.value | 키가 src_user_dn인 항목과 직접 매핑됩니다. |
| src_user_name | principal.user.userid | 직접 매핑됩니다. |
| principal.user.email_addresses | 이메일 주소는 src_user_name 필드가 있고 userid (email) 형식인 경우 이 필드에서 추출됩니다. |
|
| te_verdict_determined_by | security_result.detection_fields.value | 키가 te_verdict_determined_by인 항목과 직접 매핑됩니다. |
| 타임스탬프 | metadata.event_timestamp | 직접 매핑됩니다. |
| trusted_domain | security_result.detection_fields.value | 키가 trusted_domain인 항목과 직접 매핑됩니다. |
| 사용자 | principal.user.userid | src_user_name이 비어 있으면 직접 매핑됩니다. |
| principal.user.email_addresses | 이메일 주소는 사용자 필드에서 추출되며, 존재하는 경우 userid (email) 형식입니다. |
|
| user_name | principal.user.email_addresses | 값이 유효한 이메일 주소인 경우 직접 매핑됩니다. |
| user_sid | principal.user.windows_sid | 직접 매핑됩니다. |
| 결과 | security_result.detection_fields.value | 키가 verdict인 항목과 직접 매핑됩니다. |
| version | additional.fields.value.string_value | 키가 version인 항목과 직접 매핑됩니다. |
| vpn_feature_name | security_result.detection_fields.value | 키가 vpn_feature_name인 항목과 직접 매핑됩니다. |
| web_client_type | security_result.detection_fields.value | 키가 web_client_type인 항목과 직접 매핑됩니다. |
| metadata.log_type | 이 필드는 CHECKPOINT_HARMONY으로 하드코딩되어 있습니다. |
|
| metadata.vendor_name | 이 필드는 CHECKPOINT_HARMONY으로 하드코딩되어 있습니다. |
|
| principal.asset.platform_software.platform | os_name 필드의 값에 따라 WINDOWS, MAC 또는 LINUX에 매핑됩니다. | |
| network.ip_protocol | proto 필드 및 service, service_id와 같은 기타 필드의 값을 기반으로 TCP, UDP, ICMP, IP6IN4 또는 GRE에 매핑됩니다. | |
| security_result.severity | 심각도 필드의 값에 따라 LOW, MEDIUM, HIGH 또는 CRITICAL에 매핑됩니다. | |
| metadata.event_type | 이 필드는 주 구성원과 타겟이 모두 있는 경우 NETWORK_CONNECTION, 주 구성원만 있는 경우 STATUS_UNCATEGORIZED, 그 외의 경우 GENERIC_EVENT로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.