收集 Check Point SmartDefense 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Check Point SmartDefense 日志注入到 Google Security Operations。解析器从 SYSLOG 格式的 Check Point SmartDefense 日志中提取字段,执行数据转换和映射,并将输出结构化为 Google SecOps 统一数据模型 (UDM),以进行安全分析。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Check Point SmartConsole 和管理服务器的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_SMARTDEFENSE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 SmartConsole 中配置 Syslog 服务器对象

  1. 使用 SmartConsole 连接到管理服务器
  2. 前往网关和服务器
  3. 对象浏览器中,依次点击新建 > 主机
  4. 提供以下配置详细信息:
    • 名称:输入唯一名称。
    • IPv4 地址:输入 Bindplane 代理 IP 地址。
  5. 点击确定
  6. 对象资源管理器中,依次点击新建 > 服务器 > 更多 > Syslog
  7. 提供以下配置详细信息:
    • 名称:输入唯一名称。
    • 主机:选择之前创建的主机。
    • 端口:输入 Bindplane 代理端口号(默认值为 514)。
    • 版本:选择 Syslog 协议
  8. 点击确定

在安全网关中选择已配置的 Syslog

  1. 双击 Security Gateway 对象。
  2. 点击日志
  3. 将日志和提醒发送到这些日志服务器表格中,点击绿色 (+),然后选择您之前配置的 Syslog 服务器对象。
  4. 点击确定,然后安装政策。

配置 fwsyslog_enable

  1. 使用 CLI 连接到安全网关和每个集群成员
  2. 切换到专家模式

  3. 修改 $FWDIR/boot/modules/fwkern.conf 文件:

    vi $FWDIR/boot/modules/fwkern.conf

  4. 添加以下行:

    fwsyslog_enable=1

  5. 保存文件中的更改并退出编辑器。

  6. 重新启动安全网关 / 每个集群成员。

UDM 映射表

日志字段 UDM 映射 逻辑
act read_only_udm.security_result.action 原始日志中 act 字段的值。
additional_info read_only_udm.security_result.description 原始日志中 additional_info 字段的值。
管理员 read_only_udm.target.user.user_display_name 原始日志中 administrator 字段的值。
评论 read_only_udm.additional.fields.value.string_value 原始日志中 comment 字段的值。密钥已硬编码为 comment
deviceDirection read_only_udm.network.direction 如果 deviceDirection=1,则为 OUTBOUND;否则为 INBOUND。
ifname read_only_udm.additional.fields.value.string_value 原始日志中 ifname 字段的值。密钥已硬编码为 ifname
loguid read_only_udm.metadata.product_log_id 原始日志中 loguid 字段的值。
log_sys_message read_only_udm.metadata.description 原始日志中 log_sys_message 字段的值。
msg read_only_udm.metadata.description 原始日志中 msg 字段的值。
操作 read_only_udm.security_result.action_details 原始日志中 operation 字段的值。
来源 read_only_udm.intermediary.ip 原始日志中 origin 字段的值。
originsicname read_only_udm.additional.fields.value.string_value 原始日志中 originsicname 字段的值。密钥已硬编码为 originsicname
结果 read_only_udm.security_result.outcomes.value 原始日志中 outcome 字段的值。密钥已硬编码为 outcome
产品 read_only_udm.metadata.product_name 原始日志中 product 字段的值。
rt read_only_udm.metadata.event_timestamp.seconds 原始日志中 rt 字段的值,已转换为秒。
sendtotrackerasadvancedauditlog read_only_udm.additional.fields.value.string_value 原始日志中 sendtotrackerasadvancedauditlog 字段的值。密钥已硬编码为 sendtotrackerasadvancedauditlog
sequencenum read_only_udm.additional.fields.value.string_value 原始日志中 sequencenum 字段的值。密钥已硬编码为 sequencenum
session_uid read_only_udm.additional.fields.value.string_value 原始日志中 session_uid 字段的值。密钥已硬编码为 session_uid
sntdom read_only_udm.principal.administrative_domain 原始日志中 sntdom 字段的值。
src read_only_udm.principal.ip 原始日志中 src 字段的值。
subject read_only_udm.security_result.summary 原始日志中 subject 字段的值。
update_service read_only_udm.additional.fields.value.string_value 原始日志中 update_service 字段的值。密钥已硬编码为 update_service
版本 read_only_udm.additional.fields.value.string_value 原始日志中 version 字段的值。密钥已硬编码为 version
不适用 read_only_udm.metadata.event_type 如果原始日志中存在 host 字段,则为 STATUS_UPDATE。如果 operation 字段等于 Log Out,则为 USER_LOGOUT。如果 operation 字段等于 Log In,则为 USER_LOGIN。否则为 GENERIC_EVENT
不适用 read_only_udm.metadata.vendor_name 硬编码值:Check Point
不适用 read_only_udm.metadata.product_version 硬编码值:Check Point
不适用 read_only_udm.metadata.product_event_type 硬编码值:[Log] - Log
不适用 read_only_udm.metadata.log_type 硬编码值:CHECKPOINT_FIREWALL
不适用 read_only_udm.principal.hostname 原始日志中 host 字段的值。
不适用 read_only_udm.principal.asset.hostname 原始日志中 host 字段的值。
不适用 read_only_udm.extensions.auth.type 如果 operation 字段等于 Log OutLog In,则为 AUTHTYPE_UNSPECIFIED
不适用 read_only_udm.extensions.auth.mechanism 如果 operation 字段等于 Log OutLog In,则为 MECHANISM_UNSPECIFIED

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。