收集 Check Point SmartDefense 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Check Point SmartDefense 記錄檔擷取至 Google Security Operations。剖析器會從 SYSLOG 格式的 Check Point SmartDefense 記錄檔中擷取欄位,執行資料轉換和對應作業,並將輸出內容建構為 Google SecOps 統合式資料模型 (UDM),以供安全分析使用。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • Check Point SmartConsole 和管理伺服器的特權存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_SMARTDEFENSE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 SmartConsole 中設定 Syslog 伺服器物件

  1. 使用 SmartConsole 連線至管理伺服器
  2. 前往「閘道和伺服器」
  3. 在「物件總管」中,依序按一下「新增」>「主機」
  4. 提供下列設定詳細資料:
    • 名稱:輸入不重複的名稱。
    • IPv4 位址:輸入 Bindplane 代理程式 IP 位址。
  5. 按一下 [確定]
  6. 在「物件總管」中,依序點選「新增」>「伺服器」>「更多」>「系統記錄」
  7. 提供下列設定詳細資料:
    • 名稱:輸入不重複的名稱。
    • 主機:選取先前建立的主機。
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號 (預設為 514)。
    • 「版本」:選取「Syslog Protocol」(系統記錄通訊協定)
  8. 按一下 [確定]

在安全閘道中選取已設定的系統記錄

  1. 按兩下「Security Gateway」(安全閘道) 物件。
  2. 按一下「Logs」(記錄檔)
  3. 在「將記錄和快訊傳送至這些記錄伺服器」表格中,按一下綠色的「(+)」,然後選取您先前設定的「Syslog Server」物件。
  4. 按一下「確定」並安裝政策。

設定 fwsyslog_enable

  1. 使用 CLI 連線至安全閘道和每個叢集成員
  2. 切換至專家模式

  3. 編輯 $FWDIR/boot/modules/fwkern.conf 檔案:

    vi $FWDIR/boot/modules/fwkern.conf

  4. 新增下列程式碼:

    fwsyslog_enable=1

  5. 儲存檔案中的變更並結束編輯器。

  6. 重新啟動安全閘道 / 每個叢集成員。

UDM 對應表

記錄欄位 UDM 對應 邏輯
act read_only_udm.security_result.action 原始記錄中「act」欄位的值。
additional_info read_only_udm.security_result.description 原始記錄中「additional_info」欄位的值。
管理員 read_only_udm.target.user.user_display_name 原始記錄中「administrator」欄位的值。
留言 read_only_udm.additional.fields.value.string_value 原始記錄檔中「comment」欄位的值。金鑰會以硬式編碼方式指定為 comment
deviceDirection read_only_udm.network.direction 如果 deviceDirection=1,則為 OUTBOUND,否則為 INBOUND。
ifname read_only_udm.additional.fields.value.string_value 原始記錄檔中「ifname」欄位的值。金鑰會以硬式編碼方式指定為 ifname
loguid read_only_udm.metadata.product_log_id 原始記錄中「loguid」欄位的值。
log_sys_message read_only_udm.metadata.description 原始記錄中「log_sys_message」欄位的值。
msg read_only_udm.metadata.description 原始記錄中「msg」欄位的值。
作業 read_only_udm.security_result.action_details 原始記錄中「operation」欄位的值。
來源 read_only_udm.intermediary.ip 原始記錄中「origin」欄位的值。
originsicname read_only_udm.additional.fields.value.string_value 原始記錄檔中「originsicname」欄位的值。金鑰會以硬式編碼方式指定為 originsicname
結果 read_only_udm.security_result.outcomes.value 原始記錄檔中「outcome」欄位的值。金鑰會以硬式編碼方式指定為 outcome
產品 read_only_udm.metadata.product_name 原始記錄中「product」欄位的值。
rt read_only_udm.metadata.event_timestamp.seconds 原始記錄中 rt 欄位的值,已轉換為秒數。
sendtotrackerasadvancedauditlog read_only_udm.additional.fields.value.string_value 原始記錄檔中「sendtotrackerasadvancedauditlog」欄位的值。金鑰會以硬式編碼方式指定為 sendtotrackerasadvancedauditlog
sequencenum read_only_udm.additional.fields.value.string_value 原始記錄檔中「sequencenum」欄位的值。金鑰會以硬式編碼方式指定為 sequencenum
session_uid read_only_udm.additional.fields.value.string_value 原始記錄檔中「session_uid」欄位的值。金鑰會以硬式編碼方式指定為 session_uid
sntdom read_only_udm.principal.administrative_domain 原始記錄中「sntdom」欄位的值。
src read_only_udm.principal.ip 原始記錄中「src」欄位的值。
主旨 read_only_udm.security_result.summary 原始記錄中「subject」欄位的值。
update_service read_only_udm.additional.fields.value.string_value 原始記錄檔中「update_service」欄位的值。金鑰會以硬式編碼方式指定為 update_service
version read_only_udm.additional.fields.value.string_value 原始記錄檔中「version」欄位的值。金鑰會以硬式編碼方式指定為 version
不適用 read_only_udm.metadata.event_type 如果原始記錄中存在 host 欄位,則為 STATUS_UPDATE。如果 operation 欄位等於 Log Out,則為 USER_LOGOUT。如果 operation 欄位等於 Log In,則為 USER_LOGIN。否則為 GENERIC_EVENT
不適用 read_only_udm.metadata.vendor_name 硬式編碼值:Check Point
不適用 read_only_udm.metadata.product_version 硬式編碼值:Check Point
不適用 read_only_udm.metadata.product_event_type 硬式編碼值:[Log] - Log
不適用 read_only_udm.metadata.log_type 硬式編碼值:CHECKPOINT_FIREWALL
不適用 read_only_udm.principal.hostname 原始記錄中「host」欄位的值。
不適用 read_only_udm.principal.asset.hostname 原始記錄中「host」欄位的值。
不適用 read_only_udm.extensions.auth.type 如果 operation 欄位等於 Log OutLog In,則為 AUTHTYPE_UNSPECIFIED
不適用 read_only_udm.extensions.auth.mechanism 如果 operation 欄位等於 Log OutLog In,則為 MECHANISM_UNSPECIFIED

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。