Integrar check point mediante Syslog
En esta sección se describe cómo asegurarse de que los DSM de puntos de verificación JSA acepten eventos de punto de verificación mediante syslog.
Para configurar check point para reenviar eventos syslog a JSA, complete los pasos siguientes:
Si Check Point SmartCenter está instalado en Microsoft Windows, debe integrar Check Point con JSA mediante OPSEC.
-
Escriba el siguiente comando para tener acceso a la consola de Check Point como usuario experto:
expert
Aparecerá un indicador de contraseña.
-
Escriba su contraseña de consola experta. Presione la tecla Intro.
-
Abra el siguiente archivo:
/etc/rc.d/rc3.d/S99local
-
Agregue las siguientes líneas:
$FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &
Dónde:
-
facility<> es una instalación de syslog, por ejemplo, local3.
-
priority<> es una prioridad de syslog, por ejemplo, información.
Por ejemplo:
$FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &
-
-
Guarde y cierre el archivo.
-
Abra el archivo syslog.conf .
-
Agregue la siguiente línea:
<facility>.<priority> <TAB><TAB>@<host>
Dónde:
-
facility<> es la instalación de syslog, por ejemplo, local3. Este valor debe coincidir con el que ha escrito en el paso 4.
-
priority<> es la prioridad del syslog, por ejemplo, información o aviso. Este valor debe coincidir con el que ha escrito en el paso 4.
<TAB> indica que debe presionar la tecla TAB.
host<> indica la consola JSA o el host administrado.
-
-
Guarde y cierre el archivo.
-
Escriba el siguiente comando para reiniciar syslog:
-
En Linux: service syslog restart
-
En Solaris: /etc/init.d/syslog start
-
-
Escriba el siguiente comando:
nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &
Dónde:
-
facility<> es una instalación de Syslog, por ejemplo, local3. Este valor debe coincidir con el que ha escrito en el paso 4.
-
priority<> es una prioridad de Syslog, por ejemplo, información. Este valor debe coincidir con el que ha escrito en el paso 4.
-
La configuración está completa. El origen del registro se agrega a JSA a medida que los eventos syslog de check point se descubren automáticamente. Los eventos que se reenvían a JSA se muestran en la pestaña Actividad de registro .
Configurar el punto de verificación para reenviar eventos DE LEEF a JSA
Para reenviar eventos LEEF a JSA, utilice el exportador de registro de puntos de verificación y configure un nuevo destino para los registros.
El log Exporter se puede instalar en varias versiones de Check Point. Antes de enviar eventos en formato LEEF a JSA, asegúrese de tener la versión correcta de Check Point y Log Exporter instaladas en su entorno.
En la tabla siguiente se describe dónde se admiten los eventos LEEF.
Versión de Check Point |
Comentarios |
---|---|
80.20 |
El registro de exportador se incluye en esta versión. |
80.10 |
Instale Log Exporter y, luego, instale la revisión después. |
77.30 |
Instale Log Exporter y, luego, instale la revisión después. |
Punto de control 80.20
Si desea conservar la configuración del exportador de registros antes de actualizar a Check Point R80.20, siga la copia de seguridad y restaure el registro exportador.
Punto de control R80.10
Asegúrese de que check point versión R80.10 esté instalado en los siguientes servidores:
-
Servidor de registro de varios dominios R80.10
-
Servidor de administración de seguridad
-
Servidor de registro
-
Servidor SmartEvent
Puede instalar Log Exporter en la versión R80.10 Jumbo Revisión Take 56 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, luego, vuelva a instalar la revisión.
Punto de control R77.30
Asegúrese de que check point versión R77.30 esté instalado en los siguientes servidores:
-
Servidor multidominio
-
Servidor de registro de varios dominios
-
Servidor de registro
-
Servidor SmartEvent
Puede instalar Log Exporter en la versión R77.30 Jumbo Revisión Take 292 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, luego, vuelva a instalar la revisión.
-
Para acceder al modo experto en la consola del exportador de registro del punto de verificación mediante la interfaz de línea de comandos, escriba experty, a continuación, presione Retorno.
-
Escriba su contraseña experta y, luego, presione Retorno.
-
Escriba el siguiente comando:
cp_log_export add name <name> [domain-server <domain-server> target-server <target-server IP address > target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(leef)> [optional arguments]
Un nuevo directorio de destino y archivos predeterminados se crean en el directorio $EXPORTERDIR/targets/<deployment_name> .
En la tabla siguiente se muestran los parámetros de ejemplo y sus valores.
Tabla 2: Configuración de destino de ejemplo Parámetro
Valor
Nombre
service_name<>
Habilitado
Verdad
Servidor de destino
QRadar_IP_address<>
Puerto de destino
514
Protocolo
TCP
Formato
LEEF
Modo de lectura
Semiautóno unificado
El valor predeterminado para el parámetro modo de lectura es
Semi-unified
asegurarse de que se recopilan los datos completos. -
Para cambiar una configuración, escriba
cp_log_export set
. -
Para comprobar una configuración en una implementación existente, escriba
cp_log_export
show. -
Para iniciar Log Exporter automáticamente, escriba el siguiente comando:
cp_log_export restart
.De forma predeterminada, el registro del exportador no se inicia automáticamente.
Resultados
Si JSA no recibe eventos de Check Point, pruebe estos consejos para la resolución de problemas:
-
Compruebe el archivo $EXPORTERDIR/targets/<deployment_name>//conf/LeefFieldsMapping.xml para detectar problemas de asignación de atributos.
-
Compruebe el archivo $EXPORTERDIR/targets/<deployment_name>//conf/LeefFormatDefinition.xml para detectar problemas de asignación de encabezados LEEF.
-
Compruebe las rutas del archivo. Las rutas de los archivos pueden cambiar con las actualizaciones de Check Point. Si no se encuentra un archivo de configuración, póngase en contacto con el administrador de Check Point.
Parámetros de origen del registro syslog para check point
Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de Check Point en la consola JSA mediante el protocolo Syslog.
Cuando se usa el protocolo Syslog, hay parámetros específicos que debe usar.
En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos Syslog desde el punto de verificación:
Parámetro |
Valor |
---|---|
Tipo de fuente de registro |
Punto de control |
Configuración de protocolo |
Syslog |
Identificador de origen de registro |
Escriba la dirección IP o el nombre de host del origen del registro como identificador para eventos desde sus dispositivos de check point. |
Configuración de JSA para recibir eventos LEEF desde el punto de verificación
De forma predeterminada, los eventos LEEF de check point se asignan al esquema heredado de asignación de eventos OPSEC LEA. Si desea cambiar la forma en que JSA asigna eventos, puede usar el Editor de DSM para deshabilitar la asignación de eventos heredados.
-
Haga clic en la pestaña Admin .
-
En la sección Orígenes de datos , haga clic en Editor de DSM.
-
En la ventana Seleccionar tipo de origen de registro , seleccione Punto de verificación de la lista y haga clic en Seleccionar.
-
En la ficha Configuración, establezca Mostrar configuración de parámetros de DSM en.
-
En la lista Recopilador de eventos, seleccione el recopilador de eventos para el origen del registro.
-
Establezca Deshabilitar asignación de eventos heredados para activar.
-
Haga clic en Guardar y cierre el Editor de DSM.
Configuración de JSA 7.3.0 para recibir eventos DE LEEF desde check point
De forma predeterminada, los eventos LEEF de check point se asignan al esquema heredado de asignación de eventos OPSEC LEA. Si desea cambiar la forma en que JSA 7.3.0 asigna eventos, puede deshabilitar la asignación de eventos heredados mediante la línea de comandos.
-
Con SSH, inicie sesión en la consola JSA como usuario raíz.
Para crear un nuevo archivo de propiedades o editar un archivo de propiedades existente, escriba el siguiente comando:
vi /opt/qradar/conf/CheckPoint.propertiesPara deshabilitar la asignación de eventos heredados, agregue la línea siguiente en el archivo de texto:
useLEEFMapping=true-
Para habilitar la asignación de eventos heredados, utilice una de las siguientes opciones:
Opcional: Elimine la línea siguiente:
useLEEFMapping=true-
Opcional: Cambie la línea useLEEFMapping=true para usarLEEFMapping=false.
-
Guarda los cambios y, luego, salga del terminal.
-
Reinicie el servicio de recopilación de eventos. Para obtener más información, consulte Reiniciar el servicio de recopilación de eventos.
Mensajes de evento de ejemplo de Syslog para el punto de verificación
Utilice estos mensajes de evento de ejemplo para comprobar que la integración con JSA es correcta.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine los caracteres de retorno de transporte o fuente de línea.
Mensaje de ejemplo de punto de verificación cuando se utiliza el protocolo Syslog
Ejemplo 1: En el siguiente mensaje de evento de ejemplo se muestra que se identifica una conexión de confianza y se marca como flujo de elefanta.
<13>Sep 30 07:13:59 checkpoint.checkpoint.test 30Sep2020 07:13:59 10.1.253.3 product: VPN-1 &FireWall-1; src: 10.3.5.15; s_port: 61172; dst: 10.254.4.3; service: 53; proto: udp; rule:; policy_id_tag: product=VPN-1 & FireWall-1[db_tag={666B9F89-D1F9-7848-B5FB- BF8D97B768F8};mgmt=fwmgmt; date=1601441138;policy_name=CBS_policy_Simplified_PlusDeskt];dst_machine_name: *** Confidential ***;dst_user_name: *** Confidential ***;fw_message: Connection is marked as trusted elephant flow. Use fastaccel tool to edit configuration if needed.;has_accounting: 0;i/f_dir: inbound;is_first_for_luuid: 131072;logId: -1;log_sequence_num: 11;log_type: log;log_version: 5;origin_sic_name: CN=x01_fw1,O=fwmgmt. cu.com.pl.8pjujj;snid: 0;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;
Nombre de campo JSA |
Valores destacados en la carga del evento |
---|---|
Nombre de usuario |
Confidencial*** |
IP de origen |
10.3.5.15 |
Puerto de origen |
61172 |
IP de destino |
10.254.4.3 |
Puerto de destino |
53 |
Tiempo del dispositivo |
30 de septiembre 07:13:59 |
Ejemplo 2: El siguiente mensaje de evento de ejemplo muestra que el inicio de sesión de un usuario se realiza correctamente.
LEEF:2.0|Check Point|Linux OS|1.0|Log In|cat=Linux OS devTime=1539878943 usrName=cpaction=Log In ifdir=inbound loguid={0x5bc8b020,0x3,0x6a9610ac,0xee29cd8} origin=172.16.150.106 sequencenum=4 version=5 application=su default_device_message=<86>su: pam_unix(su:session):session opened for user cp_postgres by (uid\\=0) facility=security/authorization messages login_status=succeeded product_category=OS syslog_severity=Informational
Nombre de campo JSA |
Valores destacados en la carga del evento |
---|---|
ID de evento |
Inicio de sesión exitoso |
Categoría de evento |
Sistema operativo Linux |
Nombre de usuario |
Cp |
IP de origen |
172.16.150.106 |
Tiempo del dispositivo |
18 de octubre 13:09:03 ADT |
IP de identidad |
172.16.150.106 |
Nombre de usuario de identidad |
Cp |