Esta página foi traduzida pela API Cloud Translation.

Recolha registos de auditoria do Check Point

Compatível com:

Google secops SIEM

Este documento explica como carregar registos de auditoria do Check Point para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos de auditoria da firewall da Check Point no formato SYSLOG ou CEF, realiza transformações de dados e mapeamento, e estrutura o resultado no modelo de dados unificado (UDM) do Google Security Operations para a análise de segurança. Especificamente, processa eventos de início e fim de sessão do utilizador, atualizações de estado e enriquece os dados com contexto adicional dos registos.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao dispositivo Check Point

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_AUDIT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no Check Point

Inicie sessão na Checkpoint Management Console.
Aceda a Registos e monitorização > Exportação de registos.
Clique em Adicionar.
Escolha Syslog como o tipo de exportação.
Indique os seguintes detalhes de configuração:
- Nome: introduza um nome para a configuração (por exemplo, Google SecOps Export).
- Destino: introduza o endereço IP do agente Bindplane.
- Porta: introduza o número da porta do agente do Bindplane.
- Exportação de registos: selecione Registos de auditoria ou Tudo.
- Formato Syslog: selecione RFC 3164 ou RFC 5424.
Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
agir	read_only_udm.security_result.action	Valor do campo `act` no registo não processado.
additional_info	read_only_udm.security_result.description	Valor do campo `additional_info` no registo não processado.
administrator	read_only_udm.target.user.user_display_name	Valor do campo `administrator` no registo não processado.
comentário	read_only_udm.additional.fields.value.string_value	Valor do campo `comment` no registo não processado. A chave está codificada como `comment`.
deviceDirection	read_only_udm.network.direction	Se `deviceDirection`=1, então OUTBOUND, caso contrário, INBOUND.
ifname	read_only_udm.additional.fields.value.string_value	Valor do campo `ifname` no registo não processado. A chave está codificada como `ifname`.
loguid	read_only_udm.metadata.product_log_id	Valor do campo `loguid` no registo não processado.
log_sys_message	read_only_udm.metadata.description	Valor do campo `log_sys_message` no registo não processado.
msg	read_only_udm.metadata.description	Valor do campo `msg` no registo não processado.
operação	read_only_udm.security_result.action_details	Valor do campo `operation` no registo não processado.
origem	read_only_udm.intermediary.ip	Valor do campo `origin` no registo não processado.
originsicname	read_only_udm.additional.fields.value.string_value	Valor do campo `originsicname` no registo não processado. A chave está codificada como `originsicname`.
resultado	read_only_udm.security_result.outcomes.value	Valor do campo `outcome` no registo não processado. A chave está codificada como `outcome`.
produto	read_only_udm.metadata.product_name	Valor do campo `product` no registo não processado.
rt	read_only_udm.metadata.event_timestamp.seconds	Valor do campo `rt` no registo não processado, convertido em segundos.
sendtotrackerasadvancedauditlog	read_only_udm.additional.fields.value.string_value	Valor do campo `sendtotrackerasadvancedauditlog` no registo não processado. A chave está codificada como `sendtotrackerasadvancedauditlog`.
sequencenum	read_only_udm.additional.fields.value.string_value	Valor do campo `sequencenum` no registo não processado. A chave está codificada como `sequencenum`.
session_uid	read_only_udm.additional.fields.value.string_value	Valor do campo `session_uid` no registo não processado. A chave está codificada como `session_uid`.
sntdom	read_only_udm.principal.administrative_domain	Valor do campo `sntdom` no registo não processado.
src	read_only_udm.principal.ip	Valor do campo `src` no registo não processado.
assunto	read_only_udm.security_result.summary	Valor do campo `subject` no registo não processado.
update_service	read_only_udm.additional.fields.value.string_value	Valor do campo `update_service` no registo não processado. A chave está codificada como `update_service`.
versão	read_only_udm.additional.fields.value.string_value	Valor do campo `version` no registo não processado. A chave está codificada como `version`.
N/A	read_only_udm.metadata.event_type	Se o campo `host` existir no registo não processado, então `STATUS_UPDATE`. Se o campo `operation` for igual a `Log Out`, então `USER_LOGOUT`. Se o campo `operation` for igual a `Log In`, então `USER_LOGIN`. Caso contrário, `GENERIC_EVENT`.
N/A	read_only_udm.metadata.vendor_name	Valor codificado: `Check Point`.
N/A	read_only_udm.metadata.product_version	Valor codificado: `Check Point`.
N/A	read_only_udm.metadata.product_event_type	Valor codificado: `[Log] - Log`.
N/A	read_only_udm.metadata.log_type	Valor codificado: `CHECKPOINT_FIREWALL`.
N/A	read_only_udm.principal.hostname	Valor do campo `host` no registo não processado.
N/A	read_only_udm.principal.asset.hostname	Valor do campo `host` no registo não processado.
N/A	read_only_udm.extensions.auth.type	Se o campo `operation` for igual a `Log Out` ou `Log In`, então `AUTHTYPE_UNSPECIFIED`.
N/A	read_only_udm.extensions.auth.mechanism	Se o campo `operation` for igual a `Log Out` ou `Log In`, então `MECHANISM_UNSPECIFIED`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.