Mengumpulkan log Check Point SmartDefense

Didukung di:

Dokumen ini menjelaskan cara menyerap log Check Point SmartDefense ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log yang diformat syslog Check Point SmartDefense. Log ini menggunakan grok atau kv untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Selain itu, fungsi ini menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Host Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen BindPlane.
  • Akses istimewa ke konsol atau perangkat pengelolaan Check Point SmartDefense.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agent.
  3. Download File Autentikasi Penyerapan.
    • Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CHECKPOINT_SMARTDEFENSE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
    • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    sc stop observiq-otel-collector && sc start observiq-otel-collector

Mengonfigurasi penerusan Syslog di Check Point SmartDefense

Bagian berikut menjelaskan langkah-langkah untuk menyiapkan penerusan Syslog di CheckPoint SmartDefense,

Langkah 1: Buat Objek Log Exporter/SIEM di SmartConsole

  1. Login ke Check Point SmartConsole.
  2. Buka Objek > Jenis objek lainnya > Server > Log Exporter/SIEM.
  3. Klik Baru untuk membuat objek Log Exporter baru.
  4. Berikan detail konfigurasi berikut:
    • Nama Objek: Masukkan nama deskriptif (misalnya, Google SecOps Bindplane).
    • Export Configuration: Pilih Enabled.
    • Server Target: Masukkan alamat IP agen Bindplane.
    • Target Port: Masukkan 514 (atau nomor port agen Bindplane yang dikonfigurasi).
    • Protocol: Pilih UDP.
  5. Buka halaman Manipulasi Data.
  6. Berikan detail konfigurasi berikut:
    • Format: Pilih Common Event Format (CEF).
    • Zona waktu: Pilih zona waktu UTC untuk konsistensi universal di seluruh sistem.
  7. Klik OK untuk menyimpan konfigurasi.

Langkah 2: Konfigurasi Server Pengelolaan atau Server Log

  1. Di SmartConsole, buka Gateways & Servers.
  2. Buka objek Management Server atau Dedicated Log Server/SmartEvent Server Anda.
  3. Buka Log > Ekspor.
  4. Klik +, lalu pilih objek Log Exporter/SIEM yang Anda konfigurasi sebelumnya.
  5. Klik Oke.

Langkah 3: Instal Kebijakan Database

  1. Dari menu atas, klik Instal > Instal database.
  2. Pilih semua objek.
  3. Klik Instal.

Langkah 4: Verifikasi Konfigurasi Ekspor Log

  1. Hubungkan ke command line di Server Pengelolaan-Server Log.
  2. Login ke mode Pakar.

  3. Jalankan perintah berikut untuk memverifikasi konfigurasi:

    cp_log_export show

  4. Untuk memulai ulang Log Exporter jika diperlukan:

    cp_log_export restart

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.