Recopila registros de Check Point SmartDefense

Compatible con:

En este documento, se explica cómo transferir registros de Check Point SmartDefense a Google Security Operations con Bindplane. El analizador extrae campos de los registros con formato syslog de Check Point SmartDefense. Usa grok o kv para analizar el mensaje de registro y, luego, asigna estos valores al Modelo de datos unificado (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Es una instancia de Google SecOps.
  • Un host de Windows 2016 o posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso con privilegios a la consola o el dispositivo de administración de Check Point SmartDefense

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agente de recopilación.
  3. Descarga el archivo de autenticación de transferencia.
    • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CHECKPOINT_SMARTDEFENSE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    sc stop observiq-otel-collector && sc start observiq-otel-collector

Configura el reenvío de Syslog en Check Point SmartDefense

En las siguientes secciones, se describen los pasos para configurar el reenvío de Syslog en Check Point SmartDefense.

Paso 1: Crea un objeto de exportador de registros o SIEM en SmartConsole

  1. Accede a Check Point SmartConsole.
  2. Ve a Objetos > Más tipos de objetos > Servidor > Log Exporter/SIEM.
  3. Haz clic en Nuevo para crear un objeto Log Exporter nuevo.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre del objeto: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Bindplane).
    • Export Configuration: Selecciona Enabled.
    • Servidor de destino: Ingresa la dirección IP del agente de BindPlane.
    • Puerto de destino: Ingresa 514 (o el número de puerto del agente de BindPlane que configuraste).
    • Protocolo: Selecciona UDP.
  5. Ve a la página Manipulación de datos.
  6. Proporciona los siguientes detalles de configuración:
    • Formato: Selecciona Formato de evento común (CEF).
    • Zona horaria: Selecciona la zona horaria UTC para garantizar la coherencia universal en todos los sistemas.
  7. Haz clic en Aceptar para guardar la configuración.

Paso 2: Configura el servidor de administración o el servidor de registros

  1. En SmartConsole, ve a Gateways & Servers.
  2. Abre el objeto Servidor de administración o Servidor de registro dedicado/Servidor de SmartEvent.
  3. Ve a Registros > Exportar.
  4. Haz clic en + y selecciona el objeto de Log Exporter/SIEM que configuraste antes.
  5. Haz clic en Aceptar.

Paso 3: Instala la política de la base de datos

  1. En el menú superior, haz clic en Install > Install database.
  2. Selecciona todos los objetos.
  3. Haz clic en Install.

Paso 4: Verifica la configuración de exportación de registros

  1. Conéctate a la línea de comandos en el servidor de administración y de registro.
  2. Accede al modo Experto.

  3. Ejecuta el siguiente comando para verificar la configuración:

    cp_log_export show

  4. Para reiniciar el exportador de registros si es necesario, haz lo siguiente:

    cp_log_export restart

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.