Check Point SmartDefense のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Check Point SmartDefense ログを Google Security Operations に取り込む方法について説明します。このパーサーは、Check Point SmartDefense の Syslog 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス。
- Windows 2016 以降、または
systemdを使用する Linux ホスト。 - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Check Point SmartDefense 管理コンソールまたはアプライアンスへの特権アクセス。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CHECKPOINT_SMARTDEFENSE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<CUSTOMER_ID>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorWindows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
sc stop observiq-otel-collector && sc start observiq-otel-collector
Check Point SmartDefense で Syslog 転送を構成する
以降のセクションでは、CheckPoint SmartDefense で Syslog 転送を設定する手順について説明します。
ステップ 1: SmartConsole でログ エクスポータ/SIEM オブジェクトを作成する
- Check Point SmartConsole にログインします。
- [Objects] > [More object types] > [Server] > [Log Exporter/SIEM] に移動します。
- [新規] をクリックして、新しいログ エクスポーター オブジェクトを作成します。
- 次の構成の詳細を入力します。
- オブジェクト名: わかりやすい名前を入力します(例:
Google SecOps Bindplane)。 - Export Configuration: [Enabled] を選択します。
- ターゲット サーバー: Bindplane エージェントの IP アドレスを入力します。
- ターゲット ポート:
514(または構成した Bindplane エージェントのポート番号)を入力します。 - Protocol: [UDP] を選択します。
- オブジェクト名: わかりやすい名前を入力します(例:
- [データ操作] ページに移動します。
- 次の構成の詳細を入力します。
- 形式: [Common Event Format(CEF)] を選択します。
- タイムゾーン: システム全体で一貫性を保つため、UTC タイムゾーンを選択します。
- [OK] をクリックして構成を保存します。
ステップ 2: Management Server または Log Server を構成する
- SmartConsole で、[Gateways & Servers] に移動します。
- 管理サーバーまたは専用ログサーバー/SmartEvent サーバー オブジェクトを開きます。
- [ログ>エクスポート] に移動します。
- [+] をクリックし、以前に構成した Log Exporter/SIEM オブジェクトを選択します。
- [OK] をクリックします。
ステップ 3: データベース ポリシーをインストールする
- 上部のメニューで、[Install > Install database] をクリックします。
- すべてのオブジェクトを選択します。
- [インストール] をクリックします。
ステップ 4: ログ エクスポート構成を確認する
- Management Server-Log Server のコマンドラインに接続します。
- エキスパート モードにログインします。
次のコマンドを実行して、構成を確認します。
cp_log_export show必要に応じて Log Exporter を再起動するには:
cp_log_export restart
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。