Collecter les journaux Check Point SmartDefense

Compatible avec :

Ce document explique comment ingérer des journaux Check Point SmartDefense dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux au format syslog Check Point SmartDefense. Il utilise grok ou kv pour analyser le message de journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également des valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps.
  • Un hôte Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console ou à l'appliance de gestion Check Point SmartDefense.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agent de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.
    • Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    • Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CHECKPOINT_SMARTDEFENSE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
    • Remplacez <CUSTOMER_ID> par le numéro client réel.
    • Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès à l'emplacement où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    sc stop observiq-otel-collector && sc start observiq-otel-collector

Configurer le transfert Syslog sur Check Point SmartDefense

Les sections suivantes décrivent les étapes de configuration du transfert Syslog sur CheckPoint SmartDefense.

Étape 1 : Créez un objet Log Exporter/SIEM dans SmartConsole

  1. Connectez-vous à la Check Point SmartConsole.
  2. Accédez à Objets> Plus de types d'objets> Serveur> Exportateur de journaux/SIEM.
  3. Cliquez sur Nouveau pour créer un objet Log Exporter.
  4. Fournissez les informations de configuration suivantes :
    • Nom de l'objet : saisissez un nom descriptif (par exemple, Google SecOps Bindplane).
    • Export Configuration (Exporter la configuration) : sélectionnez Enabled (Activé).
    • Serveur cible : saisissez l'adresse IP de l'agent Bindplane.
    • Port cible : saisissez 514 (ou le numéro de port de l'agent Bindplane que vous avez configuré).
    • Protocole : sélectionnez UDP.
  5. Accédez à la page Manipulation des données.
  6. Fournissez les informations de configuration suivantes :
    • Format : sélectionnez Common Event Format (CEF).
    • Fuseau horaire : sélectionnez le fuseau horaire UTC pour une cohérence universelle entre les systèmes.
  7. Cliquez sur OK pour enregistrer la configuration.

Étape 2 : Configurez le serveur de gestion ou le serveur de journaux

  1. Dans SmartConsole, accédez à Gateways & Servers (Passerelles et serveurs).
  2. Ouvrez votre objet Management Server (Serveur de gestion) ou Dedicated Log Server/SmartEvent Server (Serveur de journaux dédié/Serveur SmartEvent).
  3. Accédez à Journaux > Exporter.
  4. Cliquez sur +, puis sélectionnez l'objet Log Exporter/SIEM que vous avez configuré précédemment.
  5. Cliquez sur OK.

Étape 3 : Installez la règle de base de données

  1. Dans le menu du haut, cliquez sur Installer > Installer la base de données.
  2. Sélectionnez tous les objets.
  3. Cliquez sur Installer.

Étape 4 : Vérifiez la configuration de l'exportation des journaux

  1. Connectez-vous à la ligne de commande sur le serveur de gestion et le serveur de journaux.
  2. Connectez-vous au mode Expert.

  3. Exécutez la commande suivante pour vérifier la configuration :

    cp_log_export show

  4. Pour redémarrer l'exportateur de journaux si nécessaire :

    cp_log_export restart

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.