Raccogliere i log di Check Point SmartDefense

Questo documento spiega come importare i log di Check Point SmartDefense in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai log formattati syslog di Check Point SmartDefense. Utilizza grok o kv per analizzare il messaggio di log e poi mappa questi valori sul modello unificato dei dati (UDM). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps.
• Un host Windows 2016 o versioni successive oppure Linux con systemd.
• Se l'agente viene eseguito tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
• Accesso privilegiato alla console o all'appliance di gestione Check Point SmartDefense.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agente di raccolta.
3. Scarica il file di autenticazione importazione.
   • Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'CHECKPOINT_SMARTDEFENSE'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart observiq-otel-collector
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  sc stop observiq-otel-collector && sc start observiq-otel-collector
  

Configurare l'inoltro di Syslog su Check Point SmartDefense

Le sezioni seguenti descrivono i passaggi per configurare l'inoltro di Syslog su CheckPoint SmartDefense,

Passaggio 1: crea l'oggetto Log Exporter/SIEM in SmartConsole

1. Accedi a Check Point SmartConsole.
2. Vai a Oggetti > Altri tipi di oggetti > Server > Esportatore log/SIEM.
3. Fai clic su Nuovo per creare un nuovo oggetto Log Exporter.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome oggetto: inserisci un nome descrittivo (ad esempio, Google SecOps Bindplane).
   • Export Configuration (Configurazione esportazione): seleziona Enabled (Attivata).
   • Server di destinazione: inserisci l'indirizzo IP dell'agente Bindplane.
   • Porta di destinazione: inserisci 514 (o il numero di porta dell'agente Bindplane configurato).
   • Protocollo: seleziona UDP.
5. Vai alla pagina Manipolazione dei dati.
6. Fornisci i seguenti dettagli di configurazione:
   • Formato: seleziona Common Event Format (CEF).
   • Fuso orario: seleziona il fuso orario UTC per una coerenza universale tra i sistemi.
7. Fai clic su Ok per salvare la configurazione.

Passaggio 2: configura il server di gestione o il server di log

1. In SmartConsole, vai a Gateway e server.
2. Apri l'oggetto Management Server o Dedicated Log Server/SmartEvent Server.
3. Vai a Log > Esporta.
4. Fai clic su + e seleziona l'oggetto Esportatore log/SIEM che hai configurato in precedenza.
5. Fai clic su OK.

Passaggio 3: installa Database Policy

1. Nel menu in alto, fai clic su Installa > Installa database.
2. Seleziona tutti gli oggetti.
3. Fai clic su Installa.

Passaggio 4: verifica la configurazione dell'esportazione dei log

1. Connettiti alla riga di comando sul server di gestione e sul server di log.
2. Accedi alla modalità Esperto.

3. Esegui questo comando per verificare la configurazione:

   cp_log_export show
   

4. Per riavviare Log Exporter, se necessario:

   cp_log_export restart
   

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.