Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Check Point SmartDefense

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Check Point SmartDefense para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos do CheckPoint SmartDefense no formato SYSLOG, realiza transformações e mapeamentos de dados e estrutura a saída no modelo de dados unificado (UDM) do Google SecOps para a análise de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado à Check Point SmartConsole e ao Management Server

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_SMARTDEFENSE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure objetos do servidor Syslog na SmartConsole

Estabeleça ligação com a SmartConsole ao servidor de gestão.
Aceda a Gateways e servidores.
No Object Explorer, clique em Novo > Anfitrião.
Indique os seguintes detalhes de configuração:
- Nome: introduza um nome exclusivo.
- Endereço IPv4: introduza o endereço IP do agente Bindplane.
Clique em OK.
No Object Explorer, clique em Novo > Servidor > Mais > Syslog.
Indique os seguintes detalhes de configuração:
- Nome: introduza um nome exclusivo.
- Anfitrião: selecione o anfitrião criado anteriormente.
- Porta: introduza o número da porta do agente Bindplane (predefinição: 514).
- Versão: selecione Protocolo Syslog.
Clique em OK.

Selecione o Syslog configurado no gateway de segurança

Clique duas vezes no objeto Security Gateway.
Clique em Registos.
Na tabela Enviar registos e alertas para estes servidores de registos, clique no (+) verde e selecione o objeto Servidor Syslog que configurou anteriormente.
Clique em OK e instale a política.

Configure fwsyslog_enable

Estabeleça ligação através da CLI ao Security Gateway e a cada membro do cluster.
Mude para o modo Especialista.
Edite o ficheiro $FWDIR/boot/modules/fwkern.conf:
```
vi $FWDIR/boot/modules/fwkern.conf
```
Adicione a seguinte linha:
```
fwsyslog_enable=1
```
Guarde as alterações no ficheiro e saia do editor.
Reinicie o gateway de segurança / cada membro do cluster.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
agir	read_only_udm.security_result.action	Valor do campo `act` no registo não processado.
additional_info	read_only_udm.security_result.description	Valor do campo `additional_info` no registo não processado.
administrator	read_only_udm.target.user.user_display_name	Valor do campo `administrator` no registo não processado.
comentário	read_only_udm.additional.fields.value.string_value	Valor do campo `comment` no registo não processado. A chave está codificada como `comment`.
deviceDirection	read_only_udm.network.direction	Se `deviceDirection`=1, então OUTBOUND, caso contrário, INBOUND.
ifname	read_only_udm.additional.fields.value.string_value	Valor do campo `ifname` no registo não processado. A chave está codificada como `ifname`.
loguid	read_only_udm.metadata.product_log_id	Valor do campo `loguid` no registo não processado.
log_sys_message	read_only_udm.metadata.description	Valor do campo `log_sys_message` no registo não processado.
msg	read_only_udm.metadata.description	Valor do campo `msg` no registo não processado.
operação	read_only_udm.security_result.action_details	Valor do campo `operation` no registo não processado.
origem	read_only_udm.intermediary.ip	Valor do campo `origin` no registo não processado.
originsicname	read_only_udm.additional.fields.value.string_value	Valor do campo `originsicname` no registo não processado. A chave está codificada como `originsicname`.
resultado	read_only_udm.security_result.outcomes.value	Valor do campo `outcome` no registo não processado. A chave está codificada como `outcome`.
produto	read_only_udm.metadata.product_name	Valor do campo `product` no registo não processado.
rt	read_only_udm.metadata.event_timestamp.seconds	Valor do campo `rt` no registo não processado, convertido em segundos.
sendtotrackerasadvancedauditlog	read_only_udm.additional.fields.value.string_value	Valor do campo `sendtotrackerasadvancedauditlog` no registo não processado. A chave está codificada como `sendtotrackerasadvancedauditlog`.
sequencenum	read_only_udm.additional.fields.value.string_value	Valor do campo `sequencenum` no registo não processado. A chave está codificada como `sequencenum`.
session_uid	read_only_udm.additional.fields.value.string_value	Valor do campo `session_uid` no registo não processado. A chave está codificada como `session_uid`.
sntdom	read_only_udm.principal.administrative_domain	Valor do campo `sntdom` no registo não processado.
src	read_only_udm.principal.ip	Valor do campo `src` no registo não processado.
assunto	read_only_udm.security_result.summary	Valor do campo `subject` no registo não processado.
update_service	read_only_udm.additional.fields.value.string_value	Valor do campo `update_service` no registo não processado. A chave está codificada como `update_service`.
versão	read_only_udm.additional.fields.value.string_value	Valor do campo `version` no registo não processado. A chave está codificada como `version`.
N/A	read_only_udm.metadata.event_type	Se o campo `host` existir no registo não processado, então `STATUS_UPDATE`. Se o campo `operation` for igual a `Log Out`, então `USER_LOGOUT`. Se o campo `operation` for igual a `Log In`, então `USER_LOGIN`. Caso contrário, `GENERIC_EVENT`.
N/A	read_only_udm.metadata.vendor_name	Valor codificado: `Check Point`.
N/A	read_only_udm.metadata.product_version	Valor codificado: `Check Point`.
N/A	read_only_udm.metadata.product_event_type	Valor codificado: `[Log] - Log`.
N/A	read_only_udm.metadata.log_type	Valor codificado: `CHECKPOINT_FIREWALL`.
N/A	read_only_udm.principal.hostname	Valor do campo `host` no registo não processado.
N/A	read_only_udm.principal.asset.hostname	Valor do campo `host` no registo não processado.
N/A	read_only_udm.extensions.auth.type	Se o campo `operation` for igual a `Log Out` ou `Log In`, então `AUTHTYPE_UNSPECIFIED`.
N/A	read_only_udm.extensions.auth.mechanism	Se o campo `operation` for igual a `Log Out` ou `Log In`, então `MECHANISM_UNSPECIFIED`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.