АПКШ Континент 3.9

Информация, приведенная на данной странице, является дополнением к официальной статье по Настройке получения событий АПКШ Континент. ~~Является~~Статья ~~разработкой~~разработана ~~команды~~командой pre-sales и НЕ является официальной рекомендацией вендора.

Подготовительные действия для получения событий АПКШ Континент

Создание учётнойроли записибазы в СУБД MS SQLданных

Для получения событий АПКШ Континент 3.9 из MS SQL требуется учетная запись с минимальным набором прав для подключения и чтения данных в таблицах: ALERTLOG, SERVERACCESSLOG, SYSTEMLOG, PACKETLOG, FILTERS. Чтобы создать ~~учетную запись~~роль для ~~работы~~доступа ск MSтаблицам ~~SQL~~БД АПКШ Континент выполните следующие действия:

Войдите на сервер с установленной MS SQL.
С помощью SQL Server Management Studio подключитесь к MS SQL под учетной записью с правами администратора.

В панели Object Explorer ~~(Обозреватель~~раскройте ~~объектов)~~вкладку БД АПКШ Континент и далее вкладку Security.

Во вкладке Roles нажмите правой кнопкой мыши на папку Database Roles и в контекстном меню выберите New Database Role.

В появившемся окне Database Role - New на вкладке General укажите :

Имя роли (Role Name); Владельца (Owner);

На вкладке Защищаемые объекты (Securables) добавьте защищаемые объекты (таблицы ALERTLOG, SERVERACCESSLOG, SYSTEMLOG, PACKETLOG, FILTERS) и разрешения к ним согласно скриншотам ниже:

После добавления таблиц нажмите ОК для создания роли.

Создание учётной записи в СУБД MS SQL

Чтобы создать учетную запись для работы с MS SQL выполните следующие действия:

В панели Object Explorer раскройте ~~раздел~~вкладку ~~Security (Безопасность)~~Security.. Нажмите правой кнопкой мыши на папку Logins ~~(Пользователи)~~ и в контекстном меню выберите New ~~Login (Новый пользователь)~~Login..

Откроется окно Login - New.

На вкладке ~~General (Общие)~~ ~~нажмите на кнопку~~ ~~Search (Поиск)~~ ~~рядом с полем Login name.~~
~~6. Откроется окно Select User or Group.~~
7. В поле Enter the object name to select (examples) укажите имя учетной записи, с помощью которой будет осуществляться доступ к БД, и нажмите ОК.

~~Раскройте папку~~ ~~Roles (Роли).~~ ~~Нажмите правой кнопкой мыши на папку~~ ~~(Database Roles) Роли базы данных~~ ~~и в контекстном меню выберите~~ ~~New Database Role (Новая роль базы данных)~~.

~~Откроется окно Login - New.~~

Создание коллектора KUMA

Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел ~~Ресурсы~~ ~~и нажмите на кнопку~~ ~~Подключить источник.~~General: ~~В появившемся окне~~ ~~Создание коллектора:~~

~~На шаге~~ ~~Подключение источников~~ ~~укажите~~ ~~Название коллектора~~ и ~~Тенант~~~~, которому будет принадлежать создаваемый коллектор~~

~~На шаге~~ ~~Транспорт~~ ~~укажите~~ ~~Тип коннектора~~ и ~~URL~~ ~~(порт, выделенный сервису)~~

~~Для распределенной инсталяции укажите hostname:port сервера коллектора в поле~~ ~~URL~~

~~Указанные параметры должны соответствовать настройкам на стороне Check Point~~

~~На шаге~~ ~~Парсинг событий~~ ~~нажмите~~ ~~Добавить парсинг событий~~ ~~и укажите нормализатор.~~
Рекомендуется создать и использовать в качестве нормализатора для событий Check Point дубликат предустановленного нормализатора ~~[OOTB] CEF.~~~~В параметрах нормализатора перейдите в окно~~ ~~Основной парсинг событий~~ ~~и выберите вкладку~~ ~~Обогащение.~~ ~~На вкладке~~ ~~Обогащение~~ ~~нажмите~~ ~~Добавить обогащение~~ и настройте параметры обогащения согласно скриншоту ниже для корректной работы SOC и Community корреляционных правил.

~~Шаги мастера настройки с четвертого по шестой (~~~~Фильтрация событий~~, ~~Агрегация событий~~ и ~~Обогащение событий~~~~) можно пропустить и вернуться к их настройке позднее.~~ ~~На седьмом шаге~~ ~~Маршрутизация~~ ~~задайте точки назначения. Для хранения событий добавьте точку назначения типа~~ ~~Хранилище (Storage)~~. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа ~~Коррелятор (Correlator)~~.

~~На завершающем шаге~~ ~~Проверка параметров~~ ~~нажмите на кнопку~~ ~~Сохранить~~ ~~и создать сервис~~~~. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.~~

~~Также после выполнения вышеуказанных действий в разделе~~ ~~Ресурсы~~ > ~~Активные сервисы~~ ~~появится созданный сервис коллектора.~~

Установка коллектора KUMA

~~Выполните подключение к~~ ~~CLI~~ ~~сервера~~ ~~KUMA~~ ~~(установка сервиса коллектора выполняется с правами~~ ~~root~~).

~~Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.~~

~~При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.~~

firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

~~После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на~~ ~~Вкл~~ с ~~зеленой индикацией~~.

Настройка Check Point NGFW

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:

~~С помощью SmartConsole (начиная с версии R81)~~ ~~В CLI~~

SmartConsole

~~Создайте новый объект Log Exporter/SIEM:~~

Выберите ~~Objects~~SQL Server authentication >для использования внутренней системы аутентификации SQL Server - другими словами, локальной учетной записи. Если необходимо можно использовать доменную учетную запись - для этого выберите вариант ~~More~~Windows ~~object~~Authentication. ~~types~~Далее >рассматривается вариант с использованием SQL Server > ~~Log Exporter/SIEM~~authentication.
В поле ~~Object~~Login Name ~~введите~~укажите имя ~~для~~создаваемой ~~создаваемого~~учетной ~~объекта~~ ~~Log Exporter~~

~~Перейдите во вкладку~~ ~~General~~:

~~В секции~~ ~~Export Configuration~~ ~~активируйте флаг~~ ~~Enabled~~ ~~В секции~~ ~~Server Configuration~~:

~~В поле~~ ~~Target Server~~ ~~укажите IP-адрес или FQDN сервера коллектора KUMA~~записи (~~FQDN~~например, ~~поддерживается, начиная с R81 SmartConsole Build 569)~~kuma). В поле ~~Target Port~~Password и Confirm Password укажите ~~порт,~~пароль ~~указанный~~для насоздаваемой ~~шаге~~учетной ~~Транспорт~~ ~~при создании сервиса коллектора~~записи. ВОпционально ~~поле~~активируйте ~~Protocol~~Enforce password policy ~~выберите~~и ~~протокол~~остальные ~~(TCP~~параметры, ~~или~~связанные ~~UDP),~~с ~~указанный~~паролем научетной ~~шаге~~ ~~Транспорт~~ ~~при создании сервиса коллектора~~ записи. В ~~Перейдите во вкладку~~качестве ~~Data~~Default ~~Manipulation:~~database (база данных по умолчанию) выберите базу данных, используемую АПКШ Континент.

На вкладке User Mapping настройте права для учетной записи:

В ~~поле~~разделе ~~Format~~Users mapped to this login выберите ~~Common~~БД, ~~Event~~используемую ~~Format~~АПКШ ~~(CEF)~~Континент.
~~(Опционально)~~В ~~активируйте флаг~~разделе ~~Aggregate~~Database ~~log~~role ~~updates~~membership ~~before export~~ для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.

~~(Опционально)~~ ~~Перейдите во вкладку~~ ~~Attachments:~~for

установите ~~Активируйте~~флажок ~~флаги~~возле

ранее ~~Add~~созданной ~~link~~роли to(в ~~Log~~нашем ~~Details~~примере ~~in SmartView~~ ~~Add link to Log Attachment in SmartView~~ ~~Add Log Attachment ID~~ ~~Нажмите~~ ОКkuma_log_access).

~~Выполните~~На ~~настройку параметров объекта~~вкладке ~~Management~~Status ~~Server~~настройте ~~или~~права
~~Dedicated~~для ~~Log~~подключения ~~Server~~учетной /записи ~~SmartEvent~~к ~~Server:~~базе данных:
- В ~~навигационной~~разделе ~~панели~~Permission ~~слева~~to connect to database engine выберите ~~Gateways & Servers~~Grant.
- ~~Откройте~~В ~~объект~~разделе ~~Management~~Login ~~Server or Dedicated Log Server / SmartEvent Server~~
~~Слева~~ выберите ~~Logs~~ Enabled> ~~Export~~.
Нажмите ~~[+]~~ОК ~~и выберите объект~~ ~~Log Exporter /~~ ~~SIEM,~~ ~~созданный ранее~~

~~Нажмите~~ OK. ~~Нажмите~~ ~~Menu~~ > ~~Install database~~ ~~Выберите все объекты~~ ~~Нажмите~~ ~~Install~~

CLI

~~Подключитесь к~~ ~~Management Server / Log Server~~ ~~Перейдите в режим~~ ~~Expert~~ ~~Настройте параметры~~ ~~Log Exporter~~

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef

~~Запустите новый инстанс~~ ~~Log Exporter~~

cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

~~Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в~~ ~~Ресурсы~~ > ~~Активные сервисы~~ ~~> выберите ранее созданный коллектор Check Point NGFW > ПКМ >~~ ~~Перейти к событиям.~~

~~В открывшемся окне~~ ~~События~~ ~~убедитесь, что присутствуют события Check Point NGFW.~~

ПолезныеНастройка ссылкиутилиты kuma-kont

Создание конфигурационного файла kuma-kont-config.yaml

~~Настройка~~Пример ~~отправки~~конфигурационного ~~событий~~файла ~~Check~~kuma-kont-config.yaml:

~~Point с помощью Log Exporter -~~

~~https://support.checkpoint.com/results/sk/sk122323~~

~~Описание~~Если ~~полей~~при ~~событий~~запуске ~~Check~~утилиты ~~Point~~kuma-kont -присутствуют ~~https://support.checkpoint.com/results/sk/sk144192~~ошибки вида "Unsupported TLS version..." и нет возможности включить поддержку TLS 1.2 на стороне сервера MS SQL, добавьте параметр ";encrypt=disable" к имени БД. Рекомендуется установить соотвествующие обновления для сервера MS SQL в целях поддержки TLS 1.2. Вариант с отключением шифрования не рекомендуется к использованию, так данные буду передаваться в открытом виде.