# Check Point NGFW (CEF)

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

### Настройка коллектора KUMA

#### Создание коллектора KUMA

Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:**

- На шаге **Подключение источников** укажите **Название коллектора** и **Тенант**, которому будет принадлежать создаваемый коллектор

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/jfXimage.png)

- На шаге **Транспорт** укажите **Тип коннектора** и **URL** (порт, выделенный сервису)

<p class="callout info">Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**</p>

<p class="callout info">Указанные параметры должны соответствовать настройкам на стороне Check Point</p>

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/8Qhimage.png)

- На шаге **Парсинг событий** нажмите **Добавить парсинг событий** и укажите нормализатор.  
    Рекомендуется создать и использовать в качестве нормализатора для событий Check Point дубликат предустановленного нормализатора **\[OOTB\] CEF.**[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/scaled-1680-/image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/image.png)В параметрах нормализатора перейдите в окно **Основной парсинг событий** и выберите вкладку **Обогащение.** На вкладке **Обогащение** нажмите **Добавить обогащение** и настройте параметры обогащения согласно скриншоту ниже для корректной работы SOC и Community корреляционных правил.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/scaled-1680-/E2Zimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/E2Zimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/scaled-1680-/yytimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-03/yytimage.png)

- Шаги мастера настройки с четвертого по шестой (**Фильтрация событий**, **Агрегация событий** и **Обогащение событий**) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище (Storage)**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор (Correlator)**.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/oyZimage.png)

- На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/ag5image.png)

Также после выполнения вышеуказанных действий в разделе **Ресурсы** **&gt;** **Активные сервисы** появится созданный сервис коллектора.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/AyAimage.png)

#### Установка коллектора KUMA

Выполните подключение к <span lang="EN-US">CLI</span><span lang="EN-US"> сервера </span><span lang="EN-US">KUMA</span> (установка сервиса коллектора выполняется с правами <span lang="EN-US">root</span>).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/36Dimage.png)

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

```shell
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload
```

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на **Вкл** с **зеленой индикацией**.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/imGimage.png)

---

### Настройка Check Point NGFW

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:

- С помощью SmartConsole (начиная с версии R81)
- В CLI

#### SmartConsole

- Создайте новый объект Log Exporter/SIEM: 
    - Выберите **Objects** &gt; **More object types** &gt; **Server** &gt; **Log Exporter/SIEM**
    - В поле **Object Name** введите имя для создаваемого объекта **Log Exporter**
    - Перейдите во вкладку **General**: 
        - В секции **Export Configuration** активируйте флаг **Enabled**
        - В секции **Server Configuration**: 
            - В поле **Target Server** укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
            - В поле **Target Port** укажите порт, указанный на шаге **Транспорт** при создании сервиса коллектора
            - В поле **Protocol** выберите протокол (TCP или UDP), указанный на шаге **Транспорт** при создании сервиса коллектора
    - Перейдите во вкладку **Data Manipulation:**
        - В поле **Format** выберите **Common Event Format (CEF)**
        - **(Опционально)** активируйте флаг **Aggregate log updates before export** для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
    - **(Опционально)** Перейдите во вкладку **Attachments:**
        - Активируйте флаги 
            - **Add link to Log Details in SmartView**
            - **Add link to Log Attachment in SmartView**
            - **Add Log Attachment ID**
    - Нажмите **ОК**

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/wgXimage.png)![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/VOTimage.png)

- Выполните настройку параметров объекта **Management Server** или **Dedicated Log Server / SmartEvent Server:**
    - В навигационной панели слева выберите **Gateways &amp; Servers**
    - Откройте объект **Management Server or Dedicated Log Server / SmartEvent Server**
    - Слева выберите **Logs** &gt; **Export**
    - Нажмите **\[+\]** и выберите объект **Log Exporter /** **SIEM,** созданный ранее
    - Нажмите **OK**
- Нажмите **Menu** &gt; **Install database**
- Выберите все объекты
- Нажмите **Install**

#### CLI

- Подключитесь к **Management Server / Log Server**
- Перейдите в режим **Expert**
- Настройте параметры **Log Exporter**

```shell
cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef
```

- Запустите новый инстанс **Log Exporter**

```shell
cp_log_export restart name <Наименование конфигурации>
```

---

### Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в **Ресурсы** &gt; **Активные сервисы** &gt; выберите ранее созданный коллектор Check Point NGFW &gt; ПКМ &gt; **Перейти к событиям.**

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/Hoiimage.png)

В открывшемся окне **События** убедитесь, что присутствуют события Check Point NGFW.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/IBXimage.png)

---

### Полезные ссылки

Настройка отправки событий Check Point с помощью Log Exporter - [https://support.checkpoint.com/results/sk/sk122323](https://support.checkpoint.com/results/sk/sk122323)

Описание полей событий Check Point - [https://support.checkpoint.com/results/sk/sk144192](https://support.checkpoint.com/results/sk/sk144192)