Настройка получения событий Check Point NGFW (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий с Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, к которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису) *данные параметры должны соответствовать настройкам на стороне Check Point
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать предустановленный нормализатор [OOTB] CEF.
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.
В случае отсутствия ошибок в выводе командной строки, прервите выполнение команды, после чего можно переходить к установке.
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reloadПосле успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.
Настройка Check Point NGFW
Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку параметров отправки можно выполнить двумя способами:
- С помощью SmartConsole (начиная с версии R81)
- В CLI
SmartConsole
- Создайте
новыйCLI
Exporter/SIEM:ДляобъектнастройкиLogотправки событий в формате CEF с Check Point NGFW в KUMA выполните следующие действия:ПодключитесьВыберитекObjectsCLI>FortiGateMoreпоobjectSSHtypes > Server > Log Exporter/SIEM- В поле Object Name введите имя для создаваемого объекта Log Exporter
- Перейдите
ввосекциювкладкунастройкиGeneral:параметров- В секции Export Configuration активируйте флаг Enabled
- В секции Server Configuration:
- В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
- В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора
- В поле Protocol выберите протокол (TCP или UDP), указанный на шаге Транспорт при создании сервиса коллектора
config
Syslog: - Перейдите во вкладку Data Manipulation:
- В поле Format выберите Common Event Format (CEF)
- (Опционально) активируйте флаг Aggregate log
syslogdupdatessettingbefore export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
- (Опционально) Перейдите во вкладку Attachments:
- Активируйте флаги
- Add link to Log Details in SmartView
- Add link to Log Attachment in SmartView
- Add Log Attachment ID
- Активируйте флаги
- Нажмите ОК
- Выполните настройку параметров
Syslog:объекта Management Server или Dedicated Log Server / SmartEvent Server:- В навигационной панели слева выберите Gateways & Servers
- Откройте объект Management Server or Dedicated Log Server / SmartEvent Server
- Слева выберите Logs > Export
- Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее
- Нажмите OK
- Нажмите Menu > Install database
- Выберите все объекты
- Нажмите Install
CLI
- Подключитесь к Management Server / Log Server
- Перейдите в режим Expert
- Настройте параметры Log Exporter
setcp_log_export statusadd enablename #<Наименование включитьконфигурации отправкуLog событийExporter> на удаленный Syslog-сервер
set target-server <IP-адресаадрес сервера-коллектораили KUMA>FQDN set mode udp # отправлять события по UDP
set port <порт, заданный в параметрахсервера коллектора KUMA> set source-iptarget-port <IP-адресПорт, FortiGate>указанный #на IP-адрес,шаге который будет использоваться в качестве Source IPТранспорт при взаимодействиисоздании cсервиса коллекторомколлектора> KUMAprotocol [опционально]{tcp set| udp} format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end
- Запустите новый инстанс Log Exporter
cp_log_export restart name <Наименование конфигурации>
Проверка поступления событий FortiGateCheck Point NGFW в KUMA
Для проверки, что сбор событий с FortiGateCheck Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор для FortiGateCheck Point NGFW и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события сCheck FortiGate.Point NGFW.
Полезные ссылки
Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323
Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192