Skip to main content

Настройка получения событий Check Point NGFW (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий с Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

  • На шаге Подключение источников укажите Название коллектора и Тенант, к которому будет принадлежать создаваемый коллектор

image.png

  • На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису) *данные параметры должны соответствовать настройкам на стороне Check Point

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

image.png

  • На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать предустановленный нормализатор [OOTB] CEF.

image.png

  • Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
  • На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).

image.png

  • На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

image.png

Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.

image.png

В случае отсутствия ошибок в выводе командной строки, прервите выполнение команды, после чего можно переходить к установке.

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

image.png

Настройка Check Point NGFW

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку параметров отправки можно выполнить двумя способами:

  • С помощью SmartConsole (начиная с версии R81)
  • В CLI

SmartConsole

  • Создайте

    CLI

    новый

    Дляобъект настройкиLog отправки событий в формате CEF с Check Point NGFW в KUMA выполните следующие действия:

    Exporter/SIEM:
    • ПодключитесьВыберите кObjects CLI> FortiGateMore поobject SSHtypes > Server > Log Exporter/SIEM
  • В поле Object Name введите имя для создаваемого объекта Log Exporter
  • Перейдите вво секциювкладку настройкиGeneral: параметров
    Syslog:
  • В секции Export Configuration активируйте флаг Enabled
В секции Server Configuration:
    В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569) В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора В поле Protocol выберите протокол (TCP или UDP), указанный на шаге Транспорт при создании сервиса коллектора 
    config
     Перейдите во вкладку Data Manipulation:
      В поле Format выберите Common Event Format (CEF) (Опционально) активируйте флаг Aggregate log syslogdupdates settingbefore export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события. (Опционально) Перейдите во вкладку Attachments:
        Активируйте флаги
          Add link to Log Details in SmartView Add link to Log Attachment in SmartView Add Log Attachment ID Нажмите ОК

          image.pngimage.png

          • Выполните настройку параметров Syslog:объекта Management Server или Dedicated Log Server / SmartEvent Server:
            • В навигационной панели слева выберите Gateways & Servers
            Откройте объект Management Server or Dedicated Log Server / SmartEvent Server Слева выберите Logs > Export Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее Нажмите OK Нажмите Menu > Install database Выберите все объекты Нажмите Install

            CLI

              Подключитесь к Management Server / Log Server Перейдите в режим Expert Настройте параметры Log Exporter 
              setcp_log_export statusadd enablename #<Наименование включитьконфигурации отправкуLog событийExporter> на удаленный Syslog-сервер
set target-server <IP-адресаадрес сервера-коллектораили KUMA>FQDN set mode udp # отправлять события по UDP
set port <порт, заданный в параметрахсервера коллектора KUMA> set source-iptarget-port <IP-адресПорт, FortiGate>указанный #на IP-адрес,шаге который будет использоваться в качестве Source IPТранспорт при взаимодействиисоздании cсервиса коллекторомколлектора> KUMAprotocol [опционально]{tcp set| udp} format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end

              image.png 

                Запустите новый инстанс Log Exporter 
                cp_log_export restart name <Наименование конфигурации>

                 

                image.png 

                Проверка поступления событий FortiGateCheck Point NGFW в KUMA

                Для проверки, что сбор событий с FortiGateCheck Point NGFW успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор для FortiGateCheck Point NGFW и нажмите Перейти к событиям.

                image.pngimage.png

                В открывшемся окне События убедитесь, что присутствуют события сCheck FortiGate.Point NGFW.

                image.pngimage.png

                Полезные ссылки

                Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

                Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192

                Back to top