Настройка получения событий Check Point NGFW (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий с Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, к которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису) *данные параметры должны соответствовать настройкам на стороне Check Point
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать предустановленный нормализатор [OOTB] CEF.
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.
В случае отсутствия ошибок в выводе командной строки, прервите выполнение команды, после чего можно переходить к установке.
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reloadПосле успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.
Настройка Check Point NGFW
Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку параметров отправки можно выполнить двумя способами:
- С помощью SmartConsole (начиная с версии R81)
- В CLI
SmartConsole
- Созда
стройки отправки событий в форматеCEF с Check Point NGFW в KUMAновыпй олнбъект Log Exporter/SIEM:- Выберите
сObjects > More object types > Server > Log Exporter/SIEM - В поле Object Name введ
ующие действия:Подключите имя для сь к CLI FortiGate поздаваемогоSSHобъекта Log Exporter- Перейдите во вкладку General:
- В секци
юи Export Configuration активируйте флаг Enabled - В секции Server Configuration:
- В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
- В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора
- В поле Protocol выберите про
йтокол (TCP илипUDP), указанный на шаге Трамнспорт при создании сервиса коллекторов Syslog:а
config
- В секци
- Перейдите во вкладку Data Manipulation:
- В поле Format выберите Common Event Format (CEF)
- (Опционально) активируйте флаг Aggregate log
syslogdupdatessettingbefore export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
- (Опционально) Перейдите во вкладку Attachments:
- Активируйте флаги
- Add link to Log Details in SmartView
- Add link to Log Attachment in SmartView
- Add Log Attachment ID
- Активируйте флаги
- Нажмите ОК
- Выполните настройку параметров
Syslog:объекта Management Server или Dedicated Log Server / SmartEvent Server:- В навигационной панели слева выберите Gateways & Servers
- Откройте объект Management Server or Dedicated Log Server / SmartEvent Server
- Слева выберите Logs > Export
- Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее
- Нажмите OK
- Нажмите Menu > Install database
- Выберите все объекты
- Нажмите Install
CLI
- Подключитесь к Management Server / Log Server
- Перейдите в режим Expert
- Настройте параметры Log Exporter
setcp_log_exportstatusaddenablename#<Наименованиевключонфить отпгуравкуциисобытийLogнаExporter>удаленный Syslog-сервер settarget-server <IP-адресаили FQDN сервера-коллектора KUMA> set mode udp # отправлять события по UDP set port <порт, заданный в параметрахколлектора KUMA>set source-iptarget-port <IP-адПорес FortiGate> # IP-адрест, укоторазанныйбудна шагетиТранспользоварться в качестве Source IPпривсоздаимодействнииcсервиса коллекторома>KUMAprotocol[опционально]{tcpset| udp} format cef#от- Зап
равлятьусобытия в форматеCEF set interface-select-method <auto|sdwan|specify> # еслиновыбран specify указать вручную исходящий инстерфейансдляLogвзаимодействияExporter
сколлекторомcp_log_exportKUMArestartс помощью команды set interfacename <нНаименование конфинтегурфейса> [опционально] endи>
Проверка поступления событий
FortiGateCheck Point NGFW в KUMAДля проверки, что сбор событий с
FortiGateCheck Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор дляFortiGateCheck Point NGFW и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события
сCheckFortiGate.Point NGFW.
Полезные ссылки
Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323
Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192
- Выберите
CLI
Для н
