Skip to main content

Кибер Бэкап (Cyberprotect Cyber Backup)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Настройка коллектора KUMA для приема и обработки событий Кибер Бэкап приведена в отдельной общей статье по созданию сервиса коллектора.

На шаге Парсинг событий в качестве нормализатора для событий Eltex MES выберите нормализатор [OOTB] Cyberprotect Cyber Backup syslog.

Настройка Кибер Бэкап

Кибер Бэкап

image.png

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:

  • С помощью SmartConsole (начиная с версии R81)
  • В CLI

SmartConsole

  • Создайте новый объект Log Exporter/SIEM:
    • Выберите Objects > More object types > Server > Log Exporter/SIEM
    • В поле Object Name введите имя для создаваемого объекта Log Exporter
    • Перейдите во вкладку General:
      • В секции Export Configuration активируйте флаг Enabled
      • В секции Server Configuration:
        • В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
        • В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора
        • В поле Protocol выберите протокол (TCP или UDP), указанный на шаге Транспорт при создании сервиса коллектора
    •  Перейдите во вкладку Data Manipulation:
      • В поле Format выберите Common Event Format (CEF)
      • (Опционально) активируйте флаг Aggregate log updates before export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
    • (Опционально) Перейдите во вкладку Attachments:
      • Активируйте флаги
        • Add link to Log Details in SmartView
        • Add link to Log Attachment in SmartView
        • Add Log Attachment ID
    • Нажмите ОК

image.pngimage.png

  • Выполните настройку параметров объекта Management Server или Dedicated Log Server / SmartEvent Server:
    • В навигационной панели слева выберите Gateways & Servers
    • Откройте объект Management Server or Dedicated Log Server / SmartEvent Server
    • Слева выберите Logs > Export
    • Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее
    • Нажмите OK
  • Нажмите Menu > Install database
  • Выберите все объекты
  • Нажмите Install

CLI

  • Подключитесь к Management Server / Log Server
  • Перейдите в режим Expert
  • Настройте параметры Log Exporter
cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef
  • Запустите новый инстанс Log Exporter
cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.

image.png

Полезные ссылки

Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192

Back to top