Кибер Бэкап (Cyber Backup)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Настройка коллектора KUMA для приема и обработки событий Кибер Бэкап приведена в отдельной общей статье по созданию сервиса коллектора.
На шаге Парсинг событий в качестве нормализатора для событий EltexКибер MESБэкап выберите нормализатор [OOTB] Cyberprotect Cyber Backup syslog.
Настройка Кибер Бэкап
По умолчанию журнал аудита хранится в базе данных продукта Кибер Бэкап, однако для централизованного хранения и обработки можно настроить отправку записей журнала аудита в SIEM-систему. Для событий может использоваться протокол TCP, UDP или TLS.
Чтобы настроить отправку событий Кибер Бэкап
Отправкаколлектор событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:KUMA:
С помощью SmartConsole (начиная с версии R81)- В
CLI
SmartConsole
Создайте новый объект Log Exporter/SIEM:Выберитевеб-интерфейсеObjectsКибер Бэкап>перейдите вMoreНастройкиobject→typesПараметры>Server>Log Exporter/SIEMSyslog.- В
полеокнеObjectПараметрыNameSyslog активируйте параметр Передавать журнал аудита на Syslog-сервервведитеиимя для создаваемого объектаLog Exporter Перейдите во вкладкуGeneral:В секцииExport Configurationактивируйте флагEnabledВ секцииServer Configuration:укажите:
- В поле
TargetАдресServerудаленного сервераукажитеIP-адрес или FQDNадрес/DNS-имя сервера коллектораKUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)KUMA. ВПортполедляTargetподключенияPort(используйтеукажитезначение,порт, указанныйзаданное на шаге Транспорт при созданиисервиса коллектораколлектора).В полеИспользуемыйProtocolпротоколвыберите(используйтепротоколзначение,(TCP или UDP), указанныйзаданное на шаге Транспорт при созданиисервиса коллектора
- В поле
Перейдите во вкладкуData Manipulation:В полеFormatвыберитеCommon Event Format (CEF)коллектора).(Опционально)Формат сообщенияактивируйте,флагв котором будут отправляться события. ВыберитеAggregateCEFlog(RFCupdates before export3164)для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
(Опционально)Перейдите во вкладкуAttachments:Активируйте флагиAdd link to Log Details in SmartViewAdd link to Log Attachment in SmartViewAdd Log Attachment ID
- Нажмите
ОКОтправить
Выполните настройку параметров объектаManagement ServerсообщенияилидляDedicatedпроверкиLog Server / SmartEvent Server:В навигационной панели слева выберитеGateways & ServersОткройте объектManagement Server or Dedicated Log Server / SmartEvent ServerСлева выберитеLogs>Exportинтеграции.- Нажмите
[+]Сохранитьи выберите объектLog Exporter /SIEM,созданный ранее НажмитеOK.
НажмитеMenu>Install databaseВыберите все объектыНажмитеInstall
CLI
Подключитесь кManagement Server / Log ServerПерейдите в режимExpertНастройте параметрыLog Exporter
cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cefЗапустите новый инстансLog Exporter
cp_log_export restart name <Наименование конфигурации>
Проверка поступления событий CheckКибер Point NGFWБэкап в KUMA
Для проверки, что сбор событий сКибер Check Point NGFWБэкап успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Checkдля PointКибер NGFWБэкап > ПКМ > Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события CheckКибер Point NGFW.Бэкап.
Полезные ссылки
НастройкаДокументация отправкиКибер событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323Бэкап
Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192