Кибер Бэкап (Cyber Backup)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Настройка коллектора KUMA для приема и обработки событий Кибер Бэкап приведена в отдельной общей статье по созданию сервиса коллектора.

На шаге Парсинг событий в качестве нормализатора для событий EltexКибер MESБэкап выберите нормализатор [OOTB] Cyberprotect Cyber Backup syslog.

---

Настройка Кибер Бэкап

По умолчанию журнал аудита хранится в базе данных продукта Кибер Бэкап, однако для централизованного хранения и обработки можно настроить отправку записей журнала аудита в SIEM-систему. Для событий может использоваться протокол TCP, UDP или TLS.

Чтобы настроить отправку событий Кибер Бэкап

в

Отправкаколлектор событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:KUMA:

• С помощью SmartConsole (начиная с версии R81)

В CLI

SmartConsole

Создайте новый объект Log Exporter/SIEM:

Выберитевеб-интерфейсе ObjectsКибер Бэкап> перейдите в MoreНастройки object→ typesПараметры > Server > Log Exporter/SIEMSyslog. В полеокне ObjectПараметры NameSyslog активируйте параметр Передавать журнал аудита на Syslog-сервер введитеи имя для создаваемого объекта Log Exporter Перейдите во вкладку General:

В секции Export Configuration активируйте флаг Enabled В секции Server Configuration:укажите:

• В поле TargetАдрес Serverудаленного сервера укажите IP-адрес или FQDNадрес/DNS-имя сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)KUMA.
• ВПорт поледля Targetподключения Port(используйте укажитезначение, порт, указанныйзаданное на шаге Транспорт при создании сервиса коллектораколлектора).
• В полеИспользуемый Protocolпротокол выберите(используйте протоколзначение, (TCP или UDP), указанныйзаданное на шаге Транспорт при создании сервиса коллектора

 Перейдите во вкладку Data Manipulation:

В поле Format выберите Common Event Format (CEF)коллектора). (Опционально)Формат сообщенияактивируйте, флагв котором будут отправляться события. Выберите AggregateCEF log(RFC updates before export 3164)для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события. (Опционально) Перейдите во вкладку Attachments:

Активируйте флаги

Add link to Log Details in SmartView Add link to Log Attachment in SmartView Add Log Attachment ID . Нажмите ОКОтправить тестовое

Выполните настройку параметров объекта Management Serverсообщения илидля Dedicatedпроверки Log Server / SmartEvent Server:

В навигационной панели слева выберите Gateways & Servers Откройте объект Management Server or Dedicated Log Server / SmartEvent Server Слева выберите Logs > Exportинтеграции. Нажмите [+]Сохранить и выберите объект Log Exporter / SIEM, созданный ранее Нажмите OK. Нажмите Menu > Install database Выберите все объекты Нажмите Install

CLI

Подключитесь к Management Server / Log Server Перейдите в режим Expert Настройте параметры Log Exporter

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef

Запустите новый инстанс Log Exporter

cp_log_export restart name <Наименование конфигурации>

---

Проверка поступления событий CheckКибер Point NGFWБэкап в KUMA

Для проверки, что сбор событий сКибер Check Point NGFWБэкап успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Checkдля PointКибер NGFWБэкап > ПКМ > Перейти к событиям.

В открывшемся окне События убедитесь, что присутствуют события  CheckКибер Point NGFW.Бэкап.

---

Полезные ссылки

НастройкаДокументация отправкиКибер событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323Бэкап

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192