Check Point Harmony Endpoint: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Check Point Harmony Endpoint в R-Vision SIEM.

Предварительные требования

Необходим промежуточный syslog-сервер, выделенный под передачу событий из Check Point Harmony Endpoint, который будет перенаправлять события в R-Vision SIEM. Данная необходимость обусловлена ограничением со стороны Check Point Harmony Endpoint по портам доставки Syslog (6514, 514).

Настройка Check Point Harmony Endpoint

Для пересылки событий, зарегистрированных Check Point Harmony Endpoint, в R-Vision SIEM по протоколу Syslog:

  1. Авторизуйтесь на портале управления Check Point.

    Портал управления Check Point расположен по адресу: Check Point Portal.

  2. В меню слева перейдите в раздел ENDPOINT SETTINGS → Export Events.

  3. Нажмите на кнопку Add.

    checkpoint harmony syslog settings

  4. В появившемся окне введите данные коллектора R-Vision SIEM:

    • Name: введите произвольное название коллектора.

    • Address: введите адрес коллектора R-Vision SIEM или промежуточного syslog-сервера.

    • Protocol: выберите из выпадающего списка вариант TCP или UDP.

    • Format: выберите из выпадающего списка вариант CEF.

    • Port: при использовании TLS/SSL будет статически задан порт со значением 6514, в ином случае — 514.

    • Certificate Authority (CA) certificate: при использовании TLS/SSL загрузите сертификат CA.

    • Format client certificate: при использовании TLS/SSL загрузите сертификат клиента.

      Сертификат клиента должен быть выпущен центром сертификации, сертификат которого загружается в поле Certificate Authority (CA) certificate.

      checkpoint harmony syslog export

  5. Нажмите на кнопку ADD.

Настройка Check Point Harmony Endpoint завершена.

Настройка промежуточного syslog-сервера на примере rsyslog

Если передача событий будет осуществляться без использования TLS/SSL, алгоритм настройки следующий:

  1. Создайте и откройте файл конфигурации rsyslog в директории /etc/rsyslog.d/:

    sudo nano /etc/rsyslog.d/40-harmony.conf

  2. Скопируйте в файл конфигурации следующие строки:

    # Настройка для передачи по протоколу tcp.
module(load="imtcp")
input(type="imtcp" port="514")

# Настройка для передачи по протоколу udp.
module(load="imudp")
input(type="imudp" port="6514")

action(
    type="omfwd"
    target="<ip R-Vision SIEM>"
    port="<port>"
    protocol="<proto>"
)

    Здесь:

    • <ip R-Vision SIEM> — адрес коллектора R-Vision SIEM.

    • <port> — порт приема событий, указанный в R-Vision SIEM.

    • <proto> — протокол передачи.

  3. Сохраните конфигурацию.

  4. Перезагрузите службу rsyslog:

    sudo systemctl restart rsyslog

Если передача событий будет осуществляться c использованием TLS/SSL, необходимо использовать алгоритм, описанный выше. Однако будут отличия в конфигурации:

module(load="imtcp")
module(load="lmnsd_gtls")

global(
    DefaultNetstreamDriver="gtls"
    DefaultNetstreamDriverCAFile="/etc/rsyslog-keys/ca/ca.crt"
    DefaultNetstreamDriverCertFile="/etc/rsyslog-keys/server/server.crt"
    DefaultNetstreamDriverKeyFile="/etc/rsyslog-keys/server/server.key"
)

input(
    type="imtcp"
    port="6514"
    StreamDriver.Name="gtls"
    StreamDriver.Mode="1"
    StreamDriver.AuthMode="x509/name" # Если не нужно подтверждение от клиента, используйте значение anon.
)

action(
    type="omfwd"
    target="<ip R-Vision SIEM>"
    port="<port>"
    protocol="<proto>"
)
stop

Здесь:

  • ca.crt — корневой сертификат центра сертификации. Данный сертификат также загружается при настройке Check Point Harmony.

  • server.crt — сертификат syslog-сервера.

  • server.key — закрытый ключ syslog-сервера.

Данные сертификаты необходимо получить в центре сертификации и разместить на syslog-сервере.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в диапазоне 30000—​32767.

    • Протокол: выберите вариант в соответствии с настройками на стороне промежуточного syslog-сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Checkpoint Endpoint (идентификатор правила: RV-N-248).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

checkpoint harmony pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Check Point Harmony Endpoint.

Найти события Check Point Harmony Endpoint в хранилище можно по следующему фильтру:

normalization_rule_id = "RV-N-248"

checkpoint harmony syslog storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь