Check Point Gaia: настройка источника

Данная инструкция описывает настройку экспорта событий безопасности из управления Check Point Gaia в систему R-Vision SIEM с использованием компонента Log Exporter. Поддерживаются версии 81 и 82.

Предварительные требования

  • Проведена предварительная настройка Check Point Gaia.

  • Настроено сетевое подключение к серверу с помощью SmartConsole.

  • Обеспечена возможность сетевого подключения с сервера Check Point Gaia к нодам R-Vision SIEM.

  • Для настройки требуются права администратора домена безопасности (Domain Administrator или эквивалентные).

Настройка экспорта логов из Check Point Gaia в SIEM

  1. Подключение к среде управления

    Войдите в SmartConsole, указав параметры подключения к серверу управления (Security Management Server):

    • Server: IP-адрес или FQDN Security Management Server.

    • User: имя администратора (например, admin).

    • Password: пароль администратора.

      checkpoint gaia smart console connect

  2. Выбор домена безопасности

    После успешной аутентификации выберите домен или сервер управления, с которого требуется экспортировать логи.

  3. Открытие настроек экспорта логов

    В дереве объектов выберите сервер управления, щелкните правой кнопкой мыши и выберите Edit.

    checkpoint gaia smart console edit server

    Перейдите в раздел: Logs & Reports → Log Exporters.

    checkpoint gaia smart console log export

  4. Создание нового экспортера

    Нажмите кнопку Add New (+), затем выберите восьмиконечную звезду ✴ → New Log Exporter / SIEM.

    checkpoint gaia smart console create new server

  5. Конфигурация подключения к SIEM

    Заполните параметры экспорта:

    • Name: введите произвольное имя экспортера (например, R-Vision-SIEM).

    • Target: укажите IP-адрес и порт принимающего коллектора R-Vision SIEM.

    • Protocol: выберите TCP или UDP (в зависимости от настроек точки входа в SIEM).

      checkpoint gaia smart console siem settings

    • Data Manipulation → Format: выберите CEF (Common Event Format).

      checkpoint smart console data manipulation

  6. Завершение настройки

    Нажмите OK для сохранения конфигурации. Для применения изменений выполните установку политик (Install Policy) на шлюзах безопасности.

После установки политик экспорт событий начнётся автоматически. Первые события появятся в SIEM в течение нескольких минут. Рекомендуется проверить доставку логов с помощью встроенного мониторинга или инструментов отладки на стороне шлюза (например, fw log).

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Check Point Gaia.

    • Протокол: выберите вариант в соответствии с настройками на стороне Check Point Gaia.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .hostname = "<your_device_hostname>"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Нормализатор с правилом Check Point Gaia (идентификатор правила: RV-N-301).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Check Point Gaia.

Найти события в хранилище можно по следующему фильтру:

device_product = "gaia"

checkpoint gaia storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь