Check Point Gaia: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Check Point Gaia в формате CEF в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между Check Point Gaia и R-Vision SIEM обеспечена, а необходимые порты открыты.

Настройка Check Point Gaia

Настройка с помощью SmartConsole

Для настройки передачи событий с помощью графического интерфейса выполните следующие шаги:

  1. В интерфейсе SmartConsole перейдите в раздел Objects → More object types → Server → New Log Exporter/SIEM…​ и создайте новый сервер экспорта.

    check point gaia basic exporter

  2. На вкладке General укажите данные для подключения к коллектору SIEM. В поле Target Port укажите значение в соответствии с настройками точки входа в R-Vision SIEM.

    check point gaia main exporter

  3. На вкладке Data Manipulation выберите формат экспорта событий Common Event Format (CEF). При необходимости установите флажок для включения агрегации логов перед экспортом.

    check point gaia export settings

  4. Перейдите в настройки узлов и выберите необходимый узел. В настройках журналирования выберите созданный ранее сервер экспорта и сохраните изменения.

    check point gaia export on current server

  5. Примените настройки ко всем конечным устройствам, выбрав опцию Install Database.

    check point gaia install database

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Socket.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Check Point Gaia.

    • Протокол: выберите вариант в соответствии с настройками на стороне Check Point Gaia.

  3. Добавьте на конвейер элемент Нормализатор с правилом Checkpoint NGFW (идентификатор правила: RV-N-19).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Дополнительно события могут быть направлены в отдельную шину для их прямого проброса в коррелятор.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

check point gaia pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Check Point Gaia.

Найти события Check Point Gaia в хранилище можно по следующему фильтру:

dproduct = "NGFW"

check point gaia filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь