Check Point NGFW: настройка источника

Данная инструкция описывает настройку экспорта событий безопасности из управления Check Point NGFW в систему R-Vision SIEM с использованием компонента Log Exporter. Поддерживаются версии 81 и 82.

Предварительные требования

  • Проведена предварительная настройка Check Point NGFW.

  • Настроено сетевое подключение к серверу с помощью SmartConsole.

  • Обеспечена возможность сетевого подключения с сервера Check Point NGFW к нодам R-Vision SIEM.

  • Для настройки требуются права администратора домена безопасности (Domain Administrator или эквивалентные).

Настройка экспорта логов из Check Point NGFW в SIEM

  1. Подключение к среде управления

    Войдите в SmartConsole, указав параметры подключения к серверу управления (Security Management Server):

    • Server: IP-адрес или FQDN Security Management Server.

    • User: имя администратора (например, admin).

    • Password: пароль администратора.

      checkpoint ngfw smart console connect

  2. Выбор домена безопасности

    После успешной аутентификации выберите домен или сервер управления, с которого требуется экспортировать логи.

  3. Открытие настроек экспорта логов

    В дереве объектов выберите сервер управления, щелкните правой кнопкой мыши и выберите Edit.

    checkpoint ngfw smart console edit server

    Перейдите в раздел: Logs & Reports → Log Exporters.

    checkpoint ngfw smart console log export

  4. Создание нового экспортера

    Нажмите кнопку Add New (+), затем выберите восьмиконечную звезду ✴ → New Log Exporter / SIEM.

    checkpoint ngfw smart console create new server

  5. Конфигурация подключения к SIEM

    Заполните параметры экспорта:

    • Name: введите произвольное имя экспортера (например, R-Vision-SIEM).

    • Target: укажите IP-адрес и порт принимающего коллектора R-Vision SIEM.

    • Protocol: выберите TCP или UDP (в зависимости от настроек точки входа в SIEM).

      checkpoint ngfw smart console siem settings

    • Data Manipulation → Format: выберите CEF (Common Event Format).

      checkpoint smart console data manipulation

  6. Завершение настройки

    Нажмите OK для сохранения конфигурации. Для применения изменений выполните установку политик (Install Policy) на шлюзах безопасности.

После установки политик экспорт событий начнётся автоматически. Первые события появятся в SIEM в течение нескольких минут. Рекомендуется проверить доставку логов с помощью встроенного мониторинга или инструментов отладки на стороне шлюза (например, fw log).

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Check Point NGFW.

    • Протокол: выберите вариант в соответствии с настройками на стороне Check Point NGFW.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .hostname = "<your_device_hostname>"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Нормализатор с правилом Check Point NGFW (идентификатор правила: RV-N-301).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

checkpoint ngfw pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Check Point NGFW.

Найти события в хранилище можно по следующему фильтру:

device_product = "ngfw"

checkpoint ngfw storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь