Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Intégration de Check Point à l’aide de TLS Syslog

Avant d’ajouter une source de journal dans JSA, vous devez générer des certificats sur la console JSA, puis copier les certificats sur votre équipement Check Point.

  1. À l’aide de SSH, connectez-vous à votre console JSA.

  2. Générez la clé d’autorité de certification racine en tapant la commande suivante :

    openssl genrsa -out RootCA.key 2048

  3. Générez le pem d’autorité de certification racine en tapant la commande suivante :

    openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem

    Note:

    Lorsque vous êtes invité à fournir des informations de nom unique (DN) sur le certificat, vous pouvez utiliser CheckpointRootCA comme valeur Common Name . La valeur Common Name ne peut pas être la même que celle que vous utilisez pour les autres certificats. Tous les autres champs sont facultatifs et peuvent être laissés vides. Toutefois, si vous achetez un certificat SSL auprès d’une autorité de certification, vous devrez peut-être configurer d’autres champs, tels que Organisation , pour refléter avec précision les informations de votre organisation.

  4. Pour générer la clé client, saisissez la commande suivante :

    openssl genrsa -out log_exporter.key 2048

    Note:

    Ne partagez la clé client avec personne.

  5. Pour générer la demande de signature de certificat client, tapez la commande suivante :

    openssl req -new -key log_exporter.key -out log_exporter.csr

    Note:

    Lorsque vous êtes invité à fournir des informations de nom unique (DN) sur le certificat, vous pouvez utiliser l’adresse IP du point de contrôle comme valeur de nom commun . La valeur Common Name ne peut pas être la même que celle que vous utilisez pour les autres certificats. Tous les autres champs sont facultatifs et peuvent être laissés vides. Lorsque vous saisissez une valeur pour le champ Mot de passe de défi , n’utilisez pas de caractères spéciaux pour le mot de passe. Si vous achetez un certificat SSL auprès d’une autorité de certification, vous devrez peut-être configurer d’autres champs, tels que Organisation , afin de refléter avec précision les informations de votre organisation.

  6. Pour signer le certificat à l’aide des fichiers d’autorité de certification, saisissez la commande suivante :

    openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial - out log_exporter.crt -days 2048 -sha256

  7. Pour convertir le certificat au format p12, tapez la commande suivante :

    openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12

    Note:

    Lorsque vous saisissez une valeur pour le champ Exporter le mot de passe, n’utilisez pas de caractères spéciaux pour le mot de passe.

  8. Générez la clé serveur en tapant la commande suivante :

    openssl genrsa -out syslogServer.key 2048

    Note:

    Ne partagez la clé du serveur avec personne.

  9. Générez la demande de signature de certificat serveur en tapant la commande suivante :

    openssl req -new -key syslogServer.key -out syslogServer.csr

    Note:

    Lorsque vous êtes invité à fournir des informations de nom unique (DN) sur le certificat, vous pouvez utiliser l’adresse IP JSA comme valeur Common Name . La valeur Common Name ne peut pas être la même que celle que vous utilisez pour les autres certificats. Tous les autres champs sont facultatifs et peuvent être laissés vides. Lorsque vous saisissez une valeur pour le champ Mot de passe de défi , n’utilisez pas de caractères spéciaux pour le mot de passe. Si vous achetez un certificat SSL auprès d’une autorité de certification, vous devrez peut-être configurer d’autres champs, tels que Organisation , afin de refléter avec précision les informations de votre organisation.

  10. Pour signer le certificat à l’aide des fichiers d’autorité de certification, saisissez la commande suivante :

    openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial - out syslogServer.crt -days 2048 -sha256

  11. Pour convertir le certificat et la clé du serveur en fichier p12, saisissez la commande suivante :

    openssl pkcs12 -inkey syslogServer.key -in syslogServer.crt -export -out syslogServer.p12

    Note:

    Lorsque vous saisissez une valeur pour le champ Saisir le mot de passe d’exportation , n’utilisez pas de caractères spéciaux pour le mot de passe.

  12. À l’aide de SSH, connectez-vous à votre équipement Check Point.

  13. Pour accéder au mode expert, saisissez la commande suivante :

    Expert

  14. Créez un répertoire de certificats dans votre répertoire de déploiement :

    mkdir -p $EXPORTERDIR/target/<deployment_name>/certs

    <deployment_name> est le nom d’hôte de votre console JSA.

  15. Copiez le RootCA.pem et log_exporter.p12 que vous avez créé aux étapes 3 et 7 dans le répertoire que vous avez créé sur votre équipement de check point à l’étape 13 en tapant la commande suivante :

    scp root@jsa_ip:RootCA.pem log_exporter.p12 $EXPORTERDIR/targets/<deployment_name>/certs/

  16. Saisissez les commandes suivantes :

    chmod +r RootCA.pem

    chmod +r log_exporter.p12

    cp_log_export add name <deployment_name> target-server <QRadar_host_IP> protocol tcp target-port <port_from_log_source_config> format leef encrypted true ca-cert $EXPORTERDIR/ targets/<deployment_name>/certs/RootCA.pem client-cert $EXPORTERDIR/targets/ <deployment_name>/certs/log_exporter.p12 client-secret <password_for_p12>

Ajoutez une source de journal dans JSA à l’aide du protocole TLS Syslog. Pour plus d’informations, consultez les paramètres de la source de journaux syslog TLS pour check point.

Paramètres de source de journalisation TLS pour check point

Si JSA ne détecte pas automatiquement la source du journal, ajoutez une source de journal de point de contrôle sur la console JSA à l’aide du protocole SYSLOG TLS.

Lorsque vous utilisez le protocole TLS Syslog, vous devez utiliser des paramètres spécifiques.

Le tableau suivant décrit les paramètres qui nécessitent des valeurs spécifiques pour collecter les événements TLS Syslog à partir de Check Point :

Tableau 1 : Paramètres de la source de journalisation TLS Syslog pour le point de contrôle DSM

Paramètre

Valeur

Type de source du journal

Point de contrôle

Configuration du protocole

TLS Syslog

Identifiant de la source du journal

Saisissez l’adresse IP de votre serveur Check Point comme identifiant pour les événements de vos équipements Check Point.

Port d’écoute TLS

6514

Mode d’authentification

Authentification TLS et client

Chemin du certificat client

<full_path_to_file>/log_exporter.crt

Type de certificat

Chaîne de certificats et mot de passe PKCS12

Chemin de certificat PKCS12

<full_path_to_the_file>/syslogServer.p12

Mot de passe PKCS12

Mot de passe du certificat PKCS12.

Alias de certificat

Ce champ doit être vide.

Longueur maximale de la charge utile

4096

Nombre maximal de connexions

50