項目一覧

LEEF イベントを JSA に転送するための Check Point の構成
Check Point の Syslog ログ・ソース・パラメーター
Check PointからLEEFイベントを受信するためのJSAの構成
Check Point の Syslog サンプルイベントメッセージ

Syslogを使用したCheck Pointの統合

この項では、 syslogを使用して、JSA Check Point DSMがCheck Pointイベントを確実に受け入れる方法について説明します。

syslog イベントを JSA に転送するように Check Point を設定するには、次の手順を実行します。

手記：

Check Point SmartCenter が Microsoft Windows にインストールされている場合は、OPSEC を使用して Check Point を JSA と統合する必要があります。

次のコマンドを入力して、エキスパートユーザーとして Check Point コンソールにアクセスします。

expert

パスワードのプロンプトが表示されます。
エキスパートコンソールのパスワードを入力します。Enter キーを押します。
次のファイルを開きます。

/etc/rc.d/rc3.d/S99local
次の行を追加します。

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &

どこ：
- <facility> は syslog ファシリティです(例:local3)。
- <priority> は syslog の優先度です(例:info)。
例えば：

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &
ファイルを保存して閉じます。
syslog.conf ファイルを開きます。
次の行を追加します。

<facility>.<priority> <TAB><TAB>@<host>

どこ：
- <facility>はsyslogファシリティです(例:local3)。この値は、ステップ 4 で入力した値と一致する必要があります。
- <priority> は、syslog の優先度(info や notice など)です。この値は、ステップ 4 で入力した値と一致する必要があります。
<TAB> は、Tab キーを押す必要があることを示します。

<host>は、 JSA コンソールまたは管理対象ホストを示します。
ファイルを保存して閉じます。
次のコマンドを入力して、syslog を再起動します。
- Linuxの場合: service syslog restart
- Solarisの場合: /etc/init.d/syslog start
次のコマンドを入力します。

nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &

どこ：
- <facility> は Syslog ファシリティです(例:local3)。この値は、ステップ 4 で入力した値と一致する必要があります。
- <priority> は Syslog の優先度です(例:info)。この値は、ステップ 4 で入力した値と一致する必要があります。

これで設定は完了です。Check Point syslog イベントが自動的に検出されると、ログソースが JSA に追加されます。 JSA に転送されたイベントは、「ログ・アクティビティ」タブに表示されます。

LEEF イベントを JSA に転送するための Check Point の構成

LEEF イベントを JSA に転送するには、Check Point Log Exporter を使用して、ログの新しいターゲットを設定します。

Log Exporter は、Check Point の複数のバージョンにインストールできます。イベントを LEEF 形式で JSA に送信する前に、Check Point and Log Exporter の正しいバージョンが環境にインストールされていることを確認してください。

以下の表では、LEEF イベントがサポートされる場所について説明します。

表 1: LEEF をサポートする Check Point のバージョン
Check Pointのバージョン	コメント
80.20	このバージョンには Log Exporter が含まれています。
80.10	Log Exporter をインストールし、その後に修正プログラムをインストールします。
77.30	Log Exporter をインストールし、その後に修正プログラムをインストールします。

チェックポイント80.20

Check Point R80.20 にアップグレードする前に Log Exporter の構成を保持する場合は、Log Exporter のバックアップと復元に従ってください。

チェックポイントR80.10

Check Point バージョン R80.10 が次のサーバーにインストールされていることを確認します。

R80.10マルチドメインログサーバ
セキュリティ管理サーバ
ログサーバー
SmartEvent サーバー

Log Exporter は、バージョン R80.10 Jumbo Hotfix Take 56 以降にインストールできます。修正プログラムは、Jumbo のインストール後にインストールする必要があります。Jumbo をアップグレードする場合は、修正プログラムをアンインストールし、Jumbo をアップグレードしてから、修正プログラムを再インストールします。

チェックポイントR77.30

Check Point バージョン R77.30 が次のサーバーにインストールされていることを確認します。

マルチドメインサーバー
マルチドメインログサーバー
ログサーバー
SmartEvent サーバー

Log Exporter は、バージョン R77.30 Jumbo Hotfix Take 292 以降にインストールできます。修正プログラムは、Jumbo のインストール後にインストールする必要があります。Jumbo をアップグレードする場合は、修正プログラムをアンインストールし、Jumbo をアップグレードしてから、修正プログラムを再インストールします。

コマンド・ライン・インターフェースを使用して Check Point Log Exporter コンソールのエキスパート・モードにアクセスするには、「 expert」と入力し、Return キーを押します。
エキスパートパスワードを入力してから、Returnキーを押します。

次のコマンドを入力します。

新しいターゲットディレクトリとデフォルトファイルが $EXPORTERDIR/targets/<deployment_name> ディレクトリに作成されます。

次の表に、サンプルパラメーターとその値を示します。

表 2: ターゲットの構成例
パラメーター	価値
名前	<`service_name`>
有効	真
ターゲットサーバー	<`QRadar_IP_address`>
ターゲットポート	514
議定書	TCPの
形式	リーフ
読み取りモード	半統一 Read-mode パラメーターのデフォルト値は `Semi-unified` で、完全なデータが収集されるようにします。

構成を変更するには、「 cp_log_export set」と入力します。
既存の展開の構成を検証するには、 cp_log_export show と入力します。
Log Exporter を自動的に起動するには、次のコマンドを入力します: cp_log_export restart。

既定では、Log Exporter は自動的に起動しません。

業績

JSA が Check Point からイベントを受信していない場合は、次のトラブルシューティングのヒントを試してください。

$EXPORTERDIR/targets/<deployment_name>conf/LeefFieldsMapping.xml ファイルに属性マッピングの問題がないか確認してください。
$EXPORTERDIR/targets/<deployment_name>conf/LeefFormatDefinition.xml ファイルを調べて、LEEF ヘッダー・マッピングの問題がないか調べます。
ファイルパスを確認してください。ファイルパスは、Check Point の更新によって変更される可能性があります。構成ファイルが見つからない場合は、Check Point 管理者に問い合わせてください。

Check Point の Syslog ログ・ソース・パラメーター

JSAがログ・ソースを自動的に検出しない場合は、Syslogプロトコルを使用して、JSAコンソールにCheck Pointログ・ソースを追加します。

Syslogプロトコルを使用する場合、使用しなければならない特定のパラメータがあります。

次の表では、Check Point から Syslog イベントを収集するために特定の値を必要とするパラメーターについて説明します。

表 3:Check Point DSM の syslog ログソースパラメータ
パラメーター	価値
ログソースの種類	チェックポイント
プロトコル設定	syslog
ログソース識別子	Check Point デバイスからのイベントの識別子として、ログソースの IP アドレスまたはホスト名を入力します。

Check PointからLEEFイベントを受信するためのJSAの構成

デフォルトでは、Check Point LEEF イベントは従来の OPSEC LEA イベントマッピングスキーマにマップされます。JSAがイベントをマッピングする方法を変更する場合は、DSMエディタを使用してレガシーイベントマッピングを無効にすることができます。

「管理」タブをクリックします。
[ データソース ]セクションで、[ DSMエディタ]をクリックします。
「ログソース・タイプの選択」ウィンドウで、リストから「チェック・ポイント」を選択し、「選択」をクリックします。
[ 構成 ] タブで、[ DSM パラメーター構成の表示] を [オン] に設定します。
「イベント・コレクター」リストから、ログ・ソースのイベント・コレクターを選択します。
[レガシイベントマッピングを無効にする] を [オン] に設定します。
[ 保存 ]をクリックして、DSMエディタを閉じます。

Check Point から LEEF イベントを受信するための JSA 7.3.0 の構成

デフォルトでは、Check Point LEEF イベントは従来の OPSEC LEA イベントマッピングスキーマにマップされます。JSA 7.3.0 がイベントをマップする方法を変更する場合は、コマンド行を使用して従来のイベントマッピングを無効にすることができます。

SSHを使用して、JSAコンソールにrootユーザーとしてログインします。
新しいプロパティー・ファイルを作成するか、既存のプロパティー・ファイルを編集するには、次のコマンドを入力します。
vi /opt/qradar/conf/CheckPoint.properties
従来のイベントマッピングを無効にするには、テキストファイルに次の行を追加します。
useLEEFMapping=true
従来のイベントマッピングを有効にするには、次のいずれかのオプションを使用します。
1. オプション: 次の行を削除します。
  useLEEFMapping=true
2. オプション: useLEEFMapping=true 行を useLEEFMapping=false に変更します。
変更を保存し、ターミナルを終了します。
イベント収集サービスを再起動します。詳細については、「イベント収集サービスの再起動」を参照してください。

Check Point の Syslog サンプルイベントメッセージ

これらのサンプルイベントメッセージを使用して、JSAとの統合が成功したことを確認します。

手記：

書式設定の問題により、メッセージ形式をテキストエディタに貼り付けてから、キャリッジリターンまたは改行文字を削除します。

Syslog プロトコルを使用する場合の Check Point サンプルメッセージ

サンプル 1: 以下のサンプル・イベント・メッセージは、トラステッド接続が識別され、エレファント・フローとしてマークされていることを示しています。

表 4: Check Point サンプルイベントで強調表示された値
JSAフィールド名	イベントペイロードで強調表示された値
ユーザー名	親展***
元 IP	10.3.5.15
送信元ポート	61172
宛先 IP	10.254.4.3
宛先ポート	53
デバイス時間	9月30日 7時13分59秒

サンプル 2: 次のサンプルイベントメッセージは、ユーザーログインが成功したことを示しています。

表 5: Check Point サンプルイベントで強調表示された値
JSAフィールド名	イベントペイロードで強調表示された値
イベント ID	ログインに成功しました
イベントカテゴリ	Linux OS
ユーザー名	CPの
元 IP	172.16.150.106
デバイス時間	10月18日13:09:03 ADT
アイデンティティ IP	172.16.150.106
ID ユーザー名	CPの