Integrar Check Point mediante Syslog

En esta sección se describe cómo asegurarse de que los DSM de Check Point de JSA aceptan eventos de Check Point mediante syslog.

Para configurar Check Point para reenviar eventos syslog a JSA, siga estos pasos:

Nota:

Si Check Point SmartCenter está instalado en Microsoft Windows, debe integrar Check Point con JSA mediante OPSEC.

Escriba el siguiente comando para acceder a la consola de Check Point como usuario experto:

expert

Aparecerá una solicitud de contraseña.
Escriba la contraseña de la consola de experto. Presione la tecla Intro.
Abra el archivo siguiente:

/etc/rc.d/rc3.d/S99local
Agregue las líneas siguientes:

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &

Dónde:
- <facility> es una función syslog, por ejemplo, local3.
- <priority> es una prioridad syslog, por ejemplo, info.
Por ejemplo:

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &
Guarde y cierre el archivo.
Abra el archivo syslog.conf .
Agregue la línea siguiente:

<facility>.<priority> <TAB><TAB>@<host>

Dónde:
- <facility> es la función syslog, por ejemplo, local3. Este valor debe coincidir con el valor que escribió en el paso 4.
- <priority> es la prioridad syslog, por ejemplo, info o aviso. Este valor debe coincidir con el valor que escribió en el paso 4.
<TAB> indica que debe presionar la tecla TAB.

<host> indica la consola JSA o el host administrado.
Guarde y cierre el archivo.
Escriba el comando siguiente para reiniciar syslog:
- En Linux: service syslog restart
- En Solaris: /etc/init.d/syslog start
Escriba el siguiente comando:

nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &

Dónde:
- <facility> es una instalación de Syslog, por ejemplo, local3. Este valor debe coincidir con el valor que escribió en el paso 4.
- <priority> es una prioridad de Syslog, por ejemplo, info. Este valor debe coincidir con el valor que escribió en el paso 4.

La configuración se ha completado. El origen del registro se agrega a JSA a medida que se detectan automáticamente los eventos syslog de Check Point. Los eventos que se reenvían a JSA se muestran en la pestaña Actividad de registro .

Configuración de Check Point para reenviar eventos LEEF a JSA

Para reenviar eventos LEEF a JSA, utilice el exportador de registros de Check Point y configure un nuevo destino para los registros.

Log Exporter se puede instalar en varias versiones de Check Point. Antes de enviar eventos en formato LEEF a JSA, asegúrese de tener instalada en su entorno la versión correcta de Check Point y Log Exporter.

En la tabla siguiente se describe dónde se admiten eventos LEEF.

Tabla 1: Versiones de Check Point compatibles con LEEF
Versión de Check Point	Comentarios
80.20	En esta versión se incluye el exportador de registros.
80.10	Instale Log Exporter y, a continuación, instale la revisión después.
77.30	Instale Log Exporter y, a continuación, instale la revisión después.

Punto de control 80.20

Si desea conservar la configuración de Log Exporter antes de actualizar a Check Point R80.20, siga la copia de seguridad y restauración de Log Exporter.

Punto de control R80.10

Asegúrese de que la versión R80.10 de Check Point esté instalada en los siguientes servidores:

Servidor de registro multidominio R80.10
Servidor de administración de seguridad
Servidor de registro
Servidor SmartEvent

Puede instalar Log Exporter en la versión R80.10 Jumbo Hotfix Take 56 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, a continuación, vuelva a instalar la revisión.

Punto de control R77.30

Asegúrese de que la versión R77.30 de Check Point esté instalada en los siguientes servidores:

Servidor multidominio
Servidor de registro multidominio
Servidor de registro
Servidor SmartEvent

Puede instalar Log Exporter en la versión R77.30 Jumbo Hotfix Take 292 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, a continuación, vuelva a instalar la revisión.

Para acceder al modo experto en la consola de Check Point Log Exporter mediante la interfaz de línea de comandos, escriba experty, a continuación, pulse Retorno.
Escriba su contraseña de experto y, a continuación, pulse Retorno.

Escriba el comando siguiente:

Se crea un nuevo directorio de destino y archivos predeterminados en el directorio $EXPORTERDIR/targets/<deployment_name> .

En la tabla siguiente se muestran los parámetros de ejemplo y sus valores.

Tabla 2: Configuración de destino de ejemplo
Parámetro	Valor
Nombre	<`service_name`>
Habilitado	Verdadero
Servidor de destino	<`QRadar_IP_address`>
Puerto de destino	514
Protocolo	TCP
Formato	LEEF
Modo de lectura	Semiunificado El valor predeterminado del parámetro Read-mode es `Semi-unified` garantizar que se recopilan los datos completos.

Para cambiar una configuración, escriba cp_log_export set.
Para comprobar una configuración en una implementación existente, escriba cp_log_export show.
Para iniciar Log Exporter automáticamente, escriba el comando siguiente: cp_log_export restart.

De forma predeterminada, Log Exporter no se inicia automáticamente.

Resultados

Si JSA no recibe eventos de Check Point, pruebe estos consejos para la solución de problemas:

Compruebe si hay problemas de asignación de atributos en el archivo $EXPORTERDIR/targets/<deployment_name>conf/LeefFieldsMapping.xml.
Compruebe el archivo $EXPORTERDIR/targets/<deployment_name>conf/LeefFormatDefinition.xml para ver si hay problemas de asignación de encabezado LEEF.
Compruebe las rutas de los archivos. Las rutas de los archivos pueden cambiar con las actualizaciones de Check Point. Si no encuentra un archivo de configuración, póngase en contacto con el administrador de Check Point.

Parámetros de origen de registro de Syslog para Check Point

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de Check Point en la consola de JSA mediante el protocolo Syslog.

Cuando se utiliza el protocolo Syslog, hay parámetros específicos que debe utilizar.

En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos Syslog de Check Point:

Tabla 3: Parámetros de origen de registro syslog para el punto de control DSM
Parámetro	Valor
Tipo de origen de registro	Punto de control
Configuración del protocolo	Syslog
Identificador de origen de registro	Escriba la dirección IP o el nombre de host del origen de registro como identificador de eventos de sus dispositivos Check Point.

Configuración de JSA para recibir eventos LEEF de Check Point

De forma predeterminada, los eventos LEEF de Check Point se asignan al esquema de asignación de eventos LEA de OPSEC heredado. Si desea cambiar la forma en que JSA asigna eventos, puede usar el Editor de DSM para deshabilitar la asignación de eventos heredados.

Haga clic en la pestaña Administrador .
En la sección Orígenes de datos , haga clic en Editor de DSM.
En la ventana Seleccionar tipo de origen de registro , seleccione Punto de verificación en la lista y haga clic en Seleccionar.
En la ficha Configuración , establezca Mostrar configuración de parámetros de DSM en activado.
En la lista Recopilador de eventos , seleccione el recopilador de eventos para el origen del registro.
Establezca Deshabilitar asignación de eventos heredados en activado.
Haga clic en Guardar y cierre el Editor de DSM.

Configuración de JSA 7.3.0 para recibir eventos LEEF de Check Point

De forma predeterminada, los eventos LEEF de Check Point se asignan al esquema de asignación de eventos LEA de OPSEC heredado. Si desea cambiar la forma en que JSA 7.3.0 asigna eventos, puede deshabilitar la asignación de eventos heredada mediante la línea de comandos.

Con SSH, inicie sesión en la consola de JSA como usuario raíz.
Para crear un nuevo archivo de propiedades o editar un archivo de propiedades existente, escriba el comando siguiente:
vi /opt/qradar/conf/CheckPoint.properties
Para deshabilitar la asignación de eventos heredados, agregue la siguiente línea en el archivo de texto:
useLEEFMapping=true
Para habilitar la asignación de eventos heredados, use una de las siguientes opciones:
1. Opcional: Elimine la línea siguiente:
  useLEEFMapping=true
2. Opcional: cambie la línea useLEEFMapping=true a useLEEFMapping=false.
Guarde los cambios y luego salga de la terminal.
Reinicie el servicio de recopilación de eventos. Para obtener más información, consulte Reiniciar el servicio de recopilación de eventos.

Mensajes de eventos de ejemplo de Syslog para Check Point

Utilice estos mensajes de eventos de ejemplo para verificar una integración correcta con JSA.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o de avance de línea.

Mensaje de ejemplo de Check Point cuando se utiliza el protocolo Syslog

Ejemplo 1: El siguiente mensaje de evento de ejemplo muestra que una conexión de confianza se identifica y se marca como un flujo de elefante.

Tabla 4: Valores resaltados en el evento de muestra Check Point
Nombre de campo JSA	Valores resaltados en la carga de evento
Nombre de usuario	Confidencial***
IP de origen	10.3.5.15
Puerto de origen	61172
IP de destino	10.254.4.3
Puerto de destino	53
Hora del dispositivo	sep 30 07:13:59

Ejemplo 2: El siguiente mensaje de evento de ejemplo muestra que el inicio de sesión de un usuario se realiza correctamente.

Tabla 5: Valores resaltados en el evento de muestra de punto de control
Nombre de campo JSA	Valores resaltados en la carga de evento
ID. de evento	Inicio de sesión correcto
Categoría del evento	Sistema operativo Linux
Nombre de usuario	Cp
IP de origen	172.16.150.106
Hora del dispositivo	Oct 18 13:09:03 ADT
IP de identidad	172.16.150.106
Nombre de usuario de identidad	Cp