Integrar check point mediante Syslog

En esta sección se describe cómo asegurarse de que los DSM de puntos de verificación JSA acepten eventos de punto de verificación mediante syslog.

Para configurar check point para reenviar eventos syslog a JSA, complete los pasos siguientes:

Nota:

Si Check Point SmartCenter está instalado en Microsoft Windows, debe integrar Check Point con JSA mediante OPSEC.

Escriba el siguiente comando para tener acceso a la consola de Check Point como usuario experto:

expert

Aparecerá un indicador de contraseña.
Escriba su contraseña de consola experta. Presione la tecla Intro.
Abra el siguiente archivo:

/etc/rc.d/rc3.d/S99local
Agregue las siguientes líneas:

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &

Dónde:
- facility<> es una instalación de syslog, por ejemplo, local3.
- priority<> es una prioridad de syslog, por ejemplo, información.
Por ejemplo:

$FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &
Guarde y cierre el archivo.
Abra el archivo syslog.conf .
Agregue la siguiente línea:

<facility>.<priority> <TAB><TAB>@<host>

Dónde:
- facility<> es la instalación de syslog, por ejemplo, local3. Este valor debe coincidir con el que ha escrito en el paso 4.
- priority<> es la prioridad del syslog, por ejemplo, información o aviso. Este valor debe coincidir con el que ha escrito en el paso 4.
<TAB> indica que debe presionar la tecla TAB.

host<> indica la consola JSA o el host administrado.
Guarde y cierre el archivo.
Escriba el siguiente comando para reiniciar syslog:
- En Linux: service syslog restart
- En Solaris: /etc/init.d/syslog start
Escriba el siguiente comando:

nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &

Dónde:
- facility<> es una instalación de Syslog, por ejemplo, local3. Este valor debe coincidir con el que ha escrito en el paso 4.
- priority<> es una prioridad de Syslog, por ejemplo, información. Este valor debe coincidir con el que ha escrito en el paso 4.

La configuración está completa. El origen del registro se agrega a JSA a medida que los eventos syslog de check point se descubren automáticamente. Los eventos que se reenvían a JSA se muestran en la pestaña Actividad de registro .

Configurar el punto de verificación para reenviar eventos DE LEEF a JSA

Para reenviar eventos LEEF a JSA, utilice el exportador de registro de puntos de verificación y configure un nuevo destino para los registros.

El log Exporter se puede instalar en varias versiones de Check Point. Antes de enviar eventos en formato LEEF a JSA, asegúrese de tener la versión correcta de Check Point y Log Exporter instaladas en su entorno.

En la tabla siguiente se describe dónde se admiten los eventos LEEF.

Tabla 1: Versiones de Check Point compatibles con LEEF
Versión de Check Point	Comentarios
80.20	El registro de exportador se incluye en esta versión.
80.10	Instale Log Exporter y, luego, instale la revisión después.
77.30	Instale Log Exporter y, luego, instale la revisión después.

Punto de control 80.20

Si desea conservar la configuración del exportador de registros antes de actualizar a Check Point R80.20, siga la copia de seguridad y restaure el registro exportador.

Punto de control R80.10

Asegúrese de que check point versión R80.10 esté instalado en los siguientes servidores:

Servidor de registro de varios dominios R80.10
Servidor de administración de seguridad
Servidor de registro
Servidor SmartEvent

Puede instalar Log Exporter en la versión R80.10 Jumbo Revisión Take 56 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, luego, vuelva a instalar la revisión.

Punto de control R77.30

Asegúrese de que check point versión R77.30 esté instalado en los siguientes servidores:

Servidor multidominio
Servidor de registro de varios dominios
Servidor de registro
Servidor SmartEvent

Puede instalar Log Exporter en la versión R77.30 Jumbo Revisión Take 292 o posterior. La revisión debe instalarse después de instalar Jumbo. Si desea actualizar Jumbo, desinstale la revisión, actualice Jumbo y, luego, vuelva a instalar la revisión.

Para acceder al modo experto en la consola del exportador de registro del punto de verificación mediante la interfaz de línea de comandos, escriba experty, a continuación, presione Retorno.
Escriba su contraseña experta y, luego, presione Retorno.

Escriba el siguiente comando:

Un nuevo directorio de destino y archivos predeterminados se crean en el directorio $EXPORTERDIR/targets/<deployment_name> .

En la tabla siguiente se muestran los parámetros de ejemplo y sus valores.

Tabla 2: Configuración de destino de ejemplo
Parámetro	Valor
Nombre	`service_name`<>
Habilitado	Verdad
Servidor de destino	`QRadar_IP_address`<>
Puerto de destino	514
Protocolo	TCP
Formato	LEEF
Modo de lectura	Semiautóno unificado El valor predeterminado para el parámetro modo de lectura es `Semi-unified` asegurarse de que se recopilan los datos completos.

Para cambiar una configuración, escriba cp_log_export set.
Para comprobar una configuración en una implementación existente, escriba cp_log_export show.
Para iniciar Log Exporter automáticamente, escriba el siguiente comando: cp_log_export restart.

De forma predeterminada, el registro del exportador no se inicia automáticamente.

Resultados

Si JSA no recibe eventos de Check Point, pruebe estos consejos para la resolución de problemas:

Compruebe el archivo $EXPORTERDIR/targets/<deployment_name>//conf/LeefFieldsMapping.xml para detectar problemas de asignación de atributos.
Compruebe el archivo $EXPORTERDIR/targets/<deployment_name>//conf/LeefFormatDefinition.xml para detectar problemas de asignación de encabezados LEEF.
Compruebe las rutas del archivo. Las rutas de los archivos pueden cambiar con las actualizaciones de Check Point. Si no se encuentra un archivo de configuración, póngase en contacto con el administrador de Check Point.

Parámetros de origen del registro syslog para check point

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de Check Point en la consola JSA mediante el protocolo Syslog.

Cuando se usa el protocolo Syslog, hay parámetros específicos que debe usar.

En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos Syslog desde el punto de verificación:

Tabla 3: Parámetros de origen de registro Syslog para el PUNTO de verificación DESS
Parámetro	Valor
Tipo de fuente de registro	Punto de control
Configuración de protocolo	Syslog
Identificador de origen de registro	Escriba la dirección IP o el nombre de host del origen del registro como identificador para eventos desde sus dispositivos de check point.

Configuración de JSA para recibir eventos LEEF desde el punto de verificación

De forma predeterminada, los eventos LEEF de check point se asignan al esquema heredado de asignación de eventos OPSEC LEA. Si desea cambiar la forma en que JSA asigna eventos, puede usar el Editor de DSM para deshabilitar la asignación de eventos heredados.

Haga clic en la pestaña Admin .
En la sección Orígenes de datos , haga clic en Editor de DSM.
En la ventana Seleccionar tipo de origen de registro , seleccione Punto de verificación de la lista y haga clic en Seleccionar.
En la ficha Configuración, establezca Mostrar configuración de parámetros de DSM en.
En la lista Recopilador de eventos, seleccione el recopilador de eventos para el origen del registro.
Establezca Deshabilitar asignación de eventos heredados para activar.
Haga clic en Guardar y cierre el Editor de DSM.

Configuración de JSA 7.3.0 para recibir eventos DE LEEF desde check point

De forma predeterminada, los eventos LEEF de check point se asignan al esquema heredado de asignación de eventos OPSEC LEA. Si desea cambiar la forma en que JSA 7.3.0 asigna eventos, puede deshabilitar la asignación de eventos heredados mediante la línea de comandos.

Con SSH, inicie sesión en la consola JSA como usuario raíz.
Para crear un nuevo archivo de propiedades o editar un archivo de propiedades existente, escriba el siguiente comando:
vi /opt/qradar/conf/CheckPoint.properties
Para deshabilitar la asignación de eventos heredados, agregue la línea siguiente en el archivo de texto:
useLEEFMapping=true
Para habilitar la asignación de eventos heredados, utilice una de las siguientes opciones:
1. Opcional: Elimine la línea siguiente:
  useLEEFMapping=true
2. Opcional: Cambie la línea useLEEFMapping=true para usarLEEFMapping=false.
Guarda los cambios y, luego, salga del terminal.
Reinicie el servicio de recopilación de eventos. Para obtener más información, consulte Reiniciar el servicio de recopilación de eventos.

Mensajes de evento de ejemplo de Syslog para el punto de verificación

Utilice estos mensajes de evento de ejemplo para comprobar que la integración con JSA es correcta.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine los caracteres de retorno de transporte o fuente de línea.

Mensaje de ejemplo de punto de verificación cuando se utiliza el protocolo Syslog

Ejemplo 1: En el siguiente mensaje de evento de ejemplo se muestra que se identifica una conexión de confianza y se marca como flujo de elefanta.

Tabla 4: Valores destacados en el evento de muestra del punto de verificación
Nombre de campo JSA	Valores destacados en la carga del evento
Nombre de usuario	Confidencial***
IP de origen	10.3.5.15
Puerto de origen	61172
IP de destino	10.254.4.3
Puerto de destino	53
Tiempo del dispositivo	30 de septiembre 07:13:59

Ejemplo 2: El siguiente mensaje de evento de ejemplo muestra que el inicio de sesión de un usuario se realiza correctamente.

Tabla 5: Valores destacados en el evento de muestra del punto de verificación
Nombre de campo JSA	Valores destacados en la carga del evento
ID de evento	Inicio de sesión exitoso
Categoría de evento	Sistema operativo Linux
Nombre de usuario	Cp
IP de origen	172.16.150.106
Tiempo del dispositivo	18 de octubre 13:09:03 ADT
IP de identidad	172.16.150.106
Nombre de usuario de identidad	Cp