Collecte Check Point : Étape 2. Configurer Check Point dans SA

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment configurer des sources d'événements Check Point pour le Log Collector.

À la fin de cette procédure, vous aurez...

  • Configuré une source d'événement Check Point.
  • Modifié une source d'événement Check Point.
  • Extrait un certificat pour une source d'événement Check Point.

Revenez à la rubrique Procédures

Procédures

Configurer une source d'événements Check Point

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements, sélectionnez Check Point/Config dans le menu déroulant.
  5. Dans la barre d'outils du panneau Catégories d'événements , cliquez sur Icon-Add.png.
    La boîte de dialogue Types de sources d'événements disponibles s'affiche.
  6. Sélectionnez un type de source d'événement (par exemple, checkpoint), puis cliquez sur OK.
    CPAvailEST.PNG
    Le type de source d'événement nouvellement ajouté s'affiche dans le panneau Catégories d'événements.
  7. Sélectionnez le nouveau type dans le panneau Catégories d'événements, puis cliquez sur Icon-Add.png dans la barre d'outils Sources.
    La boîte de dialogue Ajouter une source s'affiche.
  8. Définir des valeurs de paramètre (reportez-vous à la section Collecte Check Point : Paramètres de configurationpour les définitions de chaque paramètre).

Remarque : Vous utilisez moins de ressources système lorsque vous configurez une connexion qui ne reste ouverte que pour le temps et le volume d'événements que vous avez précisés ou lorsque vous configurez une connexion temporaire. Par défaut, les paramètres sont configurés pour une connexion temporaire, comme suit :
Nb max. d'interrogations d'événements = 0
Intervalle d’interrogation = 0
Nb max. d'interrogations de durées = 0
Intervalle d'interrogation = -1
Précisez le nombre d'événements et la durée de connexion dans les paramètres Nb max. d'événements, Intervalle d'interrogation, Nb max. d'interrogations de durées et Intervalle d’interrogation. Pour les sources d'événements Check Point très actives, nous vous recommandons de configurer une connexion qui reste ouverte jusqu'à ce que vous l'arrêtiez (connexion permanente). Cela garantit que la collecte Check Point maintient le rythme des événements générés par ces sources d'événements actives. La connexion permanente évite les délais de redémarrage et de connexion et empêche que la collecte Check Point soit retardée par la génération d'événements. Pour établir une connexion permanente pour une source d'événements Check Point, définissez les paramètres de valeurs suivants :
Nb max. d'interrogations d'événements = 5000 Intervalle d'interrogation = 180 (3 minutes)
Nb max. d'interrogations de durées = 120 (2 minutes)
Nb max. d'interrogations d'événements = 0


CPAddSource.PNG

  1. Sélectionnez Extraire le certificat pour extraire un certificat pour la première fois. Ainsi, il devient disponible à partir du magasin d'approbations.
  2. Cliquez sur OK.

La nouvelle source d'événement s'affiche dans le panneau Sources.

Extraire le certificat

Procédez comme suit si vous :

  • n'avez pas extrait de certificat lorsque vous avez configuré une source d'événement Check Point ou
  • devez extraire un certificat à nouveau.

Pour extraire un certificat :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements, sélectionnez Check Point/Config dans le menu déroulant.
  5. Sélectionnez un type de source d'événement dans le panneau Catégories d'événements.
    Les sources de ce type s'affichent dans le panneau Sources.
  6. Sélectionnez une ou plusieurs sources, puis cliquez sur PullCertificateIcon.PNG.
    Les paramètres du ou des serveurs Check Point à partir desquels vous pouvez extraire des certificats s'affichent.
  7. Cliquez sur la zone de texte sous Mot de passe.
    Tous les champs deviennent modifiables.
    CPPullCert2.PNG
  8. Saisissez un mot de passe, cliquez sur Mettre à jour, puis sur OK.

Remarque : Vous devez indiquer un mot de passe. Si vous devez modifier les autres paramètres de certificat de serveur Check Point (Audit, Adresse du serveur, puis Nom d'entité de client), cette possibilité vous est offerte. 

Security Analytics extrait le certificat.

Modifier une source d'événement Check Point

Pour modifier une source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements, sélectionnez Check Point/Config dans le menu déroulant.
    Le panneau Catégories d'événements affiche les sources d'événements qui sont configurées, le cas échéant.
  5. Sélectionnez un type de source d'événement dans le panneau Catégories d'événements.
    Les sources d'événements de ce type sont affichées dans le panneau Sources.
  6. Sélectionnez une source, puis cliquez sur icon-edit.png dans la barre d'outils.
    La boîte de dialogue Modifier la source s'affiche.
  7. Modifiez les paramètres nécessaires, puis cliquez sur Enregistrer.
    CPEditSource.PNG
    Security Analytics applique les modifications de paramètres à la source d'événement sélectionnée.

Parameters

Collecte Check Point : Paramètres de configuration

You are here
Table of Contents > Guide de configuration de Check Point Collection > Procédures > Étape 2. Configurer des sources d'événements Check Point dans Security Analytics

Attachments

    Outcomes