Références - Paramètres de configuration de la collecte Check Point

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit les paramètres de configuration des sources d'événements Check Point

Pour accéder aux paramètres de configuration de la collecte Check Point :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Cliquez sur AdvcdExpandBtn.PNG sous Actions et sélectionnez Afficher > Config.
  4. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Check Point/Config dans le menu déroulant.

CPSourceTab.png

La vue Check Point/Config sous l'onglet Sources d'événements contient deux panneaux : Catégories et sources d'événements

Panneau Catégories d'événements

Le panneau Catégories d'événements permet d'ajouter ou de supprimer les types de sources d'événements appropriées.

                         
FonctionnalitéDescription
Icon-Add.png Affiche la boîte de dialogue Types de sources d'événements disponibles qui permet de sélectionner le type de source d'événement pour lequel vous souhaitez définir les paramètres.
Icon_Delete_sm.png Supprime les types de sources d'événements sélectionnés à partir du panneau Catégories d'événements.
Checkbox.png Sélectionne les types de sources d'événements.
NameAffiche le nom des types de sources d'événements que vous avez ajoutés.

Boîte de dialogue Types de sources d'événements disponibles

La boîte de dialogue Types de sources d'événements disponibles affiche la liste des types de sources d'événements pris en charge.

                         
FonctionnalitéDescription
Checkbox.png Sélectionne le type de source d'événement que vous souhaitez ajouter.
TypeAffiche les types de sources d'événements qui sont disponibles à l'ajout.
AnnulerFerme la boîte de dialogue sans ajouter de type de source d'événement.
OKAjoute le type de source d'événement sélectionné dans le panneau Catégories d'événements.

Panneau Sources

Le panneau Sources de Check Point affiche une liste de sources d'événements de pare-feu Check Point existant. Utilisez cette section pour ajouter ou supprimer les sources d'événements et les paramètres de communication associés.

Barre d’outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                                   
FonctionnalitéDescription :
Icon-Add.png Affiche la boîte de dialogue Ajouter une source dans laquelle vous pouvez définir les paramètres de l'hôte de pare-feu Check Point.
Icon_Delete_sm.png Supprime l'hôte que vous avez sélectionné.
icon-edit.png

Ouvre la boîte de dialogue Modifier la source permettant de modifier les paramètres de la source d'événements Check Point sélectionnée.

Sélectionnez plusieurs sources d'événements, puis cliquez sur icon-edit.png pour ouvrir la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage des sources d'événements sélectionnées.

Reportez-vous au Guide de Configuration de Log Collection afin de connaître les informations pour importer, exporter et modifier des sources d'événements en bloc.

ImportSourceIcon.PNG

Ouvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc des hôtes Check Point contenus dans un fichier CSV.

Reportez-vous au Guide de Configuration de Log Collection afin de connaître les informations pour importer, exporter et modifier des sources d'événements en bloc.

ExportSourceIcon.PNG

Crée un fichier .csv contenant les paramètres des hôtes Check Point sélectionnés.

Reportez-vous au Guide de Configuration de Log Collection afin de connaître les informations pour importer, exporter et modifier des sources d'événements en bloc.

PullCertificateIcon.PNG Ouvrez la boîte de dialogue Extraire le certificat. Utilisez cette boîte de dialogue pour extraire un certificat à partir du serveur Check Point pour cet hôte.

Boîte de dialogue Ajouter ou modifier la source

La boîte de dialogue Ajouter une source et la boîte de dialogue Modifier la source contiennent les mêmes informations.

                                                                                                     
ParamètreDescription :
Basique
Name*Nom de la source d'événement.
Adresse du serveur*Adresse IP du serveur Check Point.
Nom du serveur*Nom du serveur Check Point.
Nom du certificatNom du certificat des connexions sécurité à utiliser lorsque le mode de transport est de type https. S'il est configuré, le certificat doit être présent dans le magasin de certificats de confiance que vous avez créé via l'onglet Paramètres.

Sélectionnez un certificat dans la liste déroulante. La convention de dénomination des fichiers pour les certificats de source d'événements Check Point est checkpoint_nom-de-la-source-d'événement.
Client uniqueSaisissez le nom unique du client sur le serveur Check Point.
Nom d'entité de clientSaisissez le nom d'entité de client sur le serveur Check Point.
Serveur uniqueSaisissez le nom unique du serveur sur le serveur Check Point.
Extraire le certificatCochez la case permettant d'extraire un certificat pour la première fois.  L'extraction d'un certificat le rend disponible auprès du magasin de certificats de confiance.
Adresse du serveur de certificatAdresse IP du serveur sur lequel réside le certificat.
Mot de passeActif uniquement lorsque vous cochez la case Extraire le certificat pour la première fois. Mot de passe requis pour extraire le certificat. Le mot de passe est la clé d'activation créée lors de l'ajout d'une application  OPSEC à Check Point sur le serveur Check Point.
EnabledCochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.

Avancé 

Remarque : Vous utilisez moins de ressources système lorsque vous configurez une connexion de source d'événements Check Point afin qu'elle reste ouverte pendant une période spécifique et un volume d'événement spécifique (connexion transitoire).  Security Analytics utilise les paramètres de connexion par défaut suivants pour établir une connexion transitoire :

Intervalle d'interrogation = 180 (3 minutes)
Nb max. d'interrogations de durées = 120 (2 minutes)
Nb max. d'interrogations d'événements = 5 000 (5 000 événements par intervalle d'interrogation)
Nb max. d'interrogations liées au délai de mise en veille = 0

Pour les sources d'événements Check Point très actives, nous vous recommandons de configurer une connexion qui reste ouverte jusqu'à ce que vous l'arrêtiez (connexion permanente). Cela garantit que la collecte Check Point maintient le rythme des événements générés par ces sources d'événements actives. La connexion permanente évite les délais de redémarrage et de connexion et empêche que la collecte Check Point soit retardée par la génération d'événements. Pour établir une connexion permanente pour une source d'événements Check Point, définissez les paramètres de valeurs suivants :

Intervalle d'interrogation = -1
Nb max. d'interrogations de durées = 0
Nb max. d'interrogations d'événements = 0
Nb max. d'interrogations liées au délai de mise en veille = 0

PortPort du serveur Check Point auquel Log Collector se connecte. La valeur par défaut est 18184.
Type de log de collecte

Type de logs que vous souhaitez collecter.  Les valeurs autorisées sont les suivantes :

  • Audit - collecte les événements d'audit.
  • Sécurité - collecte les événements de sécurité.

Si vous souhaitez collecter à la fois les événements d'audit et de sécurité, vous devez créer une source d'événements dupliquée. À titre d'exemple, vous créez d'abord une source d'événements avec l'option Audit sélectionnée afin d'extraire un certificat dans le magasin de certificats de confiance pour cette source d'événements. Ensuite, vous créez une autre source d'événements avec les mêmes valeurs, sauf que vous sélectionnez Sécurité comme Type de log de collecte et vous choisissez le même certificat dans le Nom du certificat que celui extrait lors de la configuration des premiers paramètres pour cette source d'événements, et vous vous assurez que Extraire le certificat n'est pas sélectionné.

Collecter des logs de

Lorsque vous configurez une source d'événements Check Point, Security Analytics collecte les événements à partir du fichier de log actuel. Les valeurs autorisées sont les suivantes :

  • Maintenant - démarre la collecte des logs maintenant (à un point donné dans le fichier log actuel). 
  • Heure de début - collecte les logs depuis le début du fichier log actuel.

Si vous choisissez « Tout début » pour cette valeur de paramètre, vous risquez de collecter une très grande quantité de données, qui dépend du temps pendant lequel le fichier log actuel a collecté les événements.

Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.

Nb max. d'interrogations de duréesDurée maximale du cycle d'interrogation en secondes.
Nb max. d'interrogations d'événementsNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Nb max. d'interrogations liées au délai de mise en veilleDélai de mise en veille maximal, en secondes, d’un cycle d’interrogation. 0 indique aucune limite. >300 est la valeur par défaut.
Debug

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active et désactive la consignation du débogage pour la source d'événements.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

AnnulerFerme la boîte de dialogue sans ajouter l'hôte de pare-feu Check Point.
OKAjoute les valeurs de paramétrage actuelles en tant que nouvel hôte Check Point.

Boîte de dialogue Extraire le certificat

Le tableau suivant fournit les descriptions des paramètres de la boîte de dialogue Extraire le certificat.

                                         
ParamètreDescription :
NameAffiche le nom de la source de l'événement
Adresse du serveurAffiche l'adresse IP du serveur Check Point.
Nom d'entité de clientAffiche le nom d'entité de client acquise lors de la configuration de la source d'événements Check Point pour Security Analytics.
Mot de passeClé d'activation créée lors de l'ajout d'une application OPSEC à Check Point. Vous devez ressaisir ce mot de passe pour extraire le certificat du serveur Check Point.
Mise à jour(Ne s'affiche qu'en mode modification ; cliquez sur le champ Mot de passe.) Applique des modifications que vous effectuez aux paramètres de l'hôte.
Annuler(Ne s'affiche qu'en mode modification ; cliquez sur le champ Mot de passe.) Ferme le mode modification en appliquant les changements.
AnnulerFerme la boîte de dialogue sans extraire de certificat.
OKExtrait le certificat.

Tâches

Étape 2. Configurer des sources d'événements Check Point dans Security Analytics

You are here
Table of Contents > Guide de configuration de Check Point Collection > Références - Paramètres de configuration de la collecte Check Point

Attachments

    Outcomes