Check Point収集:ステップ2:SAでのCheck Pointの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log CollectorにCheck Pointイベント ソースを構成する方法について説明します。

この手順を完了すると、以下のタスクが完了します。

  • Check Pointイベント ソースの構成。
  • Check Pointイベント ソースの変更。
  • Check Pointイベント ソースの証明書の受信。

に戻ります。手順

手順

Check Pointイベント ソースの構成

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Check Point/構成]を選択します。
  5. イベント カテゴリー]パネル ツールバーで、Icon-Add.pngをクリックします。
    使用可能なイベント ソース タイプ]ダイアログが表示されます。
  6. イベント ソース タイプ(たとえばcheckpoint)を選択し、[OK]をクリックします。
    CPAvailEST.PNG
    新しく追加されたイベント ソース タイプが[イベント カテゴリー]パネルに表示されます。
  7. イベント カテゴリー]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。
    ソースの追加]ダイアログが表示されます。
  8. パラメーター値を定義します(各パラメーターの定義についてはCheck Point収集:構成パラメータを参照してください)。

注:接続を開いておくタイミングとイベント ボリュームを指定する(一時的に接続を開く)と、システム リソースの使用量を抑えることができます。デフォルトでは、一時的な接続を確立するように、パラメーターは次のように設定されます。
ポーリング最大イベント数 = 0
ポーリング間隔 = 0
ポーリング最大継続時間 = 0
ポーリング間隔 = -1
接続を開いた状態にしておくイベントの数と時間を、[最大イベント数]、[ポーリング間隔]、[ポーリング最大継続時間]、[ポーリング間隔]の各パラメーターで指定します。Check Pointのイベント ソースから大量のイベントが発生する場合、収集を停止するまで接続を開いておく(持続的な接続を使用する)ように設定することをお勧めします。この設定によって、チェック ポイント収集において大量のログを生成するイベント ソースから生成されるイベント収集の速度を維持できます。永続的な接続によって、収集の再開や接続の遅延が回避され、Check Point収集がイベント生成よりも遅延することを防ぎます。Check Pointイベント ソースに対する永続的な接続を確立するには、次のパラメータに値を設定します。
ポーリング最大イベント数 = 5000 ポーリング間隔 = 180(3分)
ポーリング最大継続時間 = 120(2分)
ポーリング最大イベント数 = 0


CPAddSource.PNG

  1. 最初に証明書の受信を行う場合は[証明書の受信]をオンにします。これにより、証明書はトラスト ストアで使用可能になります。
  2. OKをクリックします。

新しいイベント ソースが[ソース]パネルに表示されます。

証明書の受信

次のいずれかに該当する場合は、下記の手順を実行してください。

  • Check Pointイベント ソースを構成するときに証明書を受信しなかった場合
  • 証明書を受信する必要がある場合

証明書を受信するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Check Point/構成]を選択します。
  5. [イベント カテゴリー]パネルでイベント ソース タイプを選択します。
    指定したタイプのソースが[ソース]パネルに表示されます。
  6. 1つ以上のソースを選択し、をクリックします。
    証明書を受信するCheck Pointサーバの設定が表示されます。
  7. パスワード]の下にあるテキスト ボックスをクリックします。
    すべてのフィールドが編集可能になります。
    CPPullCert2.PNG
  8. パスワードを入力し、[更新]をクリックして、[OK]をクリックします。

注:パスワードを指定する必要があります。必要に応じて、Check Pointサーバ証明書のパラメータ([監査]、[サーバ アドレス]、[クライアント エンティティ名])を変更します。 

Security Analyticsによって証明書がプル受信されます。

Check Pointイベント ソースの変更

イベント ソースを変更するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Check Point/構成]を選択します。
    イベント カテゴリー]パネルには、構成済みのイベント ソースが表示されます(存在する場合)。
  5. イベント カテゴリー]パネルでイベント ソース タイプを選択します。
    指定したタイプのイベント ソースが[ソース]パネルに表示されます。
  6. ソースを選択し、ツールバーの icon-edit.png をクリックします。
    ソースの編集]ダイアログが表示されます。
  7. 必要なパラメータを変更し、[保存]をクリックします。
    CPEditSource.PNG
    Security Analyticsにより、選択されたイベント ソースにパラメータの変更が適用されます。

パラメータ

Check Point収集:構成パラメータ

You are here
Table of Contents > Check Point収集構成ガイド > 手順 > ステップ2:Security AnalyticsでのCheck Pointイベント ソースの構成

Attachments

    Outcomes