Configurer des sources d'événements Check Point

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment configurer le protocole de collecte Check Point qui permet de collecter les événements de sources d'événements Check Point.

Ce protocole collecte des événements issus des sources d'événements Check Point à l'aide d'une interface OPSEC LEA. OPSEC LEA est l'API Check Point Operations Security Log Export qui facilite l'extraction des fichiers log.

Mode de fonctionnement de la collecte Check Point

Le service Log Collector collecte des événements issus des sources d'événements Check Point à l'aide d'une interface OPSEC LEA. OPSEC LEA est l'API Check Point Operations Security Log Export qui facilite l'extraction des fichiers log.

Remarque : L'interface OPSEC LEA (API Log Export) prend en charge l'extraction des fichiers log à partir de sources d'événements Check Point configurés avec un certificat SHA-256 ou SHA-1.

Scénario de déploiement

La figure suivante illustre le déploiement du protocole de collecte Check Point dans NetWitness Suite.

Diagram shows CheckPoint event sources being sent to remote and local log collectors.

Configuration dans NetWitness Suite

Pour configurer une source d'événement Check Point

  1. Accédez à ADMIN > Services à partir du menu NetWitness Suite.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, puis sélectionnez > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

    Event Sources drop-down menu is displayed.

  1. Sous l'onglet Sources d'événements, sélectionnez Check Point/Config dans le menu déroulant.
  2. Dans la barre d'outils du panneau Catégories d'événements, cliquez sur .

    La boîte de dialogue Types de sources d'événements disponibles s'affiche.

  3. Sélectionnez un type de source d'événement Check Point et cliquez sur OK.

    Le type de source d'événement nouvellement ajouté s'affiche dans le panneau Catégories d'événements.

  4. Sélectionnez le nouveau type dans le panneau Catégories d'événements, puis cliquez sur dans la barre d'outils Sources.

    La boîte de dialogue Ajouter une source s'affiche.

  5. Définissez des valeurs de paramètre. Pour plus d'informations, reportez-vous à la section Paramètres Check Point ci-dessous.
  6. Cliquez sur Tester la connexion.

    Le résultat du test s'affiche dans la boîte de dialogue. Si le test échoue, modifiez les informations de l'appareil ou du service et réessayez.

    Log Collector prend environ 60 secondes pour renvoyer les résultats du test. Au-delà de ce délai, le test expire et NetWitness Suite affiche un message d'erreur.

  7. Si le test aboutit, cliquez sur OK.

    La nouvelle source d'événement s'affiche dans le panneau Sources.

Paramètres Check Point

Cette section décrit les paramètres de configuration des sources d'événements Check Point.

Paramètres de base

                                                       
ParamètreDescription
Nom*Nom de la source d'événement.
Adresse*Adresse IP du serveur Check Point.
Nom du serveur*Nom du serveur Check Point.
Nom du certificat

Nom du certificat des connexions sécurité à utiliser lorsque le mode de transport est de type https. S'il est configuré, le certificat doit être présent dans le magasin de certificats de confiance que vous avez créé via l'onglet Paramètres.

Sélectionnez un certificat dans la liste déroulante. La convention de dénomination des fichiers pour les certificats de source d'événements Check Point est checkpoint_nom-de-la-source-d'événement.

Client unique

Saisissez le nom unique du client sur le serveur Check Point.

Nom d'entité de client

Saisissez le nom d'entité de client sur le serveur Check Point.

Serveur unique

Saisissez le nom unique du serveur sur le serveur Check Point.

Activé

Cochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.

Extraire le certificat

Cochez la case permettant d'extraire un certificat pour la première fois.  L'extraction d'un certificat le rend disponible auprès du magasin de certificats de confiance.

Adresse du serveur de certificat

Adresse IP du serveur sur lequel réside le certificat. Par défaut, l'adresse de la source d'événement.

Mot de passe

Actif uniquement lorsque vous cochez la case Extraire le certificat pour la première fois. Mot de passe requis pour extraire le certificat. Le mot de passe est la clé d'activation créée lors de l'ajout d'une application  OPSEC à Check Point sur le serveur Check Point.

Déterminer les valeurs des paramètres avancés pour la collecte Check Point

Vous utilisez moins de ressources système lorsque vous configurez une connexion de source d'événements Check Point afin qu'elle reste ouverte pendant une période spécifique et un volume d'événement spécifique (connexion transitoire). RSA NetWitness Suite utilise les paramètres de connexion par défaut suivants pour établir une connexion transitoire :

  • Intervalle d'interrogation = 180 (3 minutes)
  • Nb max. d'interrogations de durées = 120 (2 minutes)
  • Nb max. d'interrogations d'événements = 5 000 (5 000 événements par intervalle d'interrogation)
  • Nb max. d'interrogations liées au délai de mise en veille = 0

Pour les sources d'événements Check Point très actives, nous vous recommandons de configurer une connexion qui reste ouverte jusqu'à ce que vous l'arrêtiez (connexion permanente). Cela garantit que la collecte Check Point maintient le rythme des événements générés par ces sources d'événements actives. La connexion permanente évite les délais de redémarrage et de connexion et empêche que la collecte Check Point soit retardée par la génération d'événements.

Pour établir une connexion permanente pour une source d'événements Check Point, définissez les paramètres de valeurs suivants :

  • Intervalle d'interrogation = -1
  • Nb max. d'interrogations de durées = 0
  • Nb max. d'interrogations d'événements = 0
  • Nb max. d'interrogations liées au délai de mise en veille = 0
                                                   
ParamètreDescription
PortPort du serveur Check Point auquel Log Collector se connecte. La valeur par défaut est 18184.
Type de log de collecte

Type de logs que vous souhaitez collecter.  Les valeurs autorisées sont les suivantes :

  • Audit - collecte les événements d'audit.
  • Sécurité - collecte les événements de sécurité.

Si vous souhaitez collecter à la fois les événements d'audit et de sécurité, vous devez créer une source d'événements dupliquée. À titre d'exemple, vous créez d'abord une source d'événements avec l'option Audit sélectionnée afin d'extraire un certificat dans le magasin de certificats de confiance pour cette source d'événements. Ensuite, vous créez une autre source d'événements avec les mêmes valeurs, sauf que vous sélectionnez Sécurité comme Type de log de collecte et vous choisissez le même certificat dans le Nom du certificat que celui extrait lors de la configuration des premiers paramètres pour cette source d'événements, et vous vous assurez que Extraire le certificat n'est pas sélectionné.

Collecter les logs de

Lorsque vous configurez une source d'événements Check Point, NetWitness collecte les événements à partir du fichier de log actuel. Les valeurs autorisées sont les suivantes :

  • Maintenant - démarre la collecte des logs maintenant (à un point donné dans le fichier log actuel). 
  • Début du log - collecte les logs depuis le début du fichier log actuel.

Si vous choisissez « Début du log » pour cette valeur de paramètre, vous risquez de collecter une très grande quantité de données, qui dépend du temps pendant lequel le fichier log actuel a collecté les événements. Notez que cette option est utile uniquement pour la première session de collecte.

Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.

Nb max. d'interrogations de duréesDurée maximale du cycle d'interrogation en secondes.
Nb max. d'interrogations d'événementsNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Nb max. d'interrogations liées au délai de mise en veilleDélai de mise en veille maximal, en secondes, d'un cycle d'interrogation. 0 indique aucune limite. > 300 est la valeur par défaut.
RedirecteurActive ou désactive le serveur Check Point comme un service de transfert. Il est désactivé par défaut.

Type de log (paire Nom-Valeur)

Logs de la source de l'événement au format de la valeur de nom valeur. Il est désactivé par défaut.

Débogage

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active et désactive la consignation du débogage pour la source d'événements.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

Vérifier le fonctionnement de la collecte Check Point

La procédure suivante illustre comment vérifier que la collecte Check Point fonctionne sous l'onglet Administration > Intégrité > Surveillance des sources d'événements.

  1. Accédez à l'onglet Surveillance des sources d'événements depuis la vue Administration > Intégrité.
  2. Recherchez checkpointfw1 dans la colonne Type de source d'événement .
  3. Recherchez une activité dans la colonne Nombre pour vérifier que la collecte Check Point accepte des événements.

La procédure suivante illustre comment vérifier que la collecte Check Point fonctionne à partir de la vue Investigation > Événements.

  1. Accédez à la vue Investigation > Événements.
  2. Sélectionnez le Log Decoder (par exemple, LD1) qui collecte les événements Check Point dans la boîte de dialogue Examiner un périphérique.
  3. Recherchez un parser de source d'événements Check Point (par exemple checkpointfw1) dans le champ device.type de la colonne Détails pour vérifier que la collecte Check Point accepte des événements.

Remarque : Si les logs du serveur de pare-feu Check Point VSX sont collectés par le service Check Point Log Collector, pour traduire l'IP VSX dans les logs en méta ip.orig, vous devez ajouter le nom d'hôte VSX et l'adresse IP VSX pour le fichier /etc/hosts dans Log Collector.

You are here
Table of Contents > Protocole de collecte > Configurer des sources d'événement Check Point

Attachments

    Outcomes