Collecte des logs : Paramètres Check Point

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Le protocole de collecte Check Point collecte des événements issus des sources d'événements Check Point à l'aide d'OPSEC LEA. OPSEC LEA est l'API Check Point Operations Security Log Export qui facilite l'extraction des fichiers log.

Workflow

Ce workflow illustre les tâches de base qui vous permettent de commencer la collecte d'événements via Log Collection.

ThisThis workflow illustrates the basic tasks needed to start collecting events through Log Collection.

Que voulez-vous faire ?

                                        
RôleJe souhaite...Documentation
Administrateur

Effectuer l'implémentation Log Collection de base.

Implémentation de base
AdministrateurConfigurer un lockbox pour conserver les paramètres lockbox.Configurer un Lockbox

Administrateur

Démarrer les services Log Collection.

Démarrer des services de collecte

Administrateur*Configurer des protocoles Log Collection et des sources d'événements. Configurer des protocoles de collecte et des sources d'événements

Administrateur

Vérifier le fonctionnement de Log Collection.

Vérifier le fonctionnement de Log Collection

*Vous pouvez effectuer cette tâche ici.

Rubriques connexes

Paramètres de configuration de collecte Check Point

Paramètres de base

                                                       
ParamètreDescription
Nom*Nom de la source d'événement.
Adresse*Adresse IP du serveur Check Point.
Nom du serveur*Nom du serveur Check Point.
Nom du certificat

Nom du certificat des connexions sécurité à utiliser lorsque le mode de transport est de type https. S'il est configuré, le certificat doit être présent dans le magasin de certificats de confiance que vous avez créé via l'onglet Paramètres.

Sélectionnez un certificat dans la liste déroulante. La convention de dénomination des fichiers pour les certificats de source d'événements Check Point est checkpoint_nom-de-la-source-d'événement.

Client unique

Saisissez le nom unique du client sur le serveur Check Point.

Nom d'entité de client

Saisissez le nom d'entité de client sur le serveur Check Point.

Serveur unique

Saisissez le nom unique du serveur sur le serveur Check Point.

Activé

Cochez la case pour activer la configuration de la source d'événement et démarrer la collecte. Cette case à cocher est activée par défaut.

Extraire le certificat

Cochez la case permettant d'extraire un certificat pour la première fois.  L'extraction d'un certificat le rend disponible auprès du magasin de certificats de confiance.

Adresse du serveur de certificat

Adresse IP du serveur sur lequel réside le certificat. Par défaut, l'adresse de la source d'événement.

Mot de passe

Actif uniquement lorsque vous cochez la case Extraire le certificat pour la première fois. Mot de passe requis pour extraire le certificat. Le mot de passe est la clé d'activation créée lors de l'ajout d'une application  OPSEC à Check Point sur le serveur Check Point.

Déterminer les valeurs des paramètres avancés pour la collecte Check Point

Vous utilisez moins de ressources système lorsque vous configurez une connexion de source d'événements Check Point afin qu'elle reste ouverte pendant une période spécifique et un volume d'événement spécifique (connexion transitoire). RSA NetWitness Suite utilise les paramètres de connexion par défaut suivants pour établir une connexion transitoire :

  • Intervalle d'interrogation = 180 (3 minutes)
  • Nb max. d'interrogations de durées = 120 (2 minutes)
  • Nb max. d'interrogations d'événements = 5 000 (5 000 événements par intervalle d'interrogation)
  • Nb max. d'interrogations liées au délai de mise en veille = 0

Pour les sources d'événements Check Point très actives, nous vous recommandons de configurer une connexion qui reste ouverte jusqu'à ce que vous l'arrêtiez (connexion permanente). Cela garantit que la collecte Check Point maintient le rythme des événements générés par ces sources d'événements actives. La connexion permanente évite les délais de redémarrage et de connexion et empêche que la collecte Check Point soit retardée par la génération d'événements.

Pour établir une connexion permanente pour une source d'événements Check Point, définissez les paramètres de valeurs suivants :

  • Intervalle d'interrogation = -1
  • Nb max. d'interrogations de durées = 0
  • Nb max. d'interrogations d'événements = 0
  • Nb max. d'interrogations liées au délai de mise en veille = 0
                                                   
ParamètreDescription
PortPort du serveur Check Point auquel Log Collector se connecte. La valeur par défaut est 18184.
Type de log de collecte

Type de logs que vous souhaitez collecter.  Les valeurs autorisées sont les suivantes :

  • Audit - collecte les événements d'audit.
  • Sécurité - collecte les événements de sécurité.

Si vous souhaitez collecter à la fois les événements d'audit et de sécurité, vous devez créer une source d'événements dupliquée. À titre d'exemple, vous créez d'abord une source d'événements avec l'option Audit sélectionnée afin d'extraire un certificat dans le magasin de certificats de confiance pour cette source d'événements. Ensuite, vous créez une autre source d'événements avec les mêmes valeurs, sauf que vous sélectionnez Sécurité comme Type de log de collecte et vous choisissez le même certificat dans le Nom du certificat que celui extrait lors de la configuration des premiers paramètres pour cette source d'événements, et vous vous assurez que Extraire le certificat n'est pas sélectionné.

Collecter les logs de

Lorsque vous configurez une source d'événements Check Point, NetWitness collecte les événements à partir du fichier de log actuel. Les valeurs autorisées sont les suivantes :

  • Maintenant - démarre la collecte des logs maintenant (à un point donné dans le fichier log actuel). 
  • Début du log - collecte les logs depuis le début du fichier log actuel.

Si vous choisissez « Début du log » pour cette valeur de paramètre, vous risquez de collecter une très grande quantité de données, qui dépend du temps pendant lequel le fichier log actuel a collecté les événements. Notez que cette option est utile uniquement pour la première session de collecte.

Intervalle d'interrogation

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.

Nb max. d'interrogations de duréesDurée maximale du cycle d'interrogation en secondes.
Nb max. d'interrogations d'événementsNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Nb max. d'interrogations liées au délai de mise en veilleDélai de mise en veille maximal, en secondes, d'un cycle d'interrogation. 0 indique aucune limite. > 300 est la valeur par défaut.
RedirecteurActive ou désactive le serveur Check Point comme un service de transfert. Il est désactivé par défaut.

Type de log (paire Nom-Valeur)

Logs de la source de l'événement au format de la valeur de nom valeur. Il est désactivé par défaut.

Débogage

Attention : N'activez le débogage (paramètre défini sur « On » ou « Verbose ») que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active et désactive la consignation du débogage pour la source d'événements.

Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. La consignation du débogage s'effectue en mode détaillé, donc limitez le nombre de sources d'événements afin de réduire tout impact sur les performances.

Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire).

Previous Topic:Paramètres Azure
You are here
Table of Contents > Référence > Paramètres Check Point

Attachments

    Outcomes