Konfigurieren von Kontrollpunkt-Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie das Kontrollpunkt-Sammlungsprotokoll konfigurieren, das Ereignisse aus Kontrollpunkt-Ereignisquellen sammelt.

Dieses Protokoll sammelt Ereignisse aus Kontrollpunkt-Ereignisquellen mit OPSEC LEA. OPSEC LEA ist die Sicherheitsprotokoll-Export-API für Kontrollpunktvorgänge, die die Extrahierung von Protokollen unterstützt.

Funktionsweise der Kontrollpunktsammlung

Der Log Collector-Service sammelt Ereignisse von Kontrollpunkt-Ereignisquellen mithilfe von OPSEC LEA. OPSEC LEA ist die Sicherheitsprotokoll-Export-API für Kontrollpunktvorgänge, die die Extrahierung von Protokollen unterstützt.

Hinweis: OPSEC LEA (Protokollexport-API) unterstützt die Extraktion von Protokollen aus Kontrollpunkt-Ereignisquellen, die mit dem SHA-256- oder SHA-1-Zertifikat konfiguriert wurden.

Bereitstellungsszenario

In der folgenden Abbildung wird gezeigt, wie Sie das Kontrollpunkt-Sammlungsprotokoll in NetWitness Suite bereitstellen.

Diagram shows CheckPoint event sources being sent to remote and local log collectors.

Konfiguration in NetWitness Suite

So konfigurieren Sie eine Kontrollpunkt-Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services vom NetWitness Suite-Menü aus.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources drop-down menu is displayed.

  1. Wählen Sie auf der Registerkarte Ereignisquellen die Option Kontrollpunkt/Konfiguration aus dem Drop-down-Menü aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld Verfügbare Ereignisquelltypen wird angezeigt.

  3. Wählen Sie einen Kontrollpunkt-Ereignisquelltyp aus und klicken Sie auf OK.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste Quellen.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Definieren Sie die Parameterwerte. Weitere Informationen finden Sie unten stehend unter Kontrollpunktparameter.
  6. Klicken Sie auf Verbindung testen.

    Das Ergebnis des Tests wird im Dialogfeld angezeigt. Wenn der Test nicht erfolgreich ist, bearbeiten Sie die Geräte- oder Serviceinformationen und versuchen Sie es erneut.

    Log Collector braucht etwa 60 Sekunden, um die Testergebnisse zurückzugeben. Wenn das Zeitlimit überschritten wird, wird der Test abgebrochen und NetWitness Suite zeigt eine Fehlermeldung an.

  7. Wenn der Test erfolgreich ist, klicken Sie auf OK.

    Die neue Ereignisquelle wird im Bereich Quellen angezeigt.

Kontrollpunktparameter

In diesem Abschnitt werden die Parameter für die Konfiguration der Kontrollpunkt-Ereignisquelle beschrieben.

Basisparameter

                                                       
ParameterBeschreibung
Name*Name der Ereignisquelle.
Adresse*IP-Adresse des Kontrollpunktservers.
Servername*Name des Kontrollpunktservers.
Zertifikatname

Zertifikatname für sichere Verbindungen zur Verwendung, wenn der Transportmodus https ist Wenn der Name festgelegt wird, muss das Zertifikat im Zertifikat-Truststore enthalten sein, den Sie auf der Registerkarte Einstellungen erstellt haben.

Wählen Sie ein Zertifikat aus der Drop-down-Liste aus. Die Dateibenennungskonvention für Kontrollpunkt-Ereignisquellenzertifikate lautet checkpoint_Name-der-Ereignisquelle.

Distinguished-Client

Geben Sie den Distinguished-Client-Namen des Kontrollpunktservers ein.

Cliententitätsname

Geben Sie den Cliententitätsnamen des Kontrollpunktservers ein.

Distinguished-Server

Geben Sie den Distinguished-Server-Namen des Kontrollpunktservers ein.

Aktiviert

Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.

Zertifikat mithilfe von Pull übertragen

Aktivieren Sie das Kontrollkästchen, um ein Zertifikat das erste Mal abzurufen.  Durch das Übertragen eines Zertifikats per Pull wird es vom Truststore zur Verfügung gestellt.

Zertifikatserveradresse

Die IP-Adresse des Servers, auf dem sich das Zertifikat befindet. Der Standardwert ist die Adresse der Ereignisquelle.

Passwort

Nur aktiviert, wenn Sie das Kontrollkästchen Zertifikat mithilfe von Pull übertragen zum ersten Mal aktivieren. Zum Übertragen des Zertifikats per Pull ist ein Passwort erforderlich. Das Passwort ist der Aktivierungsschlüssel, der beim Hinzufügen einer OPSEC-Anwendung zum Kontrollpunkt auf dem Kontrollpunkt erstellt wurde.

Bestimmen der erweiterten Parameterwerte für die Kontrollpunktsammlung

Es werden weniger Systemressourcen verbraucht, wenn Sie eine Kontrollpunkt-Ereignisquellenverbindung dazu konfigurieren, für eine bestimmte Dauer und ein bestimmtes Ereignisvolumen geöffnet zu bleiben (vorübergehende Verbindung). In RSA NetWitness Suite wird standardmäßig eine vorübergehende Verbindung unter Verwendung der folgenden Verbindungsparameter hergestellt:

  • Polling-Intervall = 180 (3 Minuten)
  • Max. Abrufdauer = 120 (2 Minuten)
  • Max. Ereignisse-Abruf = 5.000 (5.000 Ereignisse pro Polling-Intervall)
  • Max. Abruf-Inaktivitätsdauer = 0

Bei Kontrollpunkt-Ereignisquellen mit sehr hoher Aktivität empfiehlt sich die Einrichtung einer Verbindung, die geöffnet bleibt, bis Sie die Sammlung beenden (dauerhafte Verbindung). Dies stellt sicher, dass die Kontrollpunktsammlung die Geschwindigkeit der Ereignisse beibehält, die durch diese aktiven Ereignisquellen erzeugt wird. Die dauerhafte Verbindung vermeidet Neustarts und Verzögerungen bei der Verbindung und verhindert, dass die Kontrollpunktsammlung hinter der Ereigniserzeugung zurückbleibt.

Um eine dauerhafte Verbindung für eine Kontrollpunkt-Ereignisquelle zu etablieren, stellen Sie die folgenden Parameter auf die folgenden Werte ein:

  • Polling-Intervall = -1
  • Max. Abrufdauer = 0
  • Max. Ereignisse-Abruf = 0
  • Max. Abruf-Inaktivitätsdauer = 0
                                                   
ParameterBeschreibung
PortDer Port auf dem Kontrollpunktserver, mit dem der Log Collector eine Verbindung herstellt. Der Standardwert ist 18184.
Protokolltyp sammeln

Der Typ der Protokolle, die Sie sammeln möchten.  Gültige Werte:

  • Audit – Sammelt Auditereignisse.
  • Sicherheit – Sammelt Sicherheitsereignisse.

Wenn Sie sowohl Audit- als auch Sicherheitsereignisse sammeln möchten, ist die Erstellung einer doppelten Ereignisquelle erforderlich. Beispiel: Sie erstellen zuerst eine Ereignisquelle mit der Option Audit. Für diese Ereignisquelle wird ein Zertifikat per Pull in den Truststore übertragen. Als Nächstes erstellen Sie eine weitere Ereignisquelle mit denselben Werten, außer dass Sie als Protokolltyp sammelndie Option Sicherheit auswählen. In Zertifikatname wählen Sie dasselbe Zertifikat aus, das Sie bei der Einrichtung des ersten Parametersatzes für diese Ereignisquelle per Pull übertragen haben, und Sie stellen sicher, dass Zertifikat mithilfe von Pull übertragen nicht aktiviert ist.

Protokolle sammeln von

Wenn Sie eine Kontrollpunkt-Ereignisquelle einrichten, werden die Ereignisse von NetWitness aus der aktuellen Protokolldatei gesammelt. Gültige Werte:

  • Jetzt – Beginnt jetzt mit dem Sammeln von Protokollen, also zu diesem Zeitpunkt in der aktuellen Protokolldatei. 
  • Protokollstart – Sammelt Protokolle ab dem Anfang der aktuellen Protokolldatei.

Wenn Sie als Wert für diesen Parameter „Protokollstart“ auswählen, sammeln Sie möglicherweise eine sehr große Menge von Daten. Dies hängt davon ab, wie lange die derzeitige Protokolldatei bereits Ereignisse sammelt. Beachten Sie, dass diese Option nur für die erste Datenerfassungssitzung wirksam ist.

Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 180.

Wenn Sie beispielsweise 180 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 180 Sekunden. Wenn der vorherige Abfragezyklus noch ausgeführt wird, wird gewartet, bis dieser Zyklus abgeschlossen ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 180 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

Max. AbrufdauerDie maximale Dauer eines Abfragezyklus (wie lange der Zyklus dauert) in Sekunden.
Max. Ereignisse-AbrufDie maximale Anzahl der Ereignisse pro Abfragezyklus (wie viele Ereignisse pro Abfragezyklus gesammelt werden)
Max. Abruf-InaktivitätsdauerMaximale Inaktivitätsdauer, in Sekunden, eines Abfragezyklus. 0 gibt keine Begrenzung an.> 300 ist der Standardwert.
WeiterleitungAktiviert oder deaktiviert den Kontrollpunktserver als Weiterleiter. Diese Option ist standardmäßig deaktiviert.

Protokolltyp (Name-Werte-Paar)

Protokolle von der Ereignisquelle im Name-Wert-Format. Diese Option ist standardmäßig deaktiviert.

Debug

Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

Überprüfen, ob die Kontrollpunktsammlung funktioniert

Im folgenden Verfahren wird gezeigt, wie Sie die Funktionsweise der Kontrollpunktsammlung über Administration > Integrität und Zustand > Registerkarte „Ereignisquellenüberwachung“ prüfen können.

  1. Greifen Sie über die Ansicht Administration > Integrität und Zustand auf die Registerkarte Ereignisquellenüberwachung zu.
  2. Suchen Sie in der Spalte Ereignisquellentyp nach checkpointfw1.
  3. Schauen Sie sich den Wert in der Spalte Anzahl an, um sicherzustellen, dass bei der Kontrollpunktsammlung Ereignisse erfasst werden.

Im folgenden Verfahren wird gezeigt, wie Sie die Funktionsweise der Kontrollpunktsammlung über Investigation > Ansicht „Ereignisse“ prüfen können.

  1. Greifen Sie auf die Ansicht Investigation > Ereignisse zu.
  2. Wählen Sie den Log Decoder (z. B. LD1), der Kontrollpunktereignisse erfasst, im Dialogfeld Gerät ermitteln aus.
  3. Suchen Sie in der Spalte Details im Feld device.type nach einem Kontrollpunkt-Ereignisquellenparser (z. B. checkpointfw1), um sicherzustellen, dass bei der Kontrollpunktsammlung Ereignisse erfasst werden.

Hinweis: Wenn die Protokolle vom VSX Checkpoint-Firewallserver durch den Log Collector-Kontrollpunktservice gesammelt werden, müssen Sie, um die VSX-IP der Protokolle in die ip.orig-Metadaten zu übersetzen, den VSX-Hostnamen und die VSX-IP-Adresse zur Datei /etc/hosts im Log Collector hinzufügen.

You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von Kontrollpunkt-Ereignisquellen

Attachments

    Outcomes