このトピックでは、Check Pointイベント ソースからイベントを収集するCheck Point収集プロトコルの構成方法について説明します。
このプロトコルは、OPSEC LEAを使ってCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。
Check Point収集の仕組み
Log Collectorサービスは、OPSEC LEAを使用してCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。
注:OPSEC LEA(Log Export API)は、SHA-256またはSHA-1証明書を使用して構成されたCheck Pointイベント ソースからのログ抽出をサポートしています。
導入のシナリオ
次の図は、NetWitness SuiteでCheck Point収集プロトコルを導入する方法について示しています。
NetWitness Suiteでの構成
Check Pointイベント ソースを構成するには、次の手順を実行します。
- NetWitness Suiteメニューから[管理]>[サービス]に移動します。
- [Log Collector]サービスを選択します。
- [アクション]で、
>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
-
[イベント ソース]タブをクリックします。
- [イベント ソース]タブで、ドロップダウン メニューから[Check Point/構成]を選択します。
-
[イベント カテゴリ]パネル ツールバーで、
をクリックします。
[使用可能なイベント ソース タイプ]ダイアログが表示されます。
-
Check Pointイベント ソース タイプを選択し、[OK]をクリックします。
新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。
-
[イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーで
をクリックします。
[ソースの追加]ダイアログが表示されます。
- パラメータ値を定義します。詳細については、下の「Check Pointパラメータ」を参照してください。
-
[接続のテスト]をクリックします。
テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。
Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、NetWitness Suiteはエラー メッセージを表示します。
-
テストが正常に実行された場合は、[OK]をクリックします。
新しいイベント ソースが[ソース]パネルに表示されます。
Check Pointパラメータ
このセクションでは、Check Pointイベント ソースの構成パラメータについて説明します。
基本パラメータ
Check Point収集の拡張パラメータ値の決定
Check Pointイベント ソースへの接続を開いておくタイミングとイベント ボリュームを指定する(一時的に接続を開く)と、システム リソースの使用量を抑えることができます。RSA NetWitness Suiteはデフォルトで次の接続パラメータを使用して、一時的な接続を確立します。
- ポーリング間隔 = 180(3分)
- ポーリング最大継続時間 = 120(2分)
- ポーリング最大イベント数 = 5000(ポーリング間隔あたり5000イベント)
- ポーリング最大アイドル時間 = 0
Check Pointのイベント ソースから大量のイベントが発生する場合、収集を停止するまで接続を開いておく(持続的な接続を使用する)ように設定することをお勧めします。この設定によって、チェック ポイント収集において大量のログを生成するイベント ソースから生成されるイベント収集の速度を維持できます。永続的な接続によって、収集の再開や接続の遅延が回避され、Check Point収集がイベント生成よりも遅延することを防ぎます。
Check Pointイベント ソースに対する永続的な接続を確立するには、次のパラメータに値を設定します。
- ポーリング間隔 = -1
- ポーリング最大継続時間 = 0
- ポーリング最大イベント数 = 0
- ポーリング最大アイドル時間 = 0
Check Point収集の稼働状況の確認
次の手順では、[管理]>[ヘルスモニタ]>[イベント ソース モニタリング]タブからCheck Point収集の稼働状況を確認する方法を示しています。
- [管理]>[ヘルスモニタ]ビューから[イベント ソース モニタリング]タブにアクセスします。
- [イベント ソース タイプ]列でcheckpointfw1を検索します。
- [カウント]列を確認し、Check Point収集がイベントを受信していることを確認します。
次の手順では、[調査]>[イベント]ビューからCheck Point収集の稼働状況を確認する方法を示します。
- [調査]>[イベント]ビューにアクセスします。
- [デバイスの調査]ダイアログでCheck Pointイベントを集計しているLog Decoder(LD1など)を選択します。
- [詳細]列の[device.type]フィールドでCheck Pointイベント ソースParser(checkpointfw1など)を検索し、Check Point収集がイベントを受信していることを確認します。
注:VSX Checkpointファイアウォール サーバからのログがLog Collector Checkpointサービスによって収集されている場合、ログのVSX IPをip.origメタに変換するには、VSXホスト名とVSX IPアドレスをLog Collectorの/etc/hostsファイルに追加する必要があります。