Check Pointイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、Check Pointイベント ソースからイベントを収集するCheck Point収集プロトコルの構成方法について説明します。

このプロトコルは、OPSEC LEAを使ってCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。

Check Point収集の仕組み

Log Collectorサービスは、OPSEC LEAを使用してCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。

注:OPSEC LEA(Log Export API)は、SHA-256またはSHA-1証明書を使用して構成されたCheck Pointイベント ソースからのログ抽出をサポートしています。

導入のシナリオ

次の図は、NetWitness SuiteでCheck Point収集プロトコルを導入する方法について示しています。

Diagram shows CheckPoint event sources being sent to remote and local log collectors.

NetWitness Suiteでの構成

Check Pointイベント ソースを構成するには、次の手順を実行します。

  1. NetWitness Suiteメニューから[管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。

  4. イベント ソース]タブをクリックします。

    Event Sources drop-down menu is displayed.

  1. イベント ソース]タブで、ドロップダウン メニューから[Check Point/構成]を選択します。

  2. イベント カテゴリ]パネル ツールバーで、をクリックします。

    使用可能なイベント ソース タイプ]ダイアログが表示されます。

  3. Check Pointイベント ソース タイプを選択し、[OK]をクリックします。

    新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  4. イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。

    ソースの追加]ダイアログが表示されます。

  5. パラメータ値を定義します。詳細については、下の「Check Pointパラメータ」を参照してください。

  6. 接続のテスト]をクリックします。

    テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。

    Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、NetWitness Suiteはエラー メッセージを表示します。

  7. テストが正常に実行された場合は、[OK]をクリックします。

    新しいイベント ソースが[ソース]パネルに表示されます。

Check Pointパラメータ

このセクションでは、Check Pointイベント ソースの構成パラメータについて説明します。

基本パラメータ

                                                       
パラメータ説明
名前*イベント ソースの名前です。
アドレス*Check PointサーバのIPアドレスです。
サーバ名*Check Pointサーバの名前です。
証明書

転送モードがhttpsである場合に使用するセキュア接続の証明書名です。このパラメータを設定する場合、[設定]タブで作成した証明書トラスト ストアに証明書が存在する必要があります。

ドロップダウン リストから証明書を選択します。Check Pointイベント ソース証明書のファイルの命名規則は、checkpoint_name-of-event-sourceです。

クライアント識別

Check Pointサーバのクライアント識別名を入力します。

クライアント エンティティ名

Check Pointサーバのクライアント エンティティ名を入力します。

サーバ識別

Check Pointサーバのサーバ識別名を入力します。

有効

イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。

証明書の受信

初めて証明書の受信を行う場合は、このチェックボックスをオンにします。  証明書を受信すると、その証明書がトラスト ストアで使用可能になります。

証明書サーバ アドレス

証明書が格納されているサーバのIPアドレス。デフォルトは、イベント ソース アドレスです。

パスワード

初回に[証明書の受信]チェックボックスをオンにした場合にのみアクティブになります。証明書を受信するにはパスワードが必要です。パスワードは、Check Pointサーバ上のCheck PointにOPSECアプリケーションを追加するときに作成されるアクティベーション キーです。

Check Point収集の拡張パラメータ値の決定

Check Pointイベント ソースへの接続を開いておくタイミングとイベント ボリュームを指定する(一時的に接続を開く)と、システム リソースの使用量を抑えることができます。RSA NetWitness Suiteはデフォルトで次の接続パラメータを使用して、一時的な接続を確立します。

  • ポーリング間隔 = 180(3分)
  • ポーリング最大継続時間 = 120(2分)
  • ポーリング最大イベント数 = 5000(ポーリング間隔あたり5000イベント)
  • ポーリング最大アイドル時間 = 0

Check Pointのイベント ソースから大量のイベントが発生する場合、収集を停止するまで接続を開いておく(持続的な接続を使用する)ように設定することをお勧めします。この設定によって、チェック ポイント収集において大量のログを生成するイベント ソースから生成されるイベント収集の速度を維持できます。永続的な接続によって、収集の再開や接続の遅延が回避され、Check Point収集がイベント生成よりも遅延することを防ぎます。

Check Pointイベント ソースに対する永続的な接続を確立するには、次のパラメータに値を設定します。

  • ポーリング間隔 = -1
  • ポーリング最大継続時間 = 0
  • ポーリング最大イベント数 = 0
  • ポーリング最大アイドル時間 = 0
                                                   
パラメータ説明
ポートLog Collectorが接続するCheck Pointサーバのポート番号です。デフォルト値は18184です。
ログの収集タイプ

収集するログのタイプを選択します。  有効な値は次のとおりです。

  • 監査:監査イベントを収集します。
  • セキュリティ:セキュリティ イベントを収集します。

監査イベントとセキュリティ イベントの両方を収集する場合、同じイベント ソースを新たに作成する必要があります。たとえば、最初に[監査]を選択したイベント ソースを作成し、このイベント ソースのためにトラスト ストアから証明書を受信します。次に、別のイベント ソースとして、[ログの収集タイプ]で[セキュリティ]を選択し、その他は同一のパラメータ値を持つイベント ソースを作成する場合、最初のパラメータ セットを設定したときに受信した同じ証明書を[証明書]で選択します。[証明書の受信]が選択されていないことを確認します。

ログの収集開始点

Check Pointイベント ソースを設定すると、NetWitnessは現在のログ ファイルからイベントを収集します。有効な値は次のとおりです。

  • 現在:現在の時点からログを収集します(現在のログ ファイルの現時点から)。 
  • 最初から:現在のログ ファイルの最初からログを収集します。

このパラメータ値で「最初から」を選択すると、現在のログ ファイルでイベントを保持している期間に応じて、収集されるデータの量が非常に多くなることがあります。このオプションは、最初のコレクション セッションに対してのみ有効なことに注意してください。

ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。

たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

ポーリング最大継続時間ポーリング サイクルの最大継続時間(サイクルがどれだけ続行されるか)(秒)です。
ポーリング最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
ポーリング最大アイドル時間ポーリング サイクルの、秒単位のアイドル時間です。0は制限がないことを示します。デフォルト値は> 300です。
フォワーダフォワーダとしてCheck Pointサーバを有効または無効にします。デフォルトでは無効です。

ログ タイプ(名前と値のペア)

名前と値の形式のイベント ソースのログです。デフォルトでは無効です。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ ログ記録を有効および無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

Check Point収集の稼働状況の確認

次の手順では、[管理]>[ヘルスモニタ]>[イベント ソース モニタリング]タブからCheck Point収集の稼働状況を確認する方法を示しています。

  1. [管理]>[ヘルスモニタ]ビューから[イベント ソース モニタリング]タブにアクセスします。
  2. イベント ソース タイプ]列でcheckpointfw1を検索します。
  3. カウント]列を確認し、Check Point収集がイベントを受信していることを確認します。

次の手順では、[調査]>[イベント]ビューからCheck Point収集の稼働状況を確認する方法を示します。

  1. [調査]>[イベント]ビューにアクセスします。
  2. デバイスの調査]ダイアログでCheck Pointイベントを集計しているLog Decoder(LD1など)を選択します。
  3. 詳細]列の[device.type]フィールドでCheck Pointイベント ソースParser(checkpointfw1など)を検索し、Check Point収集がイベントを受信していることを確認します。

注:VSX Checkpointファイアウォール サーバからのログがLog Collector Checkpointサービスによって収集されている場合、ログのVSX IPをip.origメタに変換するには、VSXホスト名とVSX IPアドレスをLog Collectorの/etc/hostsファイルに追加する必要があります。

You are here
Table of Contents > 収集プロトコル > Check Pointイベント ソースの構成

Attachments

    Outcomes