Check Point Quantum Firewall
Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.
Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar vários Quantum Firewalls ao mesmo dispositivo da Sophos.
Para isso, configure a sua integração do Quantum Firewall no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Quantum para enviar logs para o mesmo dispositivo da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As etapas principais são as seguintes:
- Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
- Configure o Quantum Firewall para enviar dados ao dispositivo.
Requisitos
Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.
Configurar uma integração
Para integrar o Quantum Firewall ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Check Point Quantum Firewall.
A página Check Point Quantum Firewall é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Configurar a VM
Em Etapas de configuração de integração, você configura a VM como um dispositivo para receber dados do Quantum Firewall. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Adicione um nome e uma descrição para a nova integração.
-
Insira um nome e uma descrição para o dispositivo.
Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Quantum Firewall para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Configurar o Quantum Firewall
Agora vá para o Quantum Firewall e configure o Check Point Log Exporter para enviar dados de auditoria para nós.
Você pode fazer isso usando a interface de linha de comando (CLI) ou o SmartConsole.
Usar CLI
Para configurar o Log Exporter usando comandos CLI, use o comando cp_log_export
no servidor de log.
A sintaxe é a seguinte:
cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]
-
Antes de executar o comando, configure-o com as seguintes informações:
-
No modo MDS ou MLM, o argumento domain-server é obrigatório. Configure-o da seguinte forma:
- Use
mds
como o valor dedomain-server
para exportar logs de auditoria no nível de MDS. - Use
all
como o valor dodomain-server
para configurar a integração em cada domínio.
- Use
-
Use o endereço IP ou nome de
domain-server
para configurar a integração em um domínio específico.Target-server
pode usar o endereço IP ou o nome DNS.Isso cria um novo diretório de destino com o nome exclusivo especificado em
name
, sob$EXPORTERDIR/targets/<deployment_name
>. -
Defina os seguintes parâmetros de
target-server
nos detalhes de conexão do seu dispositivo da Sophos:- Endereço de IP
- Porta
-
Protocolo
Você deve inserir as mesmas configurações de endereço IP, porta e protocolo inseridas no Sophos Central quando adicionou a integração.
-
Recomendamos que você defina
format
comocef
.
-
-
Execute o comando
add name
. - Para iniciar o novo exportador de log com os novos parâmetros, execute
cp_log_export restart
. Ele não inicia automaticamente.
Para obter mais detalhes sobre o comando cp_log_export, consulte Log Exporter - Basic Deployment.
Seus dados do Quantum Firewall devem aparecer no Sophos Data Lake após a validação.
Usar SmartConsole
Para configurar o Log Exporter usando o SmartConsole, consulte o Logging and Monitoring Administration Guide do Check Point. Consulte Logging and Monitoring Administration Guide.