Check Point Quantum Firewall
Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.
Sie können die Check Point Quantum Firewall in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.
Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.
Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS.
Wichtige Schritte
Die wichtigsten Schritte einer Integration lauten wie folgt:
- Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image Ihrer Appliance.
- Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
- Konfigurieren Sie die Quantum Firewall so, dass Daten an die Appliance gesendet werden.
Voraussetzungen
Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.
Eine neue Integration hinzufügen
Gehen Sie wie folgt vor, um die Quantum Firewall in Sophos Central zu integrieren:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
-
Klicken Sie auf Check Point Quantum Firewall.
Die Seite Check Point Quantum Firewall wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.
-
Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.
Hinweis
Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.
Appliance konfigurieren
In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.
Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:
- Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
- Klicken Sie auf Neue Appliance erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
- Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.
-
Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.
-
Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.
Hinweis
Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.
-
Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.
-
-
Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.
Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Quantum Firewall so konfigurieren, dass Daten an Ihre Appliance gesendet werden.
-
Wählen Sie ein Protokoll aus.
Sie müssen dasselbe Protokoll verwenden, wenn Sie die Quantum Firewall zum Senden von Daten an Ihre Appliance konfigurieren.
-
Klicken Sie auf Speichern.
Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.
In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie die Quantum Firewall so konfigurieren, dass Daten dorthin gesendet werden.
Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.
Appliance bereitstellen
Einschränkung
In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.
Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:
- Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
- Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliances bereitstellen.
Quantum Firewall konfigurieren
Gehen Sie jetzt zur Quantum Firewall und konfigurieren Sie den Check Point Log Exporter so, dass Überwachungsdaten an uns gesendet werden.
Hinweis
Sie können mehrere Instanzen von Quantum Firewall so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Nachdem Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für Ihre anderen Instanzen der Quantum Firewall. Sie müssen die Schritte in Sophos Central nicht wiederholen.
Sie können den Check Point Log Exporter über die Befehlszeilenschnittstelle (CLI) oder die SmartConsole konfigurieren.
CLI verwenden
Verwenden Sie zum Konfigurieren von Log Exporter mithilfe von CLI-Befehlen den cp_log_export
-Befehl auf dem Protokollserver.
Die Syntax lautet wie folgt:
cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]
-
Bevor Sie den Befehl ausführen, konfigurieren Sie ihn mit den folgenden Informationen:
-
Im MDS- oder MLM-Modus ist das Argument Domain-Server erforderlich. Konfigurieren Sie dies wie folgt:
- Verwenden Sie
mds
als Wert fürdomain-server
, um Audit-Protokolle auf MDS-Ebene zu exportieren. - Verwenden Sie
all
als Wert fürdomain-server
, um die Integration für jede Domäne zu konfigurieren.
- Verwenden Sie
-
Verwenden Sie die
domain-server
-IP-Adresse oder -Namen, um die Integration in einer bestimmten Domäne zu konfigurieren.Target-server
kann die IP-Adresse oder den DNS-Namen verwenden.Dadurch wird ein neues Zielverzeichnis mit dem eindeutigen Namen erstellt, der in
name
unter$EXPORTERDIR/targets/<deployment_name
> angegeben ist. -
Legen Sie die folgenden
target-server
-Parameter auf die Verbindungsdetails für Ihre Sophos-Appliance fest:- IP-Adresse
- Port
-
Protokoll
Sie müssen dieselbe IP-Adresse und dieselben Port- und Protokoll-Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.
-
Setzen Sie
format
aufcef
.
-
-
Führen Sie den
add name
-Befehl aus. - Um den neuen Log Exporter mit den neuen Parametern zu starten, führen Sie
cp_log_export restart
aus. Es startet nicht automatisch.
Weitere Informationen zum Befehl „cp_log_export“ finden Sie unter Log Exporter – Basic Deployment.
Ihre Quantum-Firewall-Daten sollten nach der Validierung im Sophos Data Lake angezeigt werden.
Mit SmartConsole
Informationen zum Konfigurieren des Log Exporters mit SmartConsole finden Sie im Administrationshandbuch für die Protokollierung und Überwachung von Check Point. Siehe Administrationshandbuch für Protokollierung und Überwachung.