Check Point Quantum Firewall
この機能を使用するには、「Firewall」統合ライセンスパックが必要です。
Check Point Quantum Firewall を Sophos Central と統合して、ソフォスでの解析用に監査データを送信することができます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。これらは、まとめてデータコレクタと呼ばれます。データコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。
注
複数の Quantum Firewall を同じデータコレクタに追加できます。
これを行うには、Quantum Firewall 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Quantum Firewall を設定して、この同じソフォスのデータコレクタにログが送信されるようにします。
Sophos Central での設定ステップを繰り返す必要はありません。
統合を追加する主な手順は、次のとおりです。
- この製品の統合を追加します。これにより、VM で使用するイメージが設定されます。
- イメージをダウンロードして VM に展開します。これがデータコレクタになります。
- Quantum Firewall を設定し、データコレクタにデータを送信します。
要件
データコレクタには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、データコレクタの要件を参照してください。
統合の追加
Quantum Firewall を Sophos Central と統合するには、次の手順を実行します。
- Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
-
「Check Point Quantum Firewall」をクリックします。
既に Quantum Firewall への接続を設定済みの場合は、ここに表示されます。
-
「追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。
VM の設定
「統合のセットアップ手順」で は、Quantum Firewall からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。
VM を構成するには、次の手順を実行します。
- 新しい統合の名前と説明を入力します。
-
データコレクタの名前と説明を入力します。
データコレクタの統合を既に設定済みの場合は、リストから選択できます。
-
仮想プラットフォームを選択します。現在、VMware ESXi 6.7以降および Microsoft Hyper-V のみに対応しています。
Hyper-V を使用するには、EAP に参加する必要があります。
-
「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。
この syslog IP アドレスは、後で、データをデータコレクタに送信するように Quantum Firewall を設定する際に必要になります。
-
「プロトコル」を選択します。
データをデータコレクタに送信するように Quantum Firewall を設定する際には、同じプロトコルを使用する必要があります。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。
統合の詳細に、データコレクタのポート番号が表示されます。これは、後で、それにデータを送信するように Quantum Firewall を設定する際に必要になります。
VM イメージの準備が完了するまで、数分かかることがあります。
VM の導入
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
VM ファイルを使用して VM を導入します。これには、次の手順を実行します。
- 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
- イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。
VM を展開すると、統合は「接続済み」として表示されます。
Quantum Firewall の設定
次に、Quantum Firewall に移動し、Check Point Log Exporter を設定して監査データをソフォスに送信してください。
これは、コマンドラインインタフェース (CLI) または SmartConsole を使用して実行できます。
CLI を使用
CLI コマンドを使用してログエクスポータを設定するには ログサーバで cp_log_export
コマンドを使用します。
構文は次のとおりです。
cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]
-
コマンドを実行する前に、次の情報を使用してコマンドを設定します。
-
MDS または MLM モードでは、ドメインサーバー引数が必要です。次のように設定します。
- MDS レベルの監査ログをエクスポートするには、
mds
をdomain-server
の値として使用します。 - すべてのドメインで統合を設定するには、
all
をdomain-server
の値として使用します。
- MDS レベルの監査ログをエクスポートするには、
-
domain-server
の IP アドレスまたは名前は、特定のドメインでの統合を設定します。Target-server
は、IP アドレスまたは DNS 名を使用できます。これにより
name
で指定された一意の名前を持つ新しいターゲットディレクトリが、$EXPORTERDIR/targets/<deployment_name
> の下に作成されます。 -
ソフォスのデータコレクタの接続の詳細で、次の
target-server
のパラメータを設定します。- IP アドレス
- ポート
-
プロトコル
統合を追加した際に Sophos Central で入力したのと同じ IP アドレス、ポートおよびプロトコルの設定を入力する必要があります。
-
format
をcef
に設定することを推奨します。
-
-
add name
コマンドを実行します。 - 新しいパラメータを使用して新しいログエクスポータを開始するには、
cp_log_export restart
を実行します。これは自動的には起動しません。
cp_log_expor コマンドの詳細は、Log Exporter - 基本的な導入を参照してください。
Quantum Firewall のデータは、検証後に Sophos Data Lake に表示されます。
SmartConsole の使用
SmartConsoleを使用してログエクスポータを設定するには、『Check Point Logging and Monitoring Administration Guide』を参照してください。『ロギングおよびモニタリング管理ガイド』を参照してください。