コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Check Point Quantum Firewall

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Check Point Quantum Firewall を Sophos Central と統合して、ソフォスでの解析用に監査データを送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。これらは、まとめてデータコレクタと呼ばれます。データコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

複数の Quantum Firewall を同じデータコレクタに追加できます。

これを行うには、Quantum Firewall 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Quantum Firewall を設定して、この同じソフォスのデータコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、VM で使用するイメージが設定されます。
  • イメージをダウンロードして VM に展開します。これがデータコレクタになります。
  • Quantum Firewall を設定し、データコレクタにデータを送信します。

要件

データコレクタには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、データコレクタの要件を参照してください。

統合の追加

Quantum Firewall を Sophos Central と統合するには、次の手順を実行します。

  1. Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
  2. Check Point Quantum Firewall」をクリックします。

    既に Quantum Firewall への接続を設定済みの場合は、ここに表示されます。

  3. 追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

VM の設定

統合のセットアップ手順」で は、Quantum Firewall からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、次の手順を実行します。

  1. 新しい統合の名前と説明を入力します。
  2. データコレクタの名前と説明を入力します。

    データコレクタの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7以降および Microsoft Hyper-V のみに対応しています。

    Hyper-V を使用するには、EAP に参加する必要があります。

  4. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  5. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをデータコレクタに送信するように Quantum Firewall を設定する際に必要になります。

  6. プロトコル」を選択します。

    データをデータコレクタに送信するように Quantum Firewall を設定する際には、同じプロトコルを使用する必要があります。

  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、データコレクタのポート番号が表示されます。これは、後で、それにデータを送信するように Quantum Firewall を設定する際に必要になります。

    VM イメージの準備が完了するまで、数分かかることがあります。

VM の導入

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

VM ファイルを使用して VM を導入します。これには、次の手順を実行します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

Quantum Firewall の設定

次に、Quantum Firewall に移動し、Check Point Log Exporter を設定して監査データをソフォスに送信してください。

これは、コマンドラインインタフェース (CLI) または SmartConsole を使用して実行できます。

CLI を使用

CLI コマンドを使用してログエクスポータを設定するには ログサーバで cp_log_export コマンドを使用します。

構文は次のとおりです。

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]

  1. コマンドを実行する前に、次の情報を使用してコマンドを設定します。

    • MDS または MLM モードでは、ドメインサーバー引数が必要です。次のように設定します。

      • MDS レベルの監査ログをエクスポートするには、mdsdomain-server の値として使用します。
      • すべてのドメインで統合を設定するには、alldomain-server の値として使用します。
    • domain-server の IP アドレスまたは名前は、特定のドメインでの統合を設定します。Target-server は、IP アドレスまたは DNS 名を使用できます。

      これにより name で指定された一意の名前を持つ新しいターゲットディレクトリが、$EXPORTERDIR/targets/<deployment_name> の下に作成されます。

    • ソフォスのデータコレクタの接続の詳細で、次の target-server のパラメータを設定します。

      • IP アドレス
      • ポート
      • プロトコル

        統合を追加した際に Sophos Central で入力したのと同じ IP アドレス、ポートおよびプロトコルの設定を入力する必要があります。

    • formatcef に設定することを推奨します。

  2. add name コマンドを実行します。

  3. 新しいパラメータを使用して新しいログエクスポータを開始するには、cp_log_export restart を実行します。これは自動的には起動しません。

cp_log_expor コマンドの詳細は、Log Exporter - 基本的な導入を参照してください。

Quantum Firewall のデータは、検証後に Sophos Data Lake に表示されます。

SmartConsole の使用

SmartConsoleを使用してログエクスポータを設定するには、『Check Point Logging and Monitoring Administration Guide』を参照してください。『ロギングおよびモニタリング管理ガイド』を参照してください。