Check Point Quantum Firewall
Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.
Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.
Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Integrações na AWS.
Etapas principais
As principais etapas na integração são as seguintes:
- Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do seu dispositivo.
- Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
- Configure o Quantum Firewall para enviar dados ao dispositivo.
Requisitos
Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.
Adicionar uma integração
Para integrar o Quantum Firewall ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Check Point Quantum Firewall.
A página Check Point Quantum Firewall é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Configurar o dispositivo
Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.
Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:
- Adicione um nome e uma descrição para a nova integração.
- Clique em Criar um novo dispositivo.
- Insira um nome e uma descrição para o dispositivo.
- Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Quantum Firewall para enviar dados.
Pode levar alguns minutos para que a imagem do dispositivo fique pronta.
Implantar o dispositivo
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem para implantar o dispositivo da seguinte forma:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar um dispositivo.
Configurar o Quantum Firewall
Agora vá para o Quantum Firewall e configure o Check Point Log Exporter para enviar dados de auditoria para nós.
Nota
Você pode configurar várias instâncias do Quantum Firewall para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Quantum Firewall. Você não precisa repetir as etapas no Sophos Central.
Você pode configurar o Check Point Log Exporter usando a interface de linha de comando (CLI) ou o SmartConsole.
Usar CLI
Para configurar o Log Exporter usando comandos CLI, use o comando cp_log_export
no servidor de log.
A sintaxe é a seguinte:
cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]
-
Antes de executar o comando, configure-o com as seguintes informações:
-
No modo MDS ou MLM, o argumento domain-server é obrigatório. Configure-o da seguinte forma:
- Use
mds
como o valor dedomain-server
para exportar logs de auditoria no nível de MDS. - Use
all
como o valor dodomain-server
para configurar a integração em cada domínio.
- Use
-
Use o endereço IP ou nome de
domain-server
para configurar a integração em um domínio específico.Target-server
pode usar o endereço IP ou o nome DNS.Isso cria um novo diretório de destino com o nome exclusivo especificado em
name
, sob$EXPORTERDIR/targets/<deployment_name
>. -
Defina os seguintes parâmetros de
target-server
nos detalhes de conexão do seu dispositivo da Sophos:- Endereço de IP
- Porta
-
Protocolo
Você deve inserir as mesmas configurações de endereço IP, porta e protocolo inseridas no Sophos Central quando adicionou a integração.
-
Defina
format
comocef
.
-
-
Execute o comando
add name
. - Para iniciar o novo exportador de log com os novos parâmetros, execute
cp_log_export restart
. Ele não inicia automaticamente.
Para obter mais detalhes sobre o comando cp_log_export, consulte Log Exporter - Basic Deployment.
Seus dados do Quantum Firewall devem aparecer no Sophos Data Lake após a validação.
Usar SmartConsole
Para configurar o Log Exporter usando o SmartConsole, consulte o Logging and Monitoring Administration Guide do Check Point. Consulte Logging and Monitoring Administration Guide.