Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Check Point Quantum Firewall

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können die Check Point Quantum Firewall in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Datensammler bezeichnet. Der Datensammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Quantum Firewalls zu demselben Sophos Datensammler hinzufügen.

Richten Sie dazu Ihre Quantum Firewall-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Quantum Firewalls so, dass Protokolle an denselben Sophos Datensammler gesendet werden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Damit wird eine Open Virtual Appliance (OVA)-Datei konfiguriert.
  • Stellen Sie die OVA-Datei auf Ihrem ESXi-Server bereit. Dies wird zu Ihrem Datensammler.
  • Konfigurieren Sie die Quantum Firewall so, dass Daten an den Datensammler gesendet werden.

Eine neue Integration hinzufügen

Gehen Sie wie folgt vor, um die Quantum Firewall in Sophos Central zu integrieren:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
  2. Klicken Sie auf Check Point Quantum Firewall.

    Wenn Sie bereits Verbindungen zur Quantum Firewall eingerichtet haben, sehen Sie diese hier.

  3. Klicken Sie auf Hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie eine VM für den Empfang von Daten von der Quantum Firewall. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
  2. Geben Sie einen Namen und eine Beschreibung für den Datensammler ein.

    Wenn Sie bereits eine Datensammler-Integration eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).

  4. Geben Sie die internetseitigen Netzwerk-Ports an.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

    Sie benötigen die Adresse der VM später, wenn Sie die Quantum Firewall so konfigurieren, dass Daten an die VM gesendet werden.

  5. Wählen Sie ein Protokoll aus.

  6. Füllen Sie alle übrigen Felder im Formular aus.
  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Es kann einige Minuten dauern, bis die OVA-Datei zum Download bereit ist.

VM bereitstellen

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Verwenden Sie die OVA-Datei, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf OVA herunterladen.
  2. Wenn der Download der OVA-Datei abgeschlossen ist, stellen Sie sie auf Ihrem ESXi-Server bereit. Ein Assistent führt Sie durch den Prozess. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

Quantum Firewall konfigurieren

Gehen Sie jetzt zur Quantum Firewall und konfigurieren Sie den Check Point Log Exporter so, dass Überwachungsdaten an uns gesendet werden.

Sie können dies über die Befehlszeilenschnittstelle (CLI) oder die SmartConsole tun.

CLI verwenden

Verwenden Sie zum Konfigurieren von Log Exporter mithilfe von CLI-Befehlen den cp_log_export-Befehl auf dem Protokollserver.

Die Syntax lautet wie folgt:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. Bevor Sie den Befehl ausführen, konfigurieren Sie ihn mit den folgenden Informationen:

    • Im MDS- oder MLM-Modus ist das Argument Domain-Server erforderlich. Konfigurieren Sie dies wie folgt:

      • Verwenden Sie mds als Wert für Domain-Server, um Audit-Protokolle auf MDS-Ebene zu exportieren.
      • Verwenden Sie all als Wert für Domain-Server, um die Integration für jede Domäne zu konfigurieren.
    • Verwenden Sie die Domain-Server-IP-Adresse oder -Namen, um die Integration in einer bestimmten Domäne zu konfigurieren. Der Zielserver kann die IP-Adresse oder den DNS-Namen verwenden.

      Dadurch wird ein neues Zielverzeichnis mit dem eindeutigen Namen erstellt, der in name unter $EXPORTERDIR/targets/<deployment_name> angegeben ist.

    • Legen Sie die folgenden Ziel-Server-Parameter auf die Verbindungsdetails für Ihren Sophos-Datensammler fest:

      • IP-Adresse
      • Port
      • Protokoll
      • Format
      • Lesezugriff.
  2. Führen Sie den add name-Befehl aus.

  3. Um den neuen Log Exporter mit den neuen Parametern zu starten, führen Sie cp_log_export restart aus. Es startet nicht automatisch.

Ihre Quantum-Firewall-Daten sollten nach der Validierung im Sophos Data Lake angezeigt werden.

Mit SmartConsole

Informationen zum Konfigurieren des Log Exporters mit SmartConsole finden Sie im Administrationshandbuch für die Protokollierung und Überwachung von Check Point. Siehe Administrationshandbuch für Protokollierung und Überwachung.