Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Check Point Quantum Firewall

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Check Point Quantum Firewall con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varios dispositivos Quantum Firewall al mismo recopilador de datos de Sophos.

Para ello, configure la integración de Quantum Firewall en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás dispositivos Quantum Firewall para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar Quantum Firewall para enviar datos al recopilador de datos.

Añadir una integración

Para integrar Quantum Firewall con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en Check Point Quantum Firewall.

    Si ya ha configurado conexiones con Quantum Firewall, puede verlas aquí.

  3. Haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de Quantum Firewall. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure Quantum Firewall para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en descargarse.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar Quantum Firewall

Ahora vaya a Quantum Firewall y configure el exportador de registros de Check Point para que nos envíe datos de auditoría.

Puede hacerlo mediante la interfaz de línea de comandos (CLI) o SmartConsole.

Usar CLI

Para configurar el exportador de registros mediante la interfaz de línea de comandos, utilice el comando cp_log_export en el servidor de registros.

La sintaxis es la siguiente:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. Antes de ejecutar el comando, configúrelo con la siguiente información:

    • En el modo MDS o MLM se requiere el argumento domain-server. Configúrelo de la siguiente manera:

      • Utilice mds como valor para domain-server para exportar registros de auditoría de nivel MDS.
      • Utilice all como valor para domain-server para configurar la integración en cada dominio.
    • Utilice la dirección IP de domain-server para configurar la integración en un dominio específico. target-server puede utilizar la dirección IP o el nombre DNS.

      Esto crea un nuevo directorio de destino con el nombre único especificado en name, en $EXPORTERDIR/targets/<deployment_name>.

    • Defina los siguientes parámetros de target-server en los detalles de conexión del recopilador de datos de Sophos:

      • Dirección IP
      • Puerto
      • Protocolo
      • Formato
      • Modo de lectura.
  2. Ejecute el comando add name.

  3. Para iniciar el nuevo exportador de registros con los nuevos parámetros, ejecute cp_log_export restart. No se inicia automáticamente.

Los datos de Quantum Firewall deberían aparecer en Sophos Data Lake después de la validación.

Utilizar SmartConsole

Para configurar el exportador de registros mediante SmartConsole, consulte la Guía de administración de registro y supervisión de Check Point. Consulte la Guía de administración de registro y supervisión.