Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Check Point Quantum Firewall

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Check Point Quantum Firewall con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulte Integraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Quantum Firewall para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para integrar Quantum Firewall con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en Check Point Quantum Firewall.

    Se abre la página Check Point Quantum Firewall. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.
  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Quantum Firewall para que envíe datos a su dispositivo.

  7. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure Quantum Firewall para enviar datos al dispositivo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Quantum Firewall para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Configurar Quantum Firewall

Ahora vaya a Quantum Firewall y configure el exportador de registros de Check Point para que nos envíe datos de auditoría.

Nota

Puede configurar varias instancias de Quantum Firewall para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de Quantum Firewall. No es necesario que repita los pasos en Sophos Central.

Puede configurar el exportador de registros de Check Point mediante la interfaz de línea de comandos (CLI) o SmartConsole.

Usar CLI

Para configurar el exportador de registros mediante la interfaz de línea de comandos, utilice el comando cp_log_export en el servidor de registros.

La sintaxis es la siguiente:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]

  1. Antes de ejecutar el comando, configúrelo con la siguiente información:

    • En el modo MDS o MLM se requiere el argumento domain-server. Configúrelo de la siguiente manera:

      • Utilice mds como valor para domain-server para exportar registros de auditoría de nivel MDS.
      • Utilice all como valor para domain-server para configurar la integración en cada dominio.
    • Utilice la dirección IP de domain-server para configurar la integración en un dominio específico. Target-server puede utilizar la dirección IP o el nombre DNS.

      Esto crea un nuevo directorio de destino con el nombre único especificado en name, en $EXPORTERDIR/targets/<deployment_name>.

    • Defina los siguientes parámetros de target-server en los detalles de conexión del dispositivo de Sophos:

      • Dirección IP
      • Puerto
      • Protocolo

        Debe introducir la misma configuración de dirección IP, puerto y protocolo que introdujo en Sophos Central al añadir la integración.

    • Establezca format en cef.

  2. Ejecute el comando add name.

  3. Para iniciar el nuevo exportador de registros con los nuevos parámetros, ejecute cp_log_export restart. No se inicia automáticamente.

Para obtener más información sobre el comando cp_log_export, consulte Log Exporter - Despliegue básico.

Los datos de Quantum Firewall deberían aparecer en Sophos Data Lake después de la validación.

Utilizar SmartConsole

Para configurar el exportador de registros mediante SmartConsole, consulte la Guía de administración de registro y supervisión de Check Point. Consulte la Guía de administración de registro y supervisión.