Pare-feu Quantum de Check Point
Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.
Vous pouvez intégrer le pare-feu Quantum de Check Point à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.
Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.
Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Intégrations sur AWS.
Étapes clés
Les étapes clés d’une intégration sont les suivantes :
- Ajouter une intégration pour ce produit. À cette étape, vous créez une image de votre appliance.
- Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
- Configurez le pare-feu Quantum pour qu’il envoie des données à l’appliance.
Conditions requises
Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.
Ajouter une intégration
Pour intégrer le pare-feu Quantum à Sophos Central, procédez de la manière suivante :
- Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
-
Cliquez sur Pare-feu Quantum de Check Point.
La page Pare-feu Quantum de Check Point s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.
-
Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.
Remarque
S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.
Configurer l’appliance
Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.
Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :
- Ajoutez un nom et une description pour la nouvelle intégration.
- Cliquez sur Créer une nouvelle appliance.
- Saisissez le nom et la description de l’appliance.
- Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.
-
Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.
-
Sélectionnez DHCP pour assigner automatiquement l’adresse IP.
Remarque
Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.
-
Sélectionnez Manuel pour spécifier les paramètres réseau.
-
-
Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.
Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Quantum Firewall pour qu’il envoie des données à votre appliance.
-
Sélectionnez un Protocole.
Vous devez utiliser le même protocole lorsque vous configurez Quantum Firewall pour envoyer des données à votre appliance.
-
Cliquez sur Enregistrer.
Nous créons l’intégration et celle-ci apparaît dans votre liste.
Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Quantum Firewall pour qu’il lui envoie des données.
L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.
Déployer l’appliance
Restriction
Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.
Utilisez l’image pour déployer l’appliance comme suit :
- Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
- Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.
Configurer le pare-feu Quantum
Allez maintenant dans le pare-feu Quantum et configurez l’outil d’exportation des journaux Check Point pour nous envoyer des données d’audit.
Remarque
Vous pouvez configurer plusieurs instances de Quantum Firewall pour envoyer des données à Sophos via la même appliance. Une fois l'intégration terminée, répétez les étapes de cette section pour vos autres instances de Quantum Firewall. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.
Vous pouvez configurer Check Point Log Exporter avec l’interface de ligne de commande (CLI) ou la SmartConsole.
Utiliser l’interface dei ligne de commande (CLI)
Pour configurer l’outil d’exportation des journaux à l’aide des commandes CLI, utilisez la commande cp_log_export
sur le serveur de journaux.
La syntaxe est la suivante :
cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]
-
Avant d’exécuter la commande, ajoutez-y les paramètres suivants :
-
En mode MDS ou MLM, vous aurez besoin de l’argument domaine-serveur. Configurez-le de la manière suivante :
- Définissez la valeur de
domain-server
commemds
pour exporter les journaux d’audit de niveau MDS. - Définissez la valeur de
domain-server
commeall
pour configurer l’intégration sur chaque domaine.
- Définissez la valeur de
-
Utilisez l’adresse IP ou le nom de
domain-server
pour configurer l’intégration sur un domaine spécifique.Target-server
peut utiliser l’adresse IP ou le nom DNS.Ceci crée un nouveau répertoire cible avec le nom unique spécifié dans
name
, sous$EXPORTERDIR/targets/<deployment_name
>. -
Pour les détails de connexion de votre appliance Sophos, utilisez les paramètres
target-server
suivants :- Adresse IP
- Port
-
Protocole
Vous devez saisir la même adresse IP, le même port et les mêmes paramètres de protocole que ceux saisi dans Sophos Central lorsque vous avez ajouté l’intégration.
-
Définissez
format
surcef
.
-
-
Exécutez la commande
add name
. - Pour démarrer le nouvel outil d’exportation des journaux avec les nouveaux paramètres, exécutez
cp_log_export restart
. L’outil ne démarre pas automatiquement.
Retrouvez plus de renseignements sur la commande cp_log_export, sur Log Exporter - Déploiement de base.
Vos données Quantum Firewall devraient apparaître dans Sophos Data Lake après validation.
Utiliser SmartConsole
Pour configurer l’outil d’exportation des journaux avec SmartConsole, consultez le Guide d’administration de la journalisation et de la surveillance de Check Point. Voir le Guide d’administration de la journalisation et de la surveillance.