Aller au contenu
Découvrez comment nous prenons en charge MDR.

Pare-feu Quantum de Check Point

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer le pare-feu Quantum de Check Point à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs pare-feu Quantum au même collecteur de données Sophos.

Pour ce faire, configurez votre intégration de pare-feu Quantum dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite vos autres pare-feu Quantum pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurez le pare-feu Quantum pour qu’il envoie des données au collecteur de données.

Ajouter une intégration

Pour intégrer le pare-feu Quantum à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur Pare-feu Quantum de Check Point.

    Si vous avez déjà configuré des connexions au pare-feu Quantum, vous les voyez ici.

  3. Cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données du pare-feu Quantum. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir du pare-feu Quantum.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer le pare-feu Quantum

Allez maintenant dans le pare-feu Quantum et configurez l’outil d’exportation des journaux Check Point pour nous envoyer des données d’audit.

Vous pouvez le faire à l’aide de l’interface de ligne de commande (CLI) ou de SmartConsole.

Utiliser le CLI

Pour configurer l’outil d’exportation des journaux à l’aide des commandes CLI, utilisez la commande cp_log_export sur le serveur de journaux.

La syntaxe est la suivante :

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. Avant d’exécuter la commande, ajoutez-y les paramètres suivants :

    • En mode MDS ou MLM, vous aurez besoin de l’argument domaine-serveur. Configurez-le de la manière suivante :

      • Définissez la valeur du serveur de domaine comme mds pour exporter les journaux d’audit de niveau MDS.
      • Définissez la valeur du serveur de domaine comme all pour configurer l’intégration sur chaque domaine.
    • Utilisez l’adresse IP ou le nom du serveur de domaine pour configurer l’intégration sur un domaine spécifique. Le serveur cible peut utiliser l’adresse IP ou le nom DNS.

      Ceci crée un nouveau répertoire cible avec le nom unique spécifié dans name, sous $EXPORTERDIR/targets/<deployment_name>.

    • Pour les détails de connexion de votre collecteur de données Sophos, utilisez les paramètres de serveurs cible suivants :

      • Adresse IP
      • Port
      • Protocole
      • Format
      • Mode lecture.
  2. Exécutez la commande add name.

  3. Pour démarrer le nouvel outil d’exportation des journaux avec les nouveaux paramètres, exécutez cp_log_export restart. L’outil ne démarre pas automatiquement.

Vos données Quantum Firewall devraient apparaître dans Sophos Data Lake après validation.

Utiliser SmartConsole

Pour configurer l’outil d’exportation des journaux avec SmartConsole, consultez le Guide d’administration de la journalisation et de la surveillance de Check Point. Voir le Guide d’administration de la journalisation et de la surveillance.