Vai al contenuto
Il supporto che offriamo per MDR.

Check Point Quantum Firewall

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Check Point Quantum Firewall può essere integrato con Sophos Central per l’invio dei dati di audit a Sophos a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log su una virtual machine (VM). L’agente di raccolta log riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più Quantum Firewall sullo stesso agente di raccolta log Sophos.

Per farlo, occorre configurare l’integrazione Quantum Firewall in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri Quantum Firewall per l’invio dei log allo stesso agente di raccolta log Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi: diventerà l’agente di raccolta log.
  • Configurare Quantum Firewall in modo che invii dati all’agente di raccolta log.

Aggiunta di un’integrazione

Per integrare Quantum Firewall con Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Check Point Quantum Firewall.

    Se sono già state configurate connessioni a Quantum Firewall, verranno visualizzate qui.

  3. Cliccare su Aggiungi integrazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

Configurazione della VM

Nei Passaggi di integrazione è possibile configurare una VM in modo che riceva dati da Quantum Firewall. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Immettere un nome e una descrizione per la VM.
  3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).
  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Quantum Firewall per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto per il download.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Quantum Firewall

Passare ora a Quantum Firewall e configurare Check Point Log Exporter in modo che invii i dati di audit a Sophos.

Questa operazione può essere effettuata utilizzando l’interfaccia della riga di comando (CLI) o la SmartConsole.

Tramite CLI

Per configurare Log Exporter utilizzando i comandi CLI, utilizzare il comando cp_log_export sul server di log.

La sintassi è la seguente:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. Prima di eseguire il comando, configurarlo con le seguenti informazioni:

    • In modalità MDS o MLM, l’argomento domain-server (server di dominio) è obbligatorio. Configurarlo come segue:

      • Utilizzare mds come valore del domain-server, per esportare i log di audit a livello di MDS.
      • Utilizzare all come valore del domain-server per configurare l’integrazione in ogni dominio.
    • Utilizzare l’indirizzo IP o il nome del domain-server per configurare l’integrazione in un dominio specifico. Il target-server (server di destinazione) può utilizzare l’indirizzo IP o il nome DNS.

      Verrà così creata una nuova directory di destinazione con il nome univoco specificato in name, sotto $EXPORTERDIR/targets/<deployment_name>.

    • Impostare i seguenti parametri del target-server in modo che riflettano i dettagli di connessione per l’agente di raccolta log Sophos:

      • Indirizzo IP
      • Porta
      • Protocollo
      • Formato
      • Modalità di lettura.
  2. Eseguire il comando add name.

  3. Per avviare la nuova utilità di esportazione log con i nuovi parametri, eseguire cp_log_export restart. Non si avvierà automaticamente.

I dati di Quantum Firewall dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Tramite SmartConsole

Per configurare Log Exporter utilizzando la SmartConsole, consultare la Guida per amministratori ai log e al monitoraggio di Check Point. Vedere la Guida per amministratori ai log e al monitoraggio di Check Point.