Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Check Point Quantum Firewall

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários Quantum Firewalls ao mesmo dispositivo da Sophos.

Para isso, configure a sua integração do Quantum Firewall no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Quantum para enviar logs para o mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Quantum Firewall para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para integrar o Quantum Firewall ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em Check Point Quantum Firewall.

    A página Check Point Quantum Firewall é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

Configurar a VM

Em Etapas de configuração de integração, você configura a VM como um dispositivo para receber dados do Quantum Firewall. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Quantum Firewall para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Quantum Firewall para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar o Quantum Firewall

Agora vá para o Quantum Firewall e configure o Check Point Log Exporter para enviar dados de auditoria para nós.

Você pode fazer isso usando a interface de linha de comando (CLI) ou o SmartConsole.

Usar CLI

Para configurar o Log Exporter usando comandos CLI, use o comando cp_log_export no servidor de log.

A sintaxe é a seguinte:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]

  1. Antes de executar o comando, configure-o com as seguintes informações:

    • No modo MDS ou MLM, o argumento domain-server é obrigatório. Configure-o da seguinte forma:

      • Use mds como o valor de domain-server para exportar logs de auditoria no nível de MDS.
      • Use all como o valor do domain-server para configurar a integração em cada domínio.
    • Use o endereço IP ou nome de domain-server para configurar a integração em um domínio específico. Target-server pode usar o endereço IP ou o nome DNS.

      Isso cria um novo diretório de destino com o nome exclusivo especificado em name, sob $EXPORTERDIR/targets/<deployment_name>.

    • Defina os seguintes parâmetros de target-server nos detalhes de conexão do seu dispositivo da Sophos:

      • Endereço de IP
      • Porta
      • Protocolo

        Você deve inserir as mesmas configurações de endereço IP, porta e protocolo inseridas no Sophos Central quando adicionou a integração.

    • Recomendamos que você defina format como cef.

  2. Execute o comando add name.

  3. Para iniciar o novo exportador de log com os novos parâmetros, execute cp_log_export restart. Ele não inicia automaticamente.

Para obter mais detalhes sobre o comando cp_log_export, consulte Log Exporter - Basic Deployment.

Seus dados do Quantum Firewall devem aparecer no Sophos Data Lake após a validação.

Usar SmartConsole

Para configurar o Log Exporter usando o SmartConsole, consulte o Logging and Monitoring Administration Guide do Check Point. Consulte Logging and Monitoring Administration Guide.