Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Check Point Quantum Firewall

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários Quantum Firewalls ao mesmo coletor de dados da Sophos.

Para isso, configure a sua integração do Quantum Firewall no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Quantum para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure o Quantum Firewall para enviar dados ao coletor de dados.

Adicionar uma integração

Para integrar o Quantum Firewall ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em Check Point Quantum Firewall.

    Se já tiver configurado as conexões ao Quantum Firewall, você as verá aqui.

  3. Clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

Configurar a VM

Em Etapas de configuração de integração, você configura a VM para receber dados do Quantum Firewall. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o Quantum Firewall para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto para download.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Quantum Firewall

Agora vá para o Quantum Firewall e configure o Check Point Log Exporter para enviar dados de auditoria para nós.

Você pode fazer isso usando a interface de linha de comando (CLI) ou o SmartConsole.

Usar CLI

Para configurar o Log Exporter usando comandos CLI, use o comando cp_log_export no servidor de log.

A sintaxe é a seguinte:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. Antes de executar o comando, configure-o com as seguintes informações:

    • No modo MDS ou MLM, o argumento domain-server é obrigatório. Configure-o da seguinte forma:

      • Use mds como o valor de domain-server para exportar logs de auditoria no nível de MDS.
      • Use all como o valor do domain-server para configurar a integração em cada domínio.
    • Use o endereço IP ou nome de domain-server para configurar a integração em um domínio específico. Target-server pode usar o endereço IP ou o nome DNS.

      Isso cria um novo diretório de destino com o nome exclusivo especificado em name, sob $EXPORTERDIR/targets/<deployment_name>.

    • Defina os seguintes parâmetros do target-server nos detalhes de conexão do seu coletor de dados da Sophos:

      • Endereço de IP
      • Porta
      • Protocolo
      • Formato
      • Modo de leitura.
  2. Execute o comando add name.

  3. Para iniciar o novo exportador de log com os novos parâmetros, execute cp_log_export restart. Ele não inicia automaticamente.

Seus dados do Quantum Firewall devem aparecer no Sophos Data Lake após a validação.

Usar SmartConsole

Para configurar o Log Exporter usando o SmartConsole, consulte o Logging and Monitoring Administration Guide do Check Point. Consulte Logging and Monitoring Administration Guide.