跳至內容
查找我們如何支持MDR

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=InfinityTotalProtection

Check Point Quantum Firewall

記錄收集器

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Check Point Quantum Firewall 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們合稱為資料收集器。資料收集器接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 Quantum Firewall 新增到同一個 Sophos 資料收集器。

為此,請在 Sophos Central 中設定 Quantum Firewall 整合,然後設定一個防火牆以向其傳送記錄。然後設定其他 Quantum 防火牆,將記錄傳送到同一 Sophos 資料收集器。

您不需要重複設定的 Sophos Central 部分。

新增整合的主要步驟如下:

  • 新增此產品的整合。這將設定開放式虛擬設備 (OVA) 檔案。
  • 將 OVA 檔案部署至 ESXi 伺服器。這會成為您的資料收集器。
  • 設定 Quantum Firewall 以將資料傳送到資料收集器。

新增整合

若要將 Quantum Firewall 整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心,然後按一下整合

  2. 按一下 Check Point Quantum Firewall

    如果您已設定與 Quantum Firewall 的連線,您可以在這裡看到這些連線。

  3. 按一下新增

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

設定 VM

整合設定步驟中,您可以設定 VM 以從 Quantum Firewall 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 為新整合新增名稱和說明。

  2. 輸入資料收集器的名稱和說明。

    如果您已經設定資料收集器整合,可以從清單中選擇。

  3. 選取虛擬平台。(目前我們僅支援 VMware)。

  4. 指定面向網際網路的網路連接埠。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

    稍後設定 Quantum Firewall 以向其傳送資料時,您將需要 VM 的位址。

  5. 選取一項通訊協定

  6. 填寫表單上的所有剩餘欄位。

  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。OVA 檔案可能需要幾分鐘的時間才能下載。

部署虛擬機

限制

OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。部署之後,將無法再使用。

如果必須部署新的 VM,則必須再次執行所有步驟,將此整合連結到 Sophos Central。

使用 OVA 檔案部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下下載 OVA
  2. OVA 檔案下載完成後,請將其部署在 ESXi 伺服器上。助理將引導您完成所有步驟。請參閱部署 VM 進行整合

部署 VM 後,整合將顯示為已連線

設定 Quantum Firewall

現在,移至 Quantum Firewall 並設定 Check Point Log Exporter 以向我們傳送稽核資料。

您可以使用命令列介面 (CLI) 或 SmartConsole 執行此動作。

使用 CLI

要使用 CLI 命令設定 Log Exporter,請在記錄伺服器上使用 cp_log_export 命令。

語法如下:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(splunk)|(logrhythm)|(generic)> [optional arguments]

  1. 在執行命令之前,請使用以下資訊對其進行設定:

    • 在 MDS 或 MLM 模式中,需要網域伺服器引數。設定方法如下:

      • mds 用作網域伺服器匯出 MDS 層級稽核記錄的值。
      • all 用作網域伺服器在每個網域上設定整合的值。

    • 使用網域伺服器 IP 位址或名稱在特定網域上設定整合。目標伺服器可以使用 IP 位址或 DNS 名稱。

      這將在 $EXPORTERDIR/targets/<deployment_name> 下使用在 name 中指定的唯一名稱建立新的目標目錄。

    • 將以下目標伺服器參數設定為 Sophos 資料收集器的連線詳細資料:

      • IP 位址 (IP 位址)
      • 連接埠
      • 通訊協定
      • 格式
      • 閱讀模式。

  2. 執行 add name 命令。

  3. 要使用新參數啟動新的記錄匯出工具,請執行 cp_log_export restart。它不會自動啟動。

驗證後,Quantum Firewall 資料應顯示在 Sophos Data Lake 中。

使用 SmartConsole

要使用 SmartConsole 設定 Log Exporter,請參見 Check Point 記錄和監控管理指南。請參閱記錄和監控管理指南