Skip to content

Documentație

Cum se colectează date de la Check Point Firewall

Acest document explică modul de adăugare a unei noi surse de date - Check Point Firewall - folosind redirecționarea syslog.

Acest document explică modul de adăugare a unei noi surse de date - Check Point Firewall - folosind redirecționarea syslog.

Înainte de a adăuga sursa de date în CYBERQUEST, configurați Check Point Firewall să redirecționeze evenimentele către serverul CYBERQUEST pe portul UDP 5140.

Pentru instrucțiuni detaliate de configurare, consultați ghidul de configurare: Configure Check Point Firewall Log Forwarding to CQ

Autentificați-vă în interfața web CYBERQUEST cu un cont care are privilegii de administrator.

Navigați la Settings > Management > Data Source Manager.

Această pagină conține toate sursele de date adăugate în aplicația CYBERQUEST.

Lista surselor de date

Adăugarea sursei de date

Apăsați butonul ADD DATA-SOURCE și completați următorul formular:

Formularul de adăugare a sursei de date

  • DataSource Type: Alegeți “Syslog / CheckPoint Firewall Syslog (LogName: CheckPointFirewall)” pentru a interpreta evenimentele Check Point Firewall.

  • DataSource Information: Acest câmp este completat automat cu detaliile sursei de date.

  • Tag: Un identificator unic atribuit automat sursei de date;

  • Anonymize Fields: Selectați unul sau mai multe câmpuri care urmează a fi anonimizate, după caz.

  • IPList: Introduceți adresa (adresele) IP a expeditorului pentru această sursă, separate prin virgulă. CYBERQUEST va accepta jurnale numai de la aceste adrese IP.

  • Data: true = activă și recepționează jurnale; false = inactivă sau nu recepționează jurnale.

Faceți clic pe butonul “Save” pentru a salva sursa de date.

Verificarea ingestiei

  • Pe serverul CQ, confirmați că pachetele sunt recepționate:
    sudo tcpdump -n udp port 5140 -i any
    
  • În CYBERQUEST, deschideți Browser pentru a verifica dacă evenimentele Check Point apar și sunt etichetate ca CheckPointFirewall.

Asignarea agentului CYBERQUEST

Pasul următor este asignarea agentului CYBERQUEST la această sursă de date. Apăsați lista derulantă și alegeți agentul (adesea agentul CQServer-DataServer):

Lista derulantă de asignare a agentului

  • Edit: Apăsați Butonul de editare pentru a modifica informațiile sursei de date. Procesul este foarte similar cu adăugarea unei noi surse de date.

  • Clone: Apăsați butonul Pictograma de clonare pentru a crea o copie a sursei de date.

  • Delete: Pentru a elimina o sursă de date, dezasignați mai întâi agentul, apoi apăsați “Delete”.