使用Check Point安全网关时,经常会出现分析日志以检测和分析信息安全事件的任务。 通常,组织已经拥有某种日志记录系统,任务是从Check Point管理服务器传输日志,然后为日志配置过滤器,绘制仪表板,计划等等。 在本课程中,我们将考虑使用内部功能和第三方应用程序分析Check Point日志的各种选项,考虑我们可以提取哪些有用的信息,以及它将如何帮助配置防火墙。
作为Check Point产品的一部分,SmartEvent功能负责此工作,它将在模板上生成报告,您也可以配置一组有限的自动操作,但现在还不行,我们稍后将再讨论此问题。 对于此问题,还有其他解决方案,我们在其他文章中对此进行了讨论:
设置所有上述解决方案需要一定的资格和大量的实施时间。 如果您现在和现在都需要解决方案怎么办? Check Point最近发布了最适合这种情况的应用程序-Splunk Check Point应用程序,使用日志导出器工具通过syslog将数据实时发送到Splunk日志记录系统。 在本文中,我们将详细考虑此解决方案,安装以及在输出中获得的信息。
安装要求
Check Point管理服务器需要已安装的Log Exporter工具,才能使用syslog协议发送日志。 在GAIA R80.20中,默认情况下会安装Log Exporter,但要支持Splunk日志格式,您需要安装Jumbo Hotfix,在其他版本中,在安装Log Exporter之前,必须先安装它以支持Jumbo Hotfix。
下面显示了此修补程序版本的所有要求:
- R80.20-超大修补程序取5或更高;
- R80.10-超大修补程序取56或更高;
- R77.30-超大修补程序需要292或更高版本。
为了使应用程序正常运行,系统的最低版本必须至少为Splunk 6.5,并且还必须安装
Splunk公共信息模型(CIM)软件包。
安装和启动
安装过程非常简单,首先我们安装Log Exporter,然后在Splunk上安装应用程序,然后配置将日志发送到管理服务器的过程以及日志系统中的接受过程,最后,我们开始进行日志传送,检查一切是否按预期进行。 更详细地考虑所有要点。
1.根据需要安装Jumbo Hotfix。我们在网络浏览器中进入GAIA门户,在左侧菜单“升级(CPUSE),状态和操作”中,选择建议的Jumbo Hotfix软件包,该软件包显然会高于要求的下限阈值,或者在“从云中添加修补程序”中查找所需版本,进行安装,该过程将需要重新启动管理服务器。
2.如果您的Check Point版本低于R80.20,则安装Log Exporter。为了在管理上安装Log Exporter,请首先从
Check Point门户下载档案。
然后再次进入“ CPUSE->状态和操作”菜单,选择“导入包”,指定归档路径,即导入。 之后,将包的视图从“显示推荐的包”更改为“显示所有包”,选择导入的存档,安装。
3.如果以前没有安装,请安装CIM。转到Splunk WebUI,在“管理应用程序”->“浏览更多应用程序”中找到CIM软件包,进行安装。
4,安装Check Point App for Splunk从
门户下载档案,然后转到Splunk WebUI,“管理应用”,“从文件安装应用”,选择所需的档案,然后单击“上传”。 我们正在等待成功操作的通知,请确保该应用程序现在在“应用程序”列表中可见。
当然,这应该看起来像已安装的应用程序,以及其他应用程序:
为了通过syslog发送日志,您必须首先创建一个Log Exporter进程,然后将Data Input配置为Splunk,然后在Check Point管理服务器上启动创建的进程。
5.配置日志导出器在CLI的Check Point管理服务器上,以专家模式运行命令:
cp_log_export添加名称[域服务器<域服务器>]目标服务器<目标服务器>目标端口<目标端口>协议<tcp | udp>格式splunk读取模式<raw | 半统一>
其中的配置名称,<target-server>是我们向其发送数据的Splunk系统的IP地址,<target-port>是我们向其发送数据的端口。
示例:cp_log_export添加名称check_point_syslog目标服务器10.10.1.159目标端口9000协议tcp格式splunk读模式半统一
6.在Splunk上设置数据输入转到Splunk WebUI,在菜单中选择设置,然后在数据部分下选择数据输入。
我们选择将数据发送到Splunk的协议,在本示例中为tcp,选择+添加新的。
接下来,输入在Log Exporter中指定的端口<target-port>,在这种情况下为9000,您可以另外指定从哪个IP地址接受连接,然后等待“下一步”按钮。
在源类型中,指定cp_log,方法-IP,索引可以保留为默认值,所有数据将进入index = Main,并且如果该索引还有其他数据,则搜索时间会大大增加,可以指定其他索引或创建新索引,然后在应用程序本身中,您必须直接指定在哪个索引中执行搜索操作。
单击“查看”后,我们将看到所有设置都正确,选择“提交”,“数据输入”设置完成,您只需要从Check Point管理服务器发送日志即可。
7.我们开始将日志上传到Splunk的过程在专家模式下,输入命令:
cp_log_export重新启动名称,其中是第一步中创建的配置名称
示例:cp_log_export重新启动check_point_syslog
设置完成,然后仅使用Splunk的标准搜索查询机制来确保将日志发送到Splunk。
现在,您可以继续分析应用程序本身的操作,应用程序包含哪些仪表板和报告,可以获得哪些重要信息以及可以得出哪些结论。
日志分析
该应用程序分为2个部分-概述和威胁防护,然后又分为网络攻击概述,喷沙防护和其他威胁防护事件。 我们分别考虑每个部分。
总体概述
该应用程序的主页显示了一些表格,统计数据和图表。 在这种情况下,一些信息是基本信息,例如网关和管理服务器的数量或刀片服务器上的日志的数量,很可能您将不会学到任何新知识,并且可以基于此信息得出结论,这将产生积极的影响。
从我的角度来看,这里最有趣的元素是严重攻击类型,策略允许的严重攻击,感染的主机,允许的高风险应用程序,我将解释原因。
根据严重攻击类型,策略允许的严重攻击可以改善威胁防护安全策略(通过将操作从检测转移到通过特定签名进行阻止或通过增加响应级别),从而提高了安全级别,可以防止病毒威胁,尝试引入和入侵计算机。基础设施。 感染主机表示那些可能被感染的用户,因此,应分别通过防病毒检查或与网络隔离,以防止病毒通过组织的网络传播。 根据“允许的高风险应用程序”图,您可以阻止当前允许用户阻止的访问量最大的潜在危险应用程序。
图中按风险划分的应用程序和URL过滤,按严重性划分的安全事件和按策略划分的攻击行动图本质上是系统的,表明组织中的安全状态是否会随着时间的推移而改善,即对安全策略所做的更改是否有助于进一步保护基础架构。
网络攻击概述
此仪表板显示有关受感染主机和下载病毒的用户的更多详细信息。 按下载的受感染文件和受感染消息进行分隔非常方便,您可以识别威胁并为单个服务创建威胁防御安全策略,为smtp流量创建一个安全配置文件,并为http和https创建另一个配置文件。 SandBlast Protection提供有关受感染文件的更多详细信息,您可以查看严重性并在“威胁防护”中识别安全配置文件的缺点。
结论
由于有了此应用程序,因此可以快速,方便地获取有关安全策略中薄弱环节的信息,设置该应用程序需要花费一些时间,并且在这些解决方案中不需要太多技巧。 也就是说,如果您怀疑自己的安全性设置并且需要花费大量时间进行一些分析,那么这是一个非常方便的解决方案。 但是,很明显,该应用程序仍然急需改进,没有有关用户的统计信息,非常有趣的是,查看了最常用的应用程序列表以及流向该处的流量等。 由于这只是第一个版本,因此该应用程序将被更新,并且很可能会随着时间的推移成为一个非常好的分析解决方案,但是现在,如果我们仅将此应用程序视为日志分析,那么它就比其他解决方案差很多。 在随后的文章中,我们将考虑并比较SmartEvent和其他Splunk应用程序分析Check Point日志的功能,包括由我们的工程师创建的应用程序。
如果您尚未尝试Splunk分析Check Point日志,那么该开始了。 如果您对Splunk或Check Point有疑问或问题,可以向
我们询问,我们将为您提供帮助。