1. Check Point Log Analysis: Die offizielle Check Point App für Splunk

  • Tutorial


Wenn Sie mit Check Point Security Gateways arbeiten, ist es häufig erforderlich, Protokolle zu analysieren, um Informationssicherheitsvorfälle zu erkennen und zu analysieren. Normalerweise verfügen Organisationen bereits über eine Art Protokollierungssystem. Die Aufgabe besteht darin, Protokolle vom Check Point-Verwaltungsserver zu transportieren und dann Filter für Protokolle einzurichten, Dashboards, Diagramme usw. zu erstellen. In diesem Kurs werden verschiedene Optionen für die Analyse von Check Point-Protokollen mit internen Funktionen und Anwendungen von Drittanbietern beschrieben. Außerdem wird geprüft, welche nützlichen Informationen wir extrahieren können und wie dies beim Einrichten einer Firewall hilft.

Als Teil der Produkte von Check Point ist die Funktionalität von SmartEvent für die Erstellung von Berichten mithilfe von Vorlagen verantwortlich. Sie können auch eine begrenzte Anzahl automatischer Aktionen einrichten. Dies ist jedoch nicht der Fall. Wir werden später auf dieses Problem zurückkommen. Es gibt auch andere Lösungen für dieses Problem, die in unseren anderen Artikeln erörtert wurden:


Die Einrichtung aller oben genannten Lösungen erfordert eine gewisse Qualifikation und viel Zeit für die Implementierung. Was ist, wenn Sie hier und jetzt eine Lösung erhalten möchten? Kürzlich hat Check Point eine Anwendung veröffentlicht, die für diesen Fall ideal ist - die Check Point-App für Splunk, deren Daten über Syslog unter Verwendung des Protokollexporttools in Echtzeit an das Splunk-Protokollierungssystem gesendet werden. In diesem Artikel werden diese Lösung, die Installation und die Informationen, die wir bei der Ausgabe erhalten, ausführlich beschrieben.

Installationsvoraussetzungen


Auf der Serverseite des Check Point Management Servers ist das installierte Log Exporter-Tool erforderlich, um Protokolle mithilfe des Syslog-Protokolls zu senden. In der Version GAIA R80.20 ist der Protokollexport standardmäßig installiert. Zur Unterstützung des Splunk-Protokollformats müssen Sie jedoch den Jumbo-Hotfix installieren. In anderen Versionen müssen Sie ihn vor der Installation des Protokollexporters installieren, um den Jumbo-Hotfix zu unterstützen.
Alle Hotfix-Anforderungen lauten wie folgt:

  1. R80.20 - Jumbo-Hotfix Mache 5 oder höher;
  2. R80.10 - Jumbo Hotfix Take 56 oder höher;
  3. R77.30 - Jumbo Hotfix Nehmen Sie 292 oder höher.

Damit die Anwendung funktionieren kann, muss mindestens die Mindestsystemversion Splunk 6.5 sein. Das CIM- Paket (Splunk Common Information Model) muss ebenfalls installiert sein .

Installieren und ausführen


Der Installationsvorgang ist ziemlich trivial. Installieren Sie zuerst den Protokollexporter, dann die Anwendung auf Splunk, richten Sie den Protokollversand auf dem Verwaltungsserver und den Erfassungsprozess im Protokolliersystem ein. Als Abschluss beginnen wir mit dem Transport der Protokolle und prüfen, ob alles wie erwartet funktioniert. Betrachten Sie alle Punkte genauer.

1. Installieren Sie den Jumbo Hotfix nach Bedarf.
Gehen Sie im Webbrowser zum GAIA-Portal, klicken Sie im linken Menü unter Upgrades (CPUSE), Status und Aktionen auf, wählen Sie das empfohlene Jumbo Hotfix-Paket aus, das offensichtlich über dem unteren Schwellenwert der Anforderungen liegt, oder suchen Sie nach der korrekten Version unter Hotfixes hinzufügen aus der Cloud Der Prozess erfordert einen Neustart des Verwaltungsservers.

2. Installieren Sie den Protokollexporter, wenn Ihre Checkpoint-Version niedriger als R80.20 ist.
Um Log Exporter im Management zu installieren, laden Sie zunächst das Archiv vom Check Point-Portal herunter .



Dann gehen wir wieder zum Menü CPUSE-> Status und Aktionen, wählen Paket importieren aus, geben den Pfad zum Archiv an, importieren es. Danach ändern wir die Anzeige von Paketen mit den Empfohlenen Paketen in den Show All-Paketen, wählen das importierte Archiv aus und installieren es.

3. Installieren Sie CIM, falls noch nicht zuvor installiert.
Gehen Sie zur Splunk-Webbenutzeroberfläche, finden Sie das CIM-Paket in Apps verwalten -> Weitere Apps durchsuchen, installieren Sie.



4. Installieren Sie die Check Point App für Splunk und laden Sie
das Archiv vom Portal herunter .Gehen Sie dann zu Splunk WebUI, Apps verwalten, App aus Datei installieren, wählen Sie das gewünschte Archiv aus und klicken Sie auf Hochladen. Stellen Sie sicher, dass die Anwendung jetzt in der Liste der Apps angezeigt wird.



So sollte die installierte Anwendung natürlich unter anderen Anwendungen aussehen:



Um Protokolle über Syslog zu senden, müssen Sie zunächst einen Protokollexport-Prozess erstellen, anschließend den Datendownload in Splunk konfigurieren und den erstellten Prozess auf dem Check Point-Verwaltungsserver ausführen.

5. Konfigurieren Sie den Protokollexportierer.
Führen Sie auf dem Check Point-Verwaltungsserver in der CLI im Expertenmodus den folgenden Befehl aus:
cp_log_export add name [Domänen-Server <Domänen-Server>] Ziel-Server <Ziel-Server> Ziel-Port <Ziel-Port> Protokoll <tcp | udp> format splunk lesemodus <roh | semi-unified>
Dabei steht der Konfigurationsname, <Zielserver> ist die IP-Adresse des Splunk-Systems, an das Daten gesendet werden, <Zielport> ist der Port, an den Daten gesendet werden.
Beispiel: cp_log_export add name check_point_syslog target-server 10.10.1.159 target-port 9000-protokoll tcp-format splunk-lesemodus halb-unified

6. Dateneingabe
für Splunk konfigurieren Gehen Sie zu Splunk-WebUI, wählen Sie Einstellungen aus dem Datenbereich.

Wir wählen das Protokoll aus, über das die Daten auf Splunk übertragen werden. In diesem Beispiel wählen wir + Neues hinzufügen aus.



Geben Sie als Nächstes den Port <Ziel-Port> ein, der im Protokollexport angegeben wurde. In diesem Fall 9000 können Sie zusätzlich angeben, von welcher IP-Adresse Verbindungen akzeptiert werden sollen, und dann auf die Schaltfläche Weiter warten.



In dem Quelltyp geben wir cp_log, method - IP, index an. Sie können den Standardwert beibehalten. Alle Daten werden auf index = Main gesetzt. Wenn sich andere Daten in diesem Index befinden, kann sich die Suchzeit erheblich verlängern. Sie können einen anderen Index angeben oder einen neuen Index erstellen In der Anwendung selbst müssen Sie direkt angeben, in welchem ​​Index die Suchvorgänge ausgeführt werden.

Nachdem wir auf Review geklickt haben, sehen wir, dass alle Einstellungen der Realität entsprechen. Wir wählen Senden, die Konfiguration der Dateneingaben ist abgeschlossen. Es müssen nur noch Protokolle vom Check Point-Verwaltungsserver gesendet werden.

7. Wir starten den Upload der Protokolle nach Splunk

Geben Sie im Expertenmodus den folgenden Befehl ein: cp_log_export restart name. Dabei wird der im ersten Schritt erstellte Konfigurationsname verwendet.
Beispiel: cp_log_export restart check_point_syslog Das
Setup ist abgeschlossen. Dann werden nur noch die Protokolle mithilfe der standardmäßigen Splunk-Suchabfragemechanismen an Splunk gesendet.



Nun können Sie zur Analyse der Anwendung selbst gehen, welche Dashboards und Berichte darin enthalten sind, welche wichtigen Informationen erhalten werden können und welche Schlussfolgerungen daraus gezogen werden können.

Log-Analyse


Die Anwendung ist in zwei Abschnitte unterteilt - Allgemeiner Überblick und Bedrohungsschutz, der wiederum in Cyber ​​Attack Overview, Sandblast Protection und Zusätzliche Bedrohungsschutzereignisse unterteilt ist. Betrachten Sie jeden Abschnitt separat.

Allgemeine Übersicht Auf der



Hauptseite der Anwendung werden verschiedene Tabellen, Statistiken und Diagramme angezeigt. Einige Informationen in diesem Fall sind grundlegend, zum Beispiel die Anzahl der Gateways und Verwaltungsserver oder die Anzahl der Protokolle durch Blades. Hier werden Sie höchstwahrscheinlich nichts Neues lernen. Aufgrund dieser Informationen können keine Schlussfolgerungen gezogen werden, die sich positiv auswirken.
Aus meiner Sicht sind die interessantesten Elemente hier kritische Angriffstypen, kritische Angriffe, die durch Richtlinien zugelassen sind, infizierte Hosts, erlaubte Hochrisikoanwendungen. Ich werde erklären, warum dies so ist.
Laut Informationen über kritische Angriffstypen können durch Richtlinien zulässige kritische Angriffe die Sicherheitsrichtlinie für die Bedrohungsverhütung verbessern (durch Erkennen von Aktionen zum Erkennen, um durch bestimmte Signaturen zu verhindern oder das Antwortniveau zu erhöhen), wodurch das Sicherheitsniveau für den Schutz vor Virenbedrohungen, Angriffsversuchen und Hacking erhöht wird. Infrastruktur. Infizierte Hosts weisen auf die möglicherweise infizierten Benutzer hin. Daher sollten sie in Zukunft separat durch Antivirenprogramme geprüft oder vom Netzwerk isoliert werden, um zu verhindern, dass das Virus das Netzwerk der Organisation durchläuft. Basierend auf dem Diagramm Zugelassene Anwendungen mit hohem Risiko können Sie die am häufigsten aufgerufenen potenziell gefährlichen Anwendungen blockieren, die derzeit zulässig sind.
Die Anwendungen und die URL-Filterung nach Risiko, Sicherheitsvorfälle nach Schweregrad und Angriffsaktionen nach Richtliniendiagrammen sind systematisch und geben an, ob sich die Sicherheitssituation in Ihrem Unternehmen im Laufe der Zeit verbessert, dh ob die Änderungen der Sicherheitsrichtlinien dazu beigetragen haben, die Infrastruktur stärker zu sichern.

Cyber ​​Attack Übersicht







Dieses Dashboard enthält detailliertere Informationen zu infizierten Hosts und Benutzern, die Viren herunterladen. Es ist sehr praktisch, die heruntergeladenen Dateien und infizierten Nachrichten zu trennen, Sie können Bedrohungen erkennen und eine Threat Prevention-Sicherheitsrichtlinie für einzelne Dienste erstellen, ein Sicherheitsprofil für den SMTP-Verkehr und ein anderes Profil für http und https. SandBlast Protection bietet detailliertere Informationen zu den infizierten Dateien. Sie können den Schweregrad anzeigen und die Fehler in Ihrem Threat Prevention-Sicherheitsprofil erkennen.

Fazit


Dank dieser Anwendung ist es sehr schnell und bequem möglich, Informationen zu den Schwachstellen Ihrer Sicherheitsrichtlinie zu erhalten. Das Einrichten der Anwendung erfordert etwas Zeit und erfordert keine umfassenden Qualifikationen für diese Lösungen. Wenn Sie also an Ihren Sicherheitseinstellungen zweifeln und eine Analyse ohne viel Zeit benötigen, ist dies eine sehr bequeme Lösung. Es ist jedoch klar, dass die Anwendung noch ernsthafter Arbeit bedarf, es gibt keine Statistiken zu den Benutzern, es ist sehr interessant, eine Liste der am häufigsten verwendeten Anwendungen und die Menge des Datenverkehrs zu sehen, die dort abläuft usw. Da dies nur die erste Version ist, wird die Anwendung aktualisiert und höchstwahrscheinlich eine sehr gute Analyselösung über die Zeit hinweg. Wenn wir diese Anwendung jedoch nur als Protokollanalyse betrachten, ist sie anderen Lösungen weit unterlegen.

Wenn Sie Splunk immer noch nicht zur Analyse von Check Point-Protokollen versucht haben, ist es Zeit, zu beginnen. Wenn Sie Fragen oder Probleme mit Splunk haben oder Check Point - können Sie sie bitten , uns und wir helfen.

Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.

Was verwenden Sie für die Analyse von Check Point-Protokollen?


Jetzt auch beliebt: