Check Point Quantum Firewall

You must have the "Firewall" integrations license pack to use this feature.

Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários Quantum Firewalls ao mesmo coletor de dados da Sophos.

Para isso, configure a sua integração do Quantum Firewall no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Quantum para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
Configure o Quantum Firewall para enviar dados ao coletor de dados.

Requisitos

Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.

Adicionar uma integração

Para integrar o Quantum Firewall ao Sophos Central, faça o seguinte:

No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
Clique em Check Point Quantum Firewall.

Se já tiver configurado as conexões ao Quantum Firewall, você as verá aqui.
Clique em Adicionar.

Nota

Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

Configurar a VM

Em Etapas de configuração de integração, você configura a VM para receber dados do Quantum Firewall. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

Adicione um nome e uma descrição para a nova integração.
Insira um nome e uma descrição para o coletor de dados.

Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
- Selecione DHCP para atribuir o endereço IP automaticamente.
  
  Nota
  
  Se você selecionar DHCP, deverá reservar o endereço IP.
- Selecione Manual para especificar as configurações de rede.
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

Você precisará desse endereço IP de syslog mais tarde, ao configurar o Quantum Firewall para enviar dados ao seu coletor de dados.
Selecione um Protocolo.

Você deve usar o mesmo protocolo ao configurar o Quantum Firewall para enviar dados ao seu coletor de dados.
Clique em Salvar.

Nós criamos a integração e ela aparece na sua lista.

Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar o Quantum Firewall para enviar dados.

Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Quantum Firewall

Agora vá para o Quantum Firewall e configure o Check Point Log Exporter para enviar dados de auditoria para nós.

Você pode fazer isso usando a interface de linha de comando (CLI) ou o SmartConsole.

Usar CLI

Para configurar o Log Exporter usando comandos CLI, use o comando cp_log_export no servidor de log.

A sintaxe é a seguinte:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]

Antes de executar o comando, configure-o com as seguintes informações:
- No modo MDS ou MLM, o argumento domain-server é obrigatório. Configure-o da seguinte forma:
  - Use mds como o valor de domain-server para exportar logs de auditoria no nível de MDS.
  - Use all como o valor do domain-server para configurar a integração em cada domínio.
- Use o endereço IP ou nome de domain-server para configurar a integração em um domínio específico. Target-server pode usar o endereço IP ou o nome DNS.
  
  Isso cria um novo diretório de destino com o nome exclusivo especificado em name, sob $EXPORTERDIR/targets/<deployment_name>.
- Defina os seguintes parâmetros do target-server nos detalhes de conexão do seu coletor de dados da Sophos:
  - Endereço de IP
  - Porta
  - Protocolo
    
    Você deve inserir as mesmas configurações de endereço IP, porta e protocolo inseridas no Sophos Central quando adicionou a integração.
- Recomendamos que você defina format como cef.
Execute o comando add name.
Para iniciar o novo exportador de log com os novos parâmetros, execute cp_log_export restart. Ele não inicia automaticamente.

Para obter mais detalhes sobre o comando cp_log_export, consulte Log Exporter - Basic Deployment.

Seus dados do Quantum Firewall devem aparecer no Sophos Data Lake após a validação.

Usar SmartConsole

Para configurar o Log Exporter usando o SmartConsole, consulte o Logging and Monitoring Administration Guide do Check Point. Consulte Logging and Monitoring Administration Guide.