Guide de Configuration

Check Point via OPSEC

Date de Création 27/11/2018
Auteur Famara Bodian
Code TLP TLP : AMBER
Version Actuelle 1.0
Historique des Versions
Version Date Modification Modification par Commentaire
1.0 27/11/2018 Famara Bodian Version initiale

Suricate Solutions 1/3

Préavis
Ce document a été rédigé en référence au document officiel « IBM Security QRadar DSM
Configuration Guide » accessible au lien suivant :
http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_adde
ndum/b_dsm_guide.pdf

1. Introduction
Le SIEM IBM Security QRadar peut collecter les événements provenant des équipements
Check Point via l’une des méthodes suivantes :
 Intégration de Check Point en utilisant le protocole OPSEC
 Intégration de Check Point en utilisant le protocole Syslog
 Intégration de pare-feu Check Point depuis des expéditeurs Syslog externes
La première méthode sera traitée dans ce guide de configuration.

2. Intégration de Check Point en utilisant OPSEC

Cette section décrit les étapes pour s’assurer que les événements Check Point sont
acceptés par IBM Security QRadar en utilisant OPSEC/LEA.
Pour intégrer OPSEC/LEA dans QRadar, vous devez créer deux fichiers Secure Internal
Communication (SIC) et entrer les informations dans QRadar en tant que source de
journal.

2.1. Ajout d’un hôte Check Point

Vous pouvez ajouter IBM QRadar en tant qu’hôte dans Check Point SmartCenter :

Procédure
 Se connecter à l’interface utilisateur de Check Point SmartCenter
 Sélectionnez Objects > New Host
 Entrez les informations pour votre hôte Check Point :
o Object Name : QRadar
o IP Address : Adresse IP de QRadar
 Cliquez sur OK

2.2. Création d’un objet d’application OPSEC

Après avoir ajouté QRadar en tant qu’hôte Check Point SmartCenter, vous pouvez créer
l’objet d’application OPSEC

Procédure
 Ouvrir l’interface utilisateur de Check Point SmartConsole
 Sélectionnez Objects > More Object Types > Server > OPSEC Application > New
Application
 Configurez votre application OPSEC
o Configurez les paramètres OPEC Application Properties

Suricate Solutions 2/3

Paramètre Valeur
Name QRadar-OPSEC
Host QRadar
Client Entities LEA

o Cliquez sur Communication

o Dans le champ One-time password, tapez le mot de passe que vous
souhaitez utiliser
o Dans le champ Confirm onte-time password, tapez le mot de passe
utilisé dans One-time password
o Cliquez sur Initialize
o Cliquez sur Close
 Sélectionnez Menu > Install Policy
 Cliquez Publish & Install
 Cliquez sur Install
 Sélectionnez Menu > Install Database
 Cliquez sur Install

Note : La valeur SIC est requise pour le paramètre OPSEC Application Object SIC lorsque
vous configurez la source de journal Check Point dans QRadar. Cette valeur peut être
trouvée en affichant l’objet d’application OPSEC après sa création.
L’objet d’application OPSEC ressemble à l’exemple suivant :
CN=QRadar=OPSEC,0=cpmodule..tdfaaz

2.3. Localisation de la source de journal SIC

Après la création de l’objet d’application OPSEC, vous pouvez localiser la source de
journal SIC depuis Check Point SmartCenter.

Procédure
 Sélectionnez Objects > Object Explorer
 Dans l’arborescence Categories, sélectionnez Gateways and Servers sous
Network Objects
 Sélectionnez votre objet Check Point Log Host
 Copiez le SIC (Secure Internal Communication)
Important : Selon votre version de Check Point, le bouton Communication
affiche l'attribut SIC. Vous pouvez localiser l'attribut SIC à partir de l'interface de
ligne de commande de Check Point Management Server. Vous devez utiliser la
commande cpca_client lscert à partir de l'interface de ligne de commande du
serveur de gestion pour afficher tous les certificats.
Important : L'attribut SIC de source de journal ressemble à l'exemple suivant:
cn = cp_mgmt, o = cpmodule ... tdfaaz. Pour plus d'informations, voir l'interface
votre Check Point Command Line Interface Guide.

Suricate Solutions 3/3

 3. Configuration de la source de journal dans QRadar
Après avoir localisé la source de journal SIC, vous configurez le protocole OPSEC LEA

Procédure
 Se connecter à QRadar
 Cliquer sur l’onglet Admin
 Dans le menu de navigation, cliquer sur Data Sources
 Cliquer sur l’icône Log Sources
 Cliquer sur Add
 Dans le champ Log Source Name, taper un nom pour la source de journal
 Dans le champ Log Source Description, donner une description
 Dans la liste Log Source Type, sélectionner Check Point
 Sélectionner OPSEC/LEA dans la liste Protocol Configuration
 Configurez les valeurs suivantes :
Paramètre Description
Log Source Identifier L’adresse IP de la source de journal
Server IP Tapez l’adresse IP du dispositif Check
Point
Server Port 18184 par défaut
Use Server IP for Log Source Cochez la case pour utiliser l'adresse IP du
serveur LEA au lieu de l'adresse IP du
périphérique géré pour une source de
journal. Tous les événements reçus par
QRadar sont canalisés vers une source de
journal unique. Désactivez la case à cocher
pour que tous les événements transmis
par Check Point Management Server
soient intégrés à leurs sources de journal
individuelles
Statistics Report Interval Tapez l'intervalle, en secondes, pendant
lequel le nombre d'événements Syslog est
enregistré dans le fichier QRadar.log
Authentication Type Dans la liste, sélectionnez le type
d'authentification souhaité pour cette
configuration LEA.
Les options sont :
 sslca (default)
 sslca_clear
 clear
Cette valeur doit correspondre à la
méthode d'authentification configurée sur
le firewall Check Point ou le serveur de
gestion Check Point.

Suricate Solutions 4/3

OPSEC Application Object SIC Attribute Tapez le nom SIC de l’objet d’application
(SIC Name) OPSEC.
Le nom SIC est le DN (distinguished name)
de l’application, par exemple : CN=LEA,
o=fwconsole..7psasx
Log Source SIC Attribute (Entity SIC Tapez le nom SIC du serveur qui a généré
Name) les sources de journal. Exemple :
cn=cp_mgmt,o=fwconsole..7psasx
Specify Certificate Cochez la case Specify Certificate pour
définir un certificat pour cette
configuration LEA
Certificate Filename Tapez le nom de fichier du certificat que
vous souhaitez utiliser pour cette
configuration. Le fichier de certificat doit
être situé dans le répertoire
/opt/qradar/conf/trusted_certificates/lea
Certificate Authority IP Tapez l'adresse IP du serveur SmartCenter
à partir duquel vous voulez extraire votre
certificat
Pull Certificate Password Tapez le mot de passe que vous souhaitez
utiliser pour demander un certificate
OPSEC Application Tapez le nom de l’application que vous
souhaitez utiliser lorsque vous demandez
un certificat

 Cliquer sur Save

 Dans l’onglet Admin, cliquer sur Deploy Changes
La configuration est complète.

Suricate Solutions 5/3