Académique Documents
Professionnel Documents
Culture Documents
1. Introduction
Le SIEM IBM Security QRadar peut collecter les événements provenant des équipements
Check Point via l’une des méthodes suivantes :
Intégration de Check Point en utilisant le protocole OPSEC
Intégration de Check Point en utilisant le protocole Syslog
Intégration de pare-feu Check Point depuis des expéditeurs Syslog externes
La première méthode sera traitée dans ce guide de configuration.
Procédure
Se connecter à l’interface utilisateur de Check Point SmartCenter
Sélectionnez Objects > New Host
Entrez les informations pour votre hôte Check Point :
o Object Name : QRadar
o IP Address : Adresse IP de QRadar
Cliquez sur OK
Procédure
Ouvrir l’interface utilisateur de Check Point SmartConsole
Sélectionnez Objects > More Object Types > Server > OPSEC Application > New
Application
Configurez votre application OPSEC
o Configurez les paramètres OPEC Application Properties
Note : La valeur SIC est requise pour le paramètre OPSEC Application Object SIC lorsque
vous configurez la source de journal Check Point dans QRadar. Cette valeur peut être
trouvée en affichant l’objet d’application OPSEC après sa création.
L’objet d’application OPSEC ressemble à l’exemple suivant :
CN=QRadar=OPSEC,0=cpmodule..tdfaaz
Procédure
Sélectionnez Objects > Object Explorer
Dans l’arborescence Categories, sélectionnez Gateways and Servers sous
Network Objects
Sélectionnez votre objet Check Point Log Host
Copiez le SIC (Secure Internal Communication)
Important : Selon votre version de Check Point, le bouton Communication
affiche l'attribut SIC. Vous pouvez localiser l'attribut SIC à partir de l'interface de
ligne de commande de Check Point Management Server. Vous devez utiliser la
commande cpca_client lscert à partir de l'interface de ligne de commande du
serveur de gestion pour afficher tous les certificats.
Important : L'attribut SIC de source de journal ressemble à l'exemple suivant:
cn = cp_mgmt, o = cpmodule ... tdfaaz. Pour plus d'informations, voir l'interface
votre Check Point Command Line Interface Guide.
Procédure
Se connecter à QRadar
Cliquer sur l’onglet Admin
Dans le menu de navigation, cliquer sur Data Sources
Cliquer sur l’icône Log Sources
Cliquer sur Add
Dans le champ Log Source Name, taper un nom pour la source de journal
Dans le champ Log Source Description, donner une description
Dans la liste Log Source Type, sélectionner Check Point
Sélectionner OPSEC/LEA dans la liste Protocol Configuration
Configurez les valeurs suivantes :
Paramètre Description
Log Source Identifier L’adresse IP de la source de journal
Server IP Tapez l’adresse IP du dispositif Check
Point
Server Port 18184 par défaut
Use Server IP for Log Source Cochez la case pour utiliser l'adresse IP du
serveur LEA au lieu de l'adresse IP du
périphérique géré pour une source de
journal. Tous les événements reçus par
QRadar sont canalisés vers une source de
journal unique. Désactivez la case à cocher
pour que tous les événements transmis
par Check Point Management Server
soient intégrés à leurs sources de journal
individuelles
Statistics Report Interval Tapez l'intervalle, en secondes, pendant
lequel le nombre d'événements Syslog est
enregistré dans le fichier QRadar.log
Authentication Type Dans la liste, sélectionnez le type
d'authentification souhaité pour cette
configuration LEA.
Les options sont :
sslca (default)
sslca_clear
clear
Cette valeur doit correspondre à la
méthode d'authentification configurée sur
le firewall Check Point ou le serveur de
gestion Check Point.