Integrar Check Point utilizando syslog

En esta sección se describe cómo asegurarse de que los DSM de IBM QRadar Check Point aceptan sucesos de Check Point utilizando syslog.

Para configurar Check Point para reenviar sucesos de syslog a IBM QRadar , realice los pasos siguientes:

Importante: Si Check Point SmartCenter está instalado en Microsoft Windows, debe integrar Check Point con QRadar utilizando OPSEC.
  1. Escriba el mandato siguiente para acceder a la consola de Check Point como usuario experto:

    expert

    Aparece una solicitud de contraseña.

  2. Escriba la contraseña de la consola experta. Pulse la tecla Intro.
  3. Abra el archivo siguiente:

    /etc/rc.d/rc3.d/S99local

  4. Añada las líneas siguientes:

    $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &

    Donde:

    • <instalación> es un recurso syslog, por ejemplo, local3.
    • <Prioridad> es una prioridad de syslog, por ejemplo, info.

    Por ejemplo:

    $FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &

  5. Guarde y cierre el archivo.
  6. Abra el archivo syslog.conf .
  7. Añada la línea siguiente:

    <facility>.<priority> <TAB><TAB>@<host>

    Donde:

    • <instalación> es el recurso syslog, por ejemplo, local3. Este valor debe coincidir con el valor que ha escrito en el paso 4.
    • <Prioridad> es la prioridad de syslog, por ejemplo, información o aviso. Este valor debe coincidir con el valor que ha escrito en el paso 4.

    < TAB > indica que debe pulsar la tecla Tab.

    <host> indica la consola de QRadar o el host gestionado.

  8. Guarde y cierre el archivo.
  9. Especifique el mandato siguiente para reiniciar syslog:
    • En Linux®: service syslog restart
    • En Solaris: /etc/init.d/syslog start
  10. Escriba el mandato siguiente:

    nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &

    Donde:

    • <instalación> es un recurso Syslog, por ejemplo, local3. Este valor debe coincidir con el valor que ha escrito en el paso 4.
    • <Prioridad> es una prioridad de Syslog, por ejemplo, info. Este valor debe coincidir con el valor que ha escrito en el paso 4.

La configuración se ha completado. El origen de registro se añade a QRadar a medida que se descubren automáticamente sucesos de syslog de Check Point. Los sucesos que se reenvían a QRadar se muestran en la pestaña Actividad de registro .