Pour transmettre des événements LEEF à IBM
QRadar, utilisez Check Point Log Exporter et configurez une nouvelle cible pour les journaux.
Avant de commencer
Log Exporter peut être installé sur plusieurs versions de Check Point. Avant d'envoyer des événements au format LEEF à QRadar, vérifiez que la version correcte de Check Point et Log Exporter est installée dans votre environnement.Le tableau suivant décrit l'emplacement des événements LEEF pris en charge.
Tableau 1. Versions de Check Point qui prennent en charge LEEF
| Version de Check Point |
Commentaires |
| R81.10 |
Log Exporter est inclus dans cette version. |
| R80.20 |
Log Exporter est inclus dans cette version. |
| R80.10 |
Installez Log Exporter, puis installez le correctif logiciel après. |
| R77.30 |
Installez Log Exporter, puis installez le correctif logiciel après. |
- Check Point R80.20
- Si vous souhaitez conserver la configuration de l'exportateur de journal avant de procéder à la mise à niveau vers Check Point R80.20, suivez les instructions de sauvegarde et de restauration de l'exportateur de journal sur le Site Web Check Point. (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk127653).
- Check Point R80.10
- Vérifiez que la version de Check Point R80.10 est installée sur les serveurs suivants :
- Serveur de journaux multidomaine R80.10
- Serveur de gestion de la sécurité
- Serveur de journalisation
- Serveur SmartEvent
- Vous pouvez installer Log Exporter sur le correctif logiciel de Jumbo version R80.10 Take 56 ou une version ultérieure. Le correctif logiciel doit être installé après l'installation de Jumbo. Si vous souhaitez mettre à niveau Jumbo, désinstallez le correctif logiciel, mettez à niveau Jumbo, puis réinstallez le correctif logiciel. Pour plus d'informations, voir la Rubrique d'installation sur le site Web de Check Point (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#Installation).
- Check Point R77.30
- Vérifiez que la version de Check Point R77.30 est installée sur les serveurs suivants :
- Serveur multidomaine
- Serveur de journaux multidomaine
- Serveur de journalisation
- Serveur SmartEvent
- Vous pouvez installer Log Exporter sur la version du logiciel correctif de Jumbo R77.30 Take 292 ou une version ultérieure. Le correctif logiciel doit être installé après l'installation de Jumbo. Si vous souhaitez mettre à niveau Jumbo, désinstallez le correctif logiciel, mettez à niveau Jumbo, puis réinstallez le correctif logiciel. Pour plus d'informations, voir la Rubrique d'installation sur le site Web de Check Point (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#Installation).
Procédure
- Pour accéder au mode expert sur la console Check Point Log Exporter à l'aide de l'interface de ligne de commande, entrez expert, puis appuyez sur Entrée.
- Tapez votre mot de passe expert, puis appuyez sur Retour.
- Entrez la commande suivante :
cp_log_export add name <name> [domain-server <domain-server> target-server <target-server IP address> target-port <target-port>protocol <(udp|tcp)> format <(syslog)|(cef)|(leef)> [optional arguments]
Astuce: Si votre serveur ne fait pas partie d'un domaine, n'incluez pas la zone domain-server dans la commande de configuration.
Un nouveau répertoire cible et des fichiers par défaut sont créés dans le répertoire $EXPORTERDIR/targets/<deployment_name>.
Le tableau suivant présente les exemples de paramètres et leurs valeurs.
Tableau 2. Exemple de configuration cible
| Paramètre |
Valeur |
| Name |
<service_name> |
| Enabled |
Oui |
| Target-server |
<QRadar_IP_address> |
| Target-port |
514 |
| Protocol |
TCP |
| Format |
LEEF |
| Read-mode |
Semi-unifié La valeur par défaut du paramètre Read-mode estSemi-unifiedpour s'assurer que des données complètes sont collectées.
|
Pour plus d'informations sur les autres commandes, accédez au Site Web de Check Point (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#Deployment Script Additional Commands).
- Pour modifier une configuration, entrez cp_log_export set.
- Pour vérifier une configuration dans un déploiement existant, entrez cp_log_export
show.
- Pour démarrer automatiquement Log Exporter, entrez la commande suivante: cp_log_export
restart.
Par défaut, le Log Exporter ne démarre pas automatiquement.
Résultats
Si QRadar ne reçoit pas d'événements à partir de Check Point, essayez les conseils de dépannage suivants :
- Vérifiez le fichier $EXPORTERDIR/targets/<deployment_name>/conf/LeefFieldsMapping.xml pour les problèmes de mappage d'attributs.
- Vérifiez le fichier $EXPORTERDIR/targets/<deployment_name>/conf/LeefFormatDefinition.xml pour les problèmes de mappage d'en-tête LEEF.
- Vérifiez le nom de fichier. Les chemins de fichier peuvent changer avec les mises à jour de Check Point. Si aucun fichier de configuration ne peut être trouvé, contactez votre administrateur Check Point.
Pour plus d'informations sur l'identification et la résolution des incidents, voir
Identification et résolution des incidents de Check Point Syslog LEEF Events à partir de l'utilitaire Log Exporter (cp_log_export) (https://www.ibm.com/support/docview.wss?uid=ibm10876650).