Integrazione di Check Point utilizzando TLS Syslog

Prima di aggiungere un'origine log in IBM QRadar, è necessario generare certificati su QRadar Console e quindi copiare i certificati sul dispositivo Check Point.

Procedura

  1. Utilizzando SSH, accedi al tuo QRadar Console.
  2. Generare il tasto CA root digitando il seguente comando:
    openssl genrsa -out RootCA.key 2048
  3. Generare la pem di CA root digitando il seguente comando:
    openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem
    Importante: quando viene richiesto di fornire le informazioni DN (Distinguished Name) sul certificato, è possibile utilizzare CheckpointRootCA come valore Nome comune . Il valore Nome comune non può essere lo stesso valore Nome comune che si utilizza per qualsiasi altro certificato. Tutti gli altri campi sono facoltativi e possono essere lasciati vuoti. Tuttavia, se si acquista un certificato SSL da un'autorità di certificazione, potrebbe essere necessario configurare più campi, come ad esempio Organizzazione per riflettere accuratamente le informazioni della propria organizzazione.
  4. Per generare il tasto client, digitare il seguente comando:
    openssl genrsa -out log_exporter.key 2048
    Importante: Non condividere la chiave client con nessuno.
  5. Per generare la richiesta di firma del certificato client, digitare il seguente comando:
    openssl req -new -key log_exporter.key -out log_exporter.csr
    Importante: Quando viene richiesto di fornire informazioni DN (Distinguished Name) sul certificato, si potrebbe voler utilizzare l'indirizzo IP Check Point come valore Nome comune . Il valore Nome comune non può essere lo stesso valore Nome comune che si utilizza per qualsiasi altro certificato. Tutti gli altri campi sono facoltativi e possono essere lasciati vuoti. Quando si digita un valore per il campo A challenge password non utilizzare caratteri speciali per la password. Se si acquario un certificato SSL da un'autorità di certificazione, potrebbe essere necessario configurare più campi, come Organizzazione per riflettere accuratamente le informazioni della propria organizzazione.
  6. Per firmare il certificato utilizzando i file CA, digitare il seguente comando:
    openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out log_exporter.crt -days 2048 -sha256
  7. Per convertire il certificato in formato p12 , digitare il seguente comando:
    openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12
    Importante: Quando si digita un valore per il campo password di esportazione, non utilizzare caratteri speciali per la password.
  8. Generare il tasto del server digitando il seguente comando:
    openssl genrsa -out syslogServer.key 2048
    Importante: Non condividere la chiave server con nessuno.
  9. Generare la richiesta di firma del certificato server digitando il seguente comando:
    openssl req -new -key syslogServer.key -out syslogServer.csr
    Importante: quando viene richiesto di fornire le informazioni DN (Distinguished Name) sul certificato, è possibile utilizzare l'indirizzo IP QRadar come valore Nome comune . Il valore Nome comune non può essere lo stesso valore Nome comune che si utilizza per qualsiasi altro certificato. Tutti gli altri campi sono facoltativi e possono essere lasciati vuoti. Quando si digita un valore per il campo A challenge password non utilizzare caratteri speciali per la password. Se si acquario un certificato SSL da un'autorità di certificazione, potrebbe essere necessario configurare più campi, come Organizzazione per riflettere accuratamente le informazioni della propria organizzazione.
  10. Per firmare il certificato utilizzando i file CA, digitare il seguente comando:
    openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out syslogServer.crt -days 2048 -sha256
  11. Per convertire il certificato server e la chiave di un file p12 , digitare il seguente comando:
    openssl pkcs12 -inkey syslogServer.key -in syslogServer.crt -export -out syslogServer.p12
    Importante: Quando si digita un valore per il campo Invio password di esportazione non utilizzare caratteri speciali per la password.
  12. Utilizzando SSH, accedere al proprio dispositivo Check Point.
  13. Per accedere alla modalità expert, digitare il seguente comando:
    Expert
  14. Crea un indirizzario certs all'interno del tuo indirizzario deployment :
    mkdir -p $EXPORTERDIR/targets/<deployment_name>/certs

    Dove < nome_distribuzione> è il nome host di QRadar Console.

  15. Copiare RootCA.pem e log_exporter.p12 creati nei passi 3 e 7 nella directory creata sul dispositivo Check Point nel passo 13 immettendo il seguente comando:
    scp root@qradar_ip:RootCA.pem log_exporter.p12 $EXPORTERDIR/targets/<deployment_name>/certs/
  16. Digita i seguenti comandi:
    chmod +r RootCA.pem
    chmod +r log_exporter.p12
    cp_log_export add name <deployment_name>  target-server <QRadar_host_IP> protocol tcp target-port <port_from_log_source_config> format leef encrypted true ca-cert $EXPORTERDIR/targets/<deployment_name>/certs/RootCA.pem client-cert $EXPORTERDIR/targets/<deployment_name>/certs/log_exporter.p12 client-secret <password_for_p12>

    Per ulteriori informazioni sulla configurazione TLS, consultare Documentazione Check Point (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#TLS Configuration).

Operazioni da eseguire successivamente

Aggiungi un'origine log in QRadar utilizzando il protocollo Syslog TLS. Per ulteriori informazioni, consultare Parametri di origine log TLS Syslog per Check Point e Aggiunta di un'origine log.