TLS Syslog を使用した Check Point の統合
IBM QRadarでログ・ソースを追加する前に、 QRadar Console で証明書を生成してから、Check Point デバイスに証明書をコピーする必要があります。
手順
- SSH を使用して、 QRadar Consoleにログインします。
- 以下のコマンドを入力してルート CA 鍵を生成します。
openssl genrsa -out RootCA.key 2048 - 以下のコマンドを入力してルート CA pem を生成します。
openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として CheckpointRootCA を使用することができます。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 ただし、認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - クライアント鍵を生成するために、以下のコマンドを入力します。
openssl genrsa -out log_exporter.key 2048重要: クライアント鍵を誰とも共有しないでください。 - クライアント証明書の署名要求を生成するために、以下のコマンドを入力します。
openssl req -new -key log_exporter.key -out log_exporter.csr重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として Check Point IP アドレスを使用することができます。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out log_exporter.crt -days 2048 -sha256 - 証明書を p12 形式に変換するために、以下のコマンドを入力します。
openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12重要: 「パスワードのエクスポート」フィールドに値を入力する場合は、パスワードに特殊文字を使用しないでください。 - 以下のコマンドを入力してサーバー鍵を生成します。
openssl genrsa -out syslogServer.key 2048重要: サーバー・キーを他のユーザーと共有しないでください。 - 以下のコマンドを入力してサーバー証明書の署名要求を生成します。
openssl req -new -key syslogServer.key -out syslogServer.csr重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として QRadar IP アドレスを使用することをお勧めします。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out syslogServer.crt -days 2048 -sha256 - サーバー証明書および鍵を p12 ファイルに変換するために、以下のコマンドを入力します。
openssl pkcs12 -inkey syslogServer.key -in syslogServer.crt -export -out syslogServer.p12重要: 「エクスポート・パスワードの入力」 フィールドに値を入力する場合は、パスワードに特殊文字を使用しないでください。 - SSH を使用して Check Point デバイスにログインします。
- エキスパート・モードにアクセスするために、以下のコマンドを入力します。
Expert - deployment ディレクトリー内に certs ディレクトリーを作成します。mkdir -p $EXPORTERDIR/targets/<deployment_name>/certs
ここで、 <deployment_name>はQRadar Consoleのホスト名です。
- 以下のコマンドを入力して、ステップ 3 および 7 で作成した RootCA.pem および log_exporter.p12 を、ステップ 13 で Check Point デバイス上に作成したディレクトリーにコピーします。
scp root@qradar_ip:RootCA.pem log_exporter.p12 $EXPORTERDIR/targets/<deployment_name>/certs/ - 以下のコマンドを入力します。
chmod +r RootCA.pemchmod +r log_exporter.p12cp_log_export add name <deployment_name> target-server <QRadar_host_IP> protocol tcp target-port <port_from_log_source_config> format leef encrypted true ca-cert $EXPORTERDIR/targets/<deployment_name>/certs/RootCA.pem client-cert $EXPORTERDIR/targets/<deployment_name>/certs/log_exporter.p12 client-secret <password_for_p12>TLS 構成について詳しくは、ご使用のチェックポイント資料 (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#TLS Configuration) を参照してください。