TLS Syslog を使用した Check Point の統合

IBM QRadarでログ・ソースを追加する前に、 QRadar Console で証明書を生成してから、Check Point デバイスに証明書をコピーする必要があります。

手順

  1. SSH を使用して、 QRadar Consoleにログインします。
  2. 以下のコマンドを入力してルート CA 鍵を生成します。
    openssl genrsa -out RootCA.key 2048
  3. 以下のコマンドを入力してルート CA pem を生成します。
    openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem
    重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として CheckpointRootCA を使用することができます。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 ただし、認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。
  4. クライアント鍵を生成するために、以下のコマンドを入力します。
    openssl genrsa -out log_exporter.key 2048
    重要: クライアント鍵を誰とも共有しないでください。
  5. クライアント証明書の署名要求を生成するために、以下のコマンドを入力します。
    openssl req -new -key log_exporter.key -out log_exporter.csr
    重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として Check Point IP アドレスを使用することができます。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。
  6. CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
    openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out log_exporter.crt -days 2048 -sha256
  7. 証明書を p12 形式に変換するために、以下のコマンドを入力します。
    openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12
    重要: 「パスワードのエクスポート」フィールドに値を入力する場合は、パスワードに特殊文字を使用しないでください。
  8. 以下のコマンドを入力してサーバー鍵を生成します。
    openssl genrsa -out syslogServer.key 2048
    重要: サーバー・キーを他のユーザーと共有しないでください。
  9. 以下のコマンドを入力してサーバー証明書の署名要求を生成します。
    openssl req -new -key syslogServer.key -out syslogServer.csr
    重要: 証明書に関する識別名 (DN) 情報の入力を求めるプロンプトが出されたら、 「共通名」 の値として QRadar IP アドレスを使用することをお勧めします。 「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。 それ以外のフィールドはオプションであり、ブランクのままでかまいません。 「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。
  10. CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
    openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out syslogServer.crt -days 2048 -sha256
  11. サーバー証明書および鍵を p12 ファイルに変換するために、以下のコマンドを入力します。
    openssl pkcs12 -inkey syslogServer.key -in syslogServer.crt -export -out syslogServer.p12
    重要: 「エクスポート・パスワードの入力」 フィールドに値を入力する場合は、パスワードに特殊文字を使用しないでください。
  12. SSH を使用して Check Point デバイスにログインします。
  13. エキスパート・モードにアクセスするために、以下のコマンドを入力します。
    Expert
  14. deployment ディレクトリー内に certs ディレクトリーを作成します。
    mkdir -p $EXPORTERDIR/targets/<deployment_name>/certs

    ここで、 <deployment_name>QRadar Consoleのホスト名です。

  15. 以下のコマンドを入力して、ステップ 3 および 7 で作成した RootCA.pem および log_exporter.p12 を、ステップ 13 で Check Point デバイス上に作成したディレクトリーにコピーします。
    scp root@qradar_ip:RootCA.pem log_exporter.p12 $EXPORTERDIR/targets/<deployment_name>/certs/
  16. 以下のコマンドを入力します。
    chmod +r RootCA.pem
    chmod +r log_exporter.p12
    cp_log_export add name <deployment_name>  target-server <QRadar_host_IP> protocol tcp target-port <port_from_log_source_config> format leef encrypted true ca-cert $EXPORTERDIR/targets/<deployment_name>/certs/RootCA.pem client-cert $EXPORTERDIR/targets/<deployment_name>/certs/log_exporter.p12 client-secret <password_for_p12>

    TLS 構成について詳しくは、ご使用のチェックポイント資料 (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#TLS Configuration) を参照してください。

次に実行するタスク

TLS Syslog プロトコルを使用して、ログ・ソースを QRadarに追加します。 詳しくは、 Check Point の TLS Syslog ログ・ソース・パラメーター および ログ・ソースの追加を参照してください。