TLS Syslog を使用した Check Point の統合
IBM® QRadar® でログ・ソースを追加するには、QRadar コンソールで証明書を生成してから、Check Point デバイスに証明書をコピーする必要があります。
- SSH を使用して、QRadar コンソールにログインします。
- 以下のコマンドを入力してルート CA 鍵を生成します。
openssl genrsa -out RootCA.key 2048 - 以下のコマンドを入力してルート CA pem を生成します。
openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem重要: 証明書に関する識別名 (DN) 情報を求めるプロンプトが出された場合は、「共通名 (Common Name)」の値として CheckpointRootCA を使用することができます。「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。それ以外のフィールドはオプションであり、ブランクのままでかまいません。ただし、認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - クライアント鍵を生成するために、以下のコマンドを入力します。
openssl genrsa -out log_exporter.key 2048重要: クライアント鍵を他のユーザーと共有しないでください。 - クライアント証明書の署名要求を生成するために、以下のコマンドを入力します。
openssl req -new -key log_exporter.key -out log_exporter.csr重要: 証明書に関する識別名 (DN) 情報を求めるプロンプトが出された場合は、「共通名 (Common Name)」の値として Check Point の IP アドレスを使用することができます。「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。それ以外のフィールドはオプションであり、ブランクのままでかまいません。「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out log_exporter.crt -days 2048 -sha256 - 証明書を p12 形式に変換するために、以下のコマンドを入力します。
openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12重要: 「エクスポート・パスワード (Export password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 - 以下のコマンドを入力してサーバー鍵を生成します。
openssl genrsa -out syslogServer.key 2048重要: サーバー鍵を他のユーザーと共有しないでください。 - 以下のコマンドを入力してサーバー証明書の署名要求を生成します。
openssl req -new -key syslogServer.key -out syslogServer.csr重要: 証明書に関する識別名 (DN) 情報を求めるプロンプトが出された場合は、「共通名 (Common Name)」の値として QRadar の IP アドレスを使用できます。「共通名 (Common Name)」の値は、他のいずれの証明書とも異なる共通名でなければなりません。それ以外のフィールドはオプションであり、ブランクのままでかまいません。「チャレンジ・パスワード (A challenge password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。認証局から SSL 証明書を購入する場合は、組織の情報を正確に反映するように他のフィールド (「組織 (Organization)」など) も構成する必要があります。 - CA ファイルを使用して証明書に署名するために、以下のコマンドを入力します。
openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out syslogServer.crt -days 2048 -sha256 - サーバー証明書および鍵を p12 ファイルに変換するために、以下のコマンドを入力します。
openssl pkcs12 -inkey syslogServer.key -in syslogServer.crt -export -out syslogServer.p12重要: 「エクスポート・パスワードの入力 (Enter Export Password)」フィールドに値を入力するときは、パスワードに特殊文字を使用しないでください。 - SSH を使用して Check Point デバイスにログインします。
- エキスパート・モードにアクセスするために、以下のコマンドを入力します。
Expert - deployment ディレクトリーの中に certs ディレクトリーを作成します。 mkdir -p $EXPORTERDIR/targets/<deployment_name>/certs
ここで、<deployment_name> は QRadar コンソールのホスト名です。
- ステップ 3 およびステップ 7 で作成した RootCA.pem および log_exporter.p12 を、ステップ 13 で Check Point デバイスに作成したディレクトリーにコピーします。以下のコマンドを入力します。
scp root@qradar_ip:RootCA.pem log_exporter.p12 $EXPORTERDIR/targets/<deployment_name>/certs/ - 以下のコマンドを入力します。
chmod +r RootCA.pemchmod +r log_exporter.p12cp_log_export add name <deployment_name> target-server <QRadar_host_IP> protocol tcp target-port <port_from_log_source_config> format leef encrypted true ca-cert $EXPORTERDIR/targets/<deployment_name>/certs/RootCA.pem client-cert $EXPORTERDIR/targets/<deployment_name>/certs/log_exporter.p12 client-secret <password_for_p12>TLS 構成について詳しくは、Check Point の資料 (https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323#TLS Configuration) を参照してください。
TLS Syslog プロトコルを使用して、QRadar でログ・ソースを追加します。詳しくは、『Check Point の TLS Syslog ログ・ソース・パラメーター (TLS Syslog log source parameters for Check Point)』および『ログ・ソースの追加』を参照してください。