外部 syslog フォワーダーからの Check Point Firewall イベントの統合

Check Point Firewall イベントは、IBM® QRadar® にイベントを送信する外部ソース (Splunk Forwarder やその他のサード・パーティー製 syslog 転送機能など) から転送できます。

Check Point Firewall イベントが外部ソースから syslog 形式で提供されると、このイベントを syslog ヘッダー内の IP アドレスで識別します。イベントが標準 syslog プロトコルを使用して処理されると、この識別方法ではイベントが正しく識別されません。syslog リダイレクト・プロトコルは、イベント・ソースを正しく識別するために、イベント・ペイロードからの IP アドレスを syslog ヘッダーに代入する方式を管理者に提供します。

IP アドレスを代入するには、管理者は、適切な IP アドレスを含む、Check Point Firewall イベント・ペイロードの共通フィールドを識別する必要があります。例えば、Splunk Forwarder からのイベントでは、イベント・ペイロードの orig= を使用して、Check Point Firewall の元の IP アドレスを識別します。このプロトコルによって適切な IP アドレスが代入され、デバイスがログ・ソースで適切に識別されるようになります。Check Point Firewall イベントが転送されると、QRadar が、固有 IP アドレスごとに新規ログ・ソースを自動的に検出および作成します。

代入は正規表現を使用して実行され、TCP syslog イベントも UDP syslog イベントもサポートできます。プロトコルは、ログ・ソースとポートの初期構成として iptables を自動的に構成します。管理者はポート割り当てを変更することにした場合、「すべての構成のデプロイ」で iptables 構成を更新し、新規ポート割り当てを使用する必要があります。