Checkpoint Quantum Firewall
Checkpoint Quantum Firewall - Audit
Checkpoint Quantum Firewall - Application Control
Checkpoint Quantum Firewall - URL Filtering
Checkpoint Quantum Firewall - Identity Awareness
Checkpoint Quantum Firewall - IPS
Checkpoint Quantum Firewall - Firewall
Checkpoint Quantum Firewall - Threat Emulation
Checkpoint Quantum Firewall - Anti Bot
概要
Check Point Next Generation Firewall は、アプリケーション コントロール と IPS 保護を備えたセキュリティ ゲートウェイであり、セキュリティ イベントを統合管理できます。追加機能として、Identity Awareness、URL Filtering、Anti‑Bot、Anti‑Virus、Anti‑Spam が含まれています。
このインテグレーションは、URL Filtering ログ、Anti‑Bot ログ、Application Control、Firewall、Identity Awareness、IPS、Threat Emulation などのイベント タイプをログ パイプラインで取り込み、ログを拡充し Datadog 標準属性へ正規化します。これにより、許可/ブロックされた URL、ボットの詳細、アクセスされたアプリケーション データ、ファイアウォールが生成したイベント、コンピュータ アイデンティティとマシン IP アドレスの対応付けなどの詳細インサイトを提供するダッシュボードを利用できます。
セットアップ
インストール
Checkpoint Quantum Firewall インテグレーションをインストールするには、以下の手順に従ってください。
注: Agent バージョン >= 7.52.0 ではこの手順は不要です。
- 1.0 リリース (
checkpoint_quantum_firewall==1.0.0) をインストールします。
構成
ログ収集
Checkpoint Quantum Firewall:
Datadog Agent ではログ収集はデフォルトで無効になっています。datadog.yaml ファイルで有効化してください。
Checkpoint Quantum Firewall ログを収集するには、以下の設定ブロックを checkpoint_quantum_firewall.d/conf.yaml に追加します。
利用可能な設定オプションはサンプル checkpoint_quantum_firewall.d/conf.yaml を参照してください。
logs:
- type: tcp/udp
port: <PORT>
service: checkpoint-quantum-firewall
source: checkpoint-quantum-firewall
Agent を再起動します。
Checkpoint Quantum Firewall からの Syslog メッセージ転送を設定する手順:
- Management Server / Log Server のコマンドラインに接続します。
- Expert モードでログインし、管理者資格情報を入力します (入力後、Expert モードが有効)。
- エクスポートするログの送信先を新規設定するには、次のコマンドを入力します。
cp_log_export add name <Name of Log Exporter Configuration> target-server <HostName or IP address of Target Server> target-port <Port on Target Server> protocol {tcp | udp} format json
- Syslog サーバー設定を保存して追加するには、次のコマンドを実行します。
cp_log_export restart name <Name of Log Exporter Configuration>
- Syslog の詳細設定は公式 Checkpoint ドキュメントを参照してください。
検証
Agent の status サブコマンドを実行し、Checks セクションに checkpoint_quantum_firewall が表示されることを確認してください。
収集データ
ログ
Checkpoint Quantum Firewall インテグレーションは Firewall、URL Filtering、IPS、Identity Awareness、Application Control、Threat Emulation、Audit、Anti‑Ransomware、Anti‑Spam & Email Security、Anti‑Exploit、Anti‑Bot、Anti‑Virus、HTTPS Inspection、DLP、Anti‑Malware の各ログを収集します。
メトリクス
Checkpoint Quantum Firewall インテグレーションにはメトリクスは含まれていません。
イベント
Checkpoint Quantum Firewall インテグレーションにはイベントは含まれていません。
サービス チェック
Checkpoint Quantum Firewall インテグレーションにはサービス チェックは含まれていません。
トラブルシューティング
Checkpoint Quantum Firewall:
ポート バインド時の Permission denied
Agent ログに Permission denied エラーが表示された場合は、次の手順を参照してください。
1024 未満のポート番号にバインドするには昇格権限が必要です。以下の手順で設定します。
Agent を再起動します。
データが収集されない
ファイアウォールが有効な場合、設定したポートのトラフィックがバイパスされているか確認してください。
Port already in use
Port <PORT-NO> Already in Use エラーが表示された場合の対処例 (PORT‑NO = 514):
Syslog を使用するシステムで、Agent がポート 514 で Checkpoint Quantum Firewall ログをリッスンしようとすると、Agent ログに Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use というエラーが出ることがあります。
これは Syslog がデフォルトでポート 514 を使用しているためです。解決策として以下のいずれかを実施してください:
- Syslog を無効化する
- Agent を別の空いているポートでリッスンさせる
追加サポートが必要な場合は Datadog サポートまでお問い合わせください。
