Previous

Next

Checkpoint Quantum Firewall - Audit

Checkpoint Quantum Firewall - Application Control

Checkpoint Quantum Firewall - URL Filtering

Checkpoint Quantum Firewall - Identity Awareness

Checkpoint Quantum Firewall - IPS

Checkpoint Quantum Firewall - Firewall

Checkpoint Quantum Firewall - Threat Emulation

Checkpoint Quantum Firewall - Anti Bot

概要

Check Point Next Generation Firewall は、アプリケーション コントロール と IPS 保護を備えたセキュリティ ゲートウェイであり、セキュリティ イベントを統合管理できます。追加機能として、Identity Awareness、URL Filtering、Anti‑Bot、Anti‑Virus、Anti‑Spam が含まれています。

このインテグレーションは、URL Filtering ログ、Anti‑Bot ログ、Application Control、Firewall、Identity Awareness、IPS、Threat Emulation などのイベント タイプをログ パイプラインで取り込み、ログを拡充し Datadog 標準属性へ正規化します。これにより、許可/ブロックされた URL、ボットの詳細、アクセスされたアプリケーション データ、ファイアウォールが生成したイベント、コンピュータ アイデンティティとマシン IP アドレスの対応付けなどの詳細インサイトを提供するダッシュボードを利用できます。

セットアップ

インストール

Checkpoint Quantum Firewall インテグレーションをインストールするには、以下の手順に従ってください。

注: Agent バージョン >= 7.52.0 ではこの手順は不要です。

1. 1.0 リリース (checkpoint_quantum_firewall==1.0.0) をインストールします。

構成

ログ収集

Checkpoint Quantum Firewall:

1. Datadog Agent ではログ収集はデフォルトで無効になっています。datadog.yaml ファイルで有効化してください。

   logs_enabled: true
   

2. Checkpoint Quantum Firewall ログを収集するには、以下の設定ブロックを checkpoint_quantum_firewall.d/conf.yaml に追加します。

   利用可能な設定オプションはサンプル checkpoint_quantum_firewall.d/conf.yaml を参照してください。

   logs:
     - type: tcp/udp
       port: <PORT>
       service: checkpoint-quantum-firewall
       source: checkpoint-quantum-firewall
   

3. Agent を再起動します。

4. Checkpoint Quantum Firewall からの Syslog メッセージ転送を設定する手順:

   1. Management Server / Log Server のコマンドラインに接続します。
   2. Expert モードでログインし、管理者資格情報を入力します (入力後、Expert モードが有効)。
   3. エクスポートするログの送信先を新規設定するには、次のコマンドを入力します。

      cp_log_export add name <Name of Log Exporter Configuration> target-server <HostName or IP address of Target Server> target-port <Port on Target Server> protocol {tcp | udp} format json
      

      • 上記コマンドでは次の Syslog サーバー詳細を指定してください:

        • name: syslog サーバー名。例: datadog_syslog
        • target-server: Checkpoint Quantum Firewall のログを送信する宛先
        • target-port: syslog サーバーが待ち受けるポート (通常 514)
        • protocol: ログ送信に使用するプロトコル名 (TCP/UDP)
        • format: フォーマットは ‘json’ を指定
   4. Syslog サーバー設定を保存して追加するには、次のコマンドを実行します。

      cp_log_export restart name <Name of Log Exporter Configuration>
      

   5. Syslog の詳細設定は公式 Checkpoint ドキュメントを参照してください。

検証

Agent の status サブコマンドを実行し、Checks セクションに checkpoint_quantum_firewall が表示されることを確認してください。

収集データ

ログ

Checkpoint Quantum Firewall インテグレーションは Firewall、URL Filtering、IPS、Identity Awareness、Application Control、Threat Emulation、Audit、Anti‑Ransomware、Anti‑Spam & Email Security、Anti‑Exploit、Anti‑Bot、Anti‑Virus、HTTPS Inspection、DLP、Anti‑Malware の各ログを収集します。

メトリクス

Checkpoint Quantum Firewall インテグレーションにはメトリクスは含まれていません。

イベント

Checkpoint Quantum Firewall インテグレーションにはイベントは含まれていません。

サービス チェック

Checkpoint Quantum Firewall インテグレーションにはサービス チェックは含まれていません。

トラブルシューティング

Checkpoint Quantum Firewall:

ポート バインド時の Permission denied

Agent ログに Permission denied エラーが表示された場合は、次の手順を参照してください。

1. 1024 未満のポート番号にバインドするには昇格権限が必要です。以下の手順で設定します。

   • setcap コマンドでポートへのアクセスを付与:

     sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
     

   • getcap コマンドで設定を確認:

     sudo getcap /opt/datadog-agent/bin/agent/agent
     

     期待される出力:

     /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
     

     注: Agent をアップグレードするたびにこの setcap コマンドを再実行してください。

2. Agent を再起動します。

データが収集されない

ファイアウォールが有効な場合、設定したポートのトラフィックがバイパスされているか確認してください。

Port already in use

Port <PORT-NO> Already in Use エラーが表示された場合の対処例 (PORT‑NO = 514):

Syslog を使用するシステムで、Agent がポート 514 で Checkpoint Quantum Firewall ログをリッスンしようとすると、Agent ログに Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use というエラーが出ることがあります。

これは Syslog がデフォルトでポート 514 を使用しているためです。解決策として以下のいずれかを実施してください:

• Syslog を無効化する
• Agent を別の空いているポートでリッスンさせる

追加サポートが必要な場合は Datadog サポートまでお問い合わせください。