Logging und Monitoring

Gegenüber R7X sind SmartReporter und SmartEvent nun unter der SmartConsole zusammengefasst. SmartEvent läuft dediziert oder wird im Security Management Server aktiviert (SMS network object > Management tab > Software Blades aktivieren(Logging & Status, SmartEvent Server, SmartEvent Correlation Unit). SmartReporter (für Firewall- und VPN-Reports) wird aktiviert im SmartEvent über das Policy-Tab > Consolidated Sessions > Firewall Session und erzeugt 5 zusätzliche Events pro Tag (Performance!?).

Neue Darstellung der Logs über 2 Wege:

  • SmartConsole –> Logs & Monitor
  • SmartView Web Application = https://<SMS_ip-or-hostname>/smartview/

SmartView Monitor (für Monitoring von Tunneln, Usern, Alarmen und verdächtigen Aktivitäten) sowie SmartEvent (für Automatismen und Einstellungen zur Korrelation, Log Servern, Domänen und internem Netzwerk)!

  • SmartEvent über SmartConsole –> Logs & Monitor, PLUS-Symbol und „SmartEvent Settings & Policy“ auswählen
  • SmartView Monitor GUI über SmartConsole –> Logs & Monitor, PLUS-Symbol und „Tunnel & User Monitoring“ auswählen

Logging:

  • Lokal auf SG
  • von SG auf SMS (default)
  • dedizierter Log Server

Link zum Berechnen des Speicherbedarfs: sk87263

Indexing Dateien sind hier gespeichert: $RTDIR/log_indexes

Tracking Option für Policy Regeln:

  • Network Log = src, dst, sport, dport, prot
    • Log = Network Log(src, dst, sport, dport, prot) + application (Name und Information wie URL) = DEFAULT
      • Full Log = Log(Network Log(src, dst, sport, dport, prot) + application (Name und Information wie URL) + Daten zu jedem URL Request
  • Zusatzoptionen:

    • Accounting = Logaktualisierung aller 10 Minuten mit Info zur Verbindung(Upload, Download, Surfdauer)
    • Suppression = ein Log alle 3 Stunden für alle Verbindungen

Alarme:

Optionen:

  • Keiner
  • Alert = Log + command (Popup, Email, SNMP trap, benutzerdefiniertes Skript)
  • SNMP = SNMP alert to SNMP GUI oder Skript
  • Mail = Email zum Administrator oder Mail Alarm Skript
  • Benutzerdefinierter Alarm = Senden eines von 3 möglichen angepassten Alarmen(Skripte)

Skripte für Alarme unter Menu > Global Properties > Log and Alert > Alerts

Logs durchsuchen:

nach Regel-Treffern:
  • Rechtsklick auf Regel (Access Control Policy / Threat Prevention Policy)
  • „Copy Rule UID“
  • Logs & Monitor > Logs tab
    • layer_uuid_rule_uuid:*_<UID> (Bsp:layer_uuid_rule_uuid:*_35e04e4f-0aad-34e2-a1d7-d227cc4ab0e)

Queries:

Logging and Monitoring R80 Administration Guide @Checkpoint.com

Events:

Event = Sicherheitsvorfall = ein oder mehrere Logs und Regeln aus der „Event Policy“

Events = Logs, die nicht Firewall, VPN oder HTTPS inspection logs sind ( um Performance nicht zu belasten)

Correlated Events = Event aus verdächtigem Muster aus mehreren Logs

Das Security Gateway(SG) schickt seine Logs zum Log Server. Die SmartEvent Corralation Unit analysiert die Logeinträge des Log Servers auf Muster entsprechend der installierten „Event Policy“ und leitet einen identifizierten Event zum SmartEvent Server weiter. Der SmartEvent Server bestimmt für den Event das Sicherheitslevel und die durchzuführende Aktion und speichert den Event in der Datanbank. Der SmartEvent Clients (SmartConsole, SmartEvent GUI, SmartView Web Application) zeigen die Events an, verwalten diese(z.B. Filtern, Schließen) und installieren die „Event Policy“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.