CheckPointのLEEFロギングソースを設定したことがある方はいますか?
私は未知のイベントしか受け取れません。イベントカテゴリが適切に設定されていないようです。
次のようなログを受け取ります:
LEEF:2.0|Check Point|VPN-1 & FireWall-1|1.0|Drop|cat=Drop devTime=1558377110 …
EventID=Drop
cat=Drop
私の意見では、catはVPN-1 & FireWall-1であるべきです。たぶん、CheckPointのxml LeefFormatDefinitionまたはLeefFieldsMappingの設定に誤りがあります。
残念ながら、ドキュメントはこの問題のトラブルシューティングにはあまり役立ちません。
何かアイデアはありますか?前もって感謝します。
追伸
DSMエディタで未知のイベントを開くと、regexでイベントカテゴリを上書きできます。すべて正常に見えますが、DSMエディタのウィンドウ内だけです。(LLC、イベント名、QIDは適切に設定されています)。保存すると未だに未知のイベントが表示されます。
イベントとマップイベントを開くと、EventID=Drop、Event Category=Drop になります。
ログソースタイプは、イベントの解釈方法を変えるわけではなく、またイベントの情報の表示順序を変えるわけでもありません。
管理者 > ログソース
ログソース識別子をCheckpointのIPに設定してください。プロトコル構成は転送設定にしてください。
これにかなり時間がかかりましたし、正直役に立たないサポート担当者とやりとりしました。
そうですね、私たちはLEA形式からLEEF形式に移行しています。LogSourceの種類は変わっていません。
しかし、DSMがこの形式を正しく解釈する必要があります。
それをテストしましたが、依然として未知のイベントです。イベントカテゴリを上書きしても動作しません。
おそらく、Checkpointはこのログを誤ったフォーマットで送信しており、間違ったフィールドをcatフィールドにマッピングしているのではないかと思います。
正しいカテゴリフィールドを受け取っていますか?あなたのCheckpointのxml設定(LeefFieldsMapping.xml、LeefFormatDefinition.xml)を教えてもらえますか?
なるほど。同じ問題に直面したことがありますが、原因はソフトウェア会社がイベントに特定のブランド名を追加していたことでした。QRadarはタイトルなどの情報を前置きとして認識し、イベントを正しく解釈できませんでした。
彼らにイベントから余計な情報を削除させ、QRadarはすぐにLinuxのログソースとして認識しました。
s42bm
8
Checkpointサーバの “$EXPORTERDIR/targets/<deployment_name>/conf/LeefFieldsMapping.xml” を確認して、「cat」フィールドが「product」フィールドのみをマッピングしているか確認してください(大文字小文字を区別)。他の「cat」へのマッピングがあれば削除し、LEEFサービスを再起動してください。これで問題は解決するはずです。
はい、明日私に連絡してください。その情報を調査します。
そうですね、私もCheckpointの設定に何か誤りがあると思います…しかし、何が間違っているのかさっぱりです。
はい、CPのxmlファイルを修正する必要がありました。
それで問題は解決しました。