Checkpoint

Een klant wilde gebruik gaan maken van Microsoft Defender for Cloud Apps (eerder bekend als Microsoft Cloud App Security en daarvoor moest ervoor gezorgd worden dat de logfiles naar Microsoft gestuurd worden. Na heel veel lezen en veel trial-and-error heb ik het eindelijk werkend gekregen.

We gingen in eerste instantie ervan uit dat we dit in het format Syslog konden versturen, maar dit werkte bij ons niet.

Dit stappenplan gaat voor het grootste gedeelte over de configuratie van de Checkpoint firewall en niet over de Microsoft Defender for Cloud Apps gedeelte. Ik heb geen toegang tot de Azure omgeving van de klant, dus kan dit niet visueel ondersteunen of tot in detail uitleggen. Sowieso zal ik ook links neerzetten voor meer gedetailleerde informatie.

Stap 1.

Als eerste heb ik een firewall rule aangemaakt, zodat de logfiles ook echt doorgelaten worden
Hier staat nog wel syslog bij, maar dit is in principe niet nodig omdat de bestanden over https worden verstuurd.

Stap 2.

Het aanmaken van een Log Exporter rule op de Checkpoint Management Server is vooral belangrijk omdat je hier aangeeft in welk formaat je de logs wil versturen naar de Microsoft Log Collector. In deze link staat een heel uitgebreide informatie over wat je allemaal kunt instellen, wij hebben gekozen om alles te versturen naar de Log Collector. Daarvoor hebben we onderstaand commando gebruikt:
cp_log_export add name FW3-LOG target-server 20.71.xx.xx target-port 443 protocol tcp format cef

Met het commando cp_log_export show kun je je instellingen controleren

Dit maakt de log export meteen actief en worden de logfiles over https naar het opgegeven ip-adres gestuurd.
Ik had hier eerst als format Syslog staan en dit werkte niet goed samen met de Log Collector en de MDCA samen. Nadat we dit hadden aangepast naar het CEF formaat en ook nog de instellingen aan de Azure kant hadden veranderd naar CEF en de dockerinstance van de Log Collector hadden veranderd, zagen we alle relevante informatie binnenkomen, zoals welke cloudapps, (source) ip-adressen gebruikt worden. Dit is de informatie die mijn klant wil zien en die is dus blij.

Stap 3.

In Azure moet je natuurlijk ook een configuratie opgeven. Ik heb helaas geen toegang tot de klantomgeving in Azure, dus kan alleen zeggen dat je hier (Microsoft) meer informatie kunt vinden voor het inrichten van de Azure kant.
Wat je zeker nodig hebt is een Log Collector, daar stuur je de informatie welke komt van de Checkpoint door naar de Microsoft Defender for Cloud Apps omgeving van je bedrijf of klant

Om broadcast verkeer vanaf de SCCM-server over verschillende vlans te routeren moet er op de coreswitch (waar de routering plaatsvindt) een access-list worden ingesteld. Dat doe je met onderstaande extended access-list. Geef de access-list een herkenbare naam en stel dan per SCCM-server een entry in.

Access-list instellen
Met de access-list geef je aan dat de SCCM-servers een broadcast mogen versturen
Op plek van de xx vul je het ip-adres in van je eigen SCCM-server

ip access-list extended "<naam acl>"
     10 permit ip xx.xx.xx.xx 0.0.0.0 0.0.0.0 255.255.255.255


ip directed-broadcast access-group "<naam acl>"

Mocht er bij de klant gebruik worden gemaakt van 802.1x dan moet er op de switchpoort ook nog worden ingesteld dat WOL-verkeer op 802.1x poorten doorgelaten wordt. Dit staat standaard dicht.
Maar met onderstaand commando stel je in dat dit wel wordt doorgelaten

aaa port-access <port-list> controlled-direction in

Als laatste moet je ook nog op de firewall instellen dat broadcast verkeer doorgelaten wordt. Op een CheckPoint firewall wordt dit standaard tegengehouden. Maar via de Gaia interface of via clish kun je wel doorlaten. Je kunt dit voor

3. IP broadcast helper op firewall instellen ³

Via de Gaia WebGui kun je dit instellen door de interface te kiezen waar je klanten vlans achterzitten. Bij UDP Port kies je voor 9 en als relay het ip-adres van de vlan interface

Categoriearchief: Checkpoint

Wake-On-LAN