Een klant wilde gebruik gaan maken van Microsoft Defender for Cloud Apps (eerder bekend als Microsoft Cloud App Security en daarvoor moest ervoor gezorgd worden dat de logfiles naar Microsoft gestuurd worden. Na heel veel lezen en veel trial-and-error heb ik het eindelijk werkend gekregen.
We gingen in eerste instantie ervan uit dat we dit in het format Syslog konden versturen, maar dit werkte bij ons niet.
Dit stappenplan gaat voor het grootste gedeelte over de configuratie van de Checkpoint firewall en niet over de Microsoft Defender for Cloud Apps gedeelte. Ik heb geen toegang tot de Azure omgeving van de klant, dus kan dit niet visueel ondersteunen of tot in detail uitleggen. Sowieso zal ik ook links neerzetten voor meer gedetailleerde informatie.
Stap 1.
Als eerste heb ik een firewall rule aangemaakt, zodat de logfiles ook echt doorgelaten worden
Hier staat nog wel syslog bij, maar dit is in principe niet nodig omdat de bestanden over https worden verstuurd.
Stap 2.
Het aanmaken van een Log Exporter rule op de Checkpoint Management Server is vooral belangrijk omdat je hier aangeeft in welk formaat je de logs wil versturen naar de Microsoft Log Collector. In deze link staat een heel uitgebreide informatie over wat je allemaal kunt instellen, wij hebben gekozen om alles te versturen naar de Log Collector. Daarvoor hebben we onderstaand commando gebruikt:cp_log_export add name FW3-LOG target-server 20.71.xx.xx target-port 443 protocol tcp format cef
Met het commando cp_log_export show
kun je je instellingen controleren
Dit maakt de log export meteen actief en worden de logfiles over https naar het opgegeven ip-adres gestuurd.
Ik had hier eerst als format Syslog staan en dit werkte niet goed samen met de Log Collector en de MDCA samen. Nadat we dit hadden aangepast naar het CEF formaat en ook nog de instellingen aan de Azure kant hadden veranderd naar CEF en de dockerinstance van de Log Collector hadden veranderd, zagen we alle relevante informatie binnenkomen, zoals welke cloudapps, (source) ip-adressen gebruikt worden. Dit is de informatie die mijn klant wil zien en die is dus blij.
Stap 3.
In Azure moet je natuurlijk ook een configuratie opgeven. Ik heb helaas geen toegang tot de klantomgeving in Azure, dus kan alleen zeggen dat je hier (Microsoft) meer informatie kunt vinden voor het inrichten van de Azure kant.
Wat je zeker nodig hebt is een Log Collector, daar stuur je de informatie welke komt van de Checkpoint door naar de Microsoft Defender for Cloud Apps omgeving van je bedrijf of klant