如何控制/检查 CheckPoint 规则变化(以及其他系统事件)

如何控制/检查 CheckPoint 规则变化(以及其他系统事件)

我需要检查/控制许多 CheckPoint FW1 上的所有系统事件 - 不要误解 - 不是规则触发,而是管理员登录、规则更改等事件。

我发现我可以使用两种方法导出日志:

  1. 抓取日志
  2. 使用重定向的特殊脚本 检查点日志条目到系统日志FW1-伐木机

但我不清楚这些日志是否也包含我需要的信息(管理员登录、规则更改)?如果是,是否可以过滤事件?

我还认为,如果系统基于 *nix 平台,那么它一定是一个策略 - 使用基于系统的功能来做我想做的事情。不幸的是,我不知道在哪里“挖掘”。也许你知道?

更新:新信息“FW-1 可以通过 Unixlogger命令将其日志传送到 syslog,并且有第三方日志读取实用程序”

因此,主要问题是如何以最佳方式完成我的任务?有人已经解决了这个问题吗?

PS:我是 CheckPoint 的新用户,所以所有信息对我都很有用。谢谢。

答案1

Checkpoint 有一个用于此目的的附加组件。

http://www.checkpoint.com/products/softwareblades/smartworkflow.html

答案2

我刚刚知道我们在这里使用的一个非常酷的工具。

它被称为 Tufin SecureTrack: http://tufin.com/products_securetrack.php

它非常非常好,可以完全过滤和捕获事件,您可以报告更改或管理员使用情况。它通过 OpSec Api 安全地从数据库读取输入。

该产品最大的缺点是它不是免费的 :) 但你可以试用大约 30 天。试试看吧。

否则,您可以寻找从 OpSec Api 中获取的免费内容 - 它是一个允许软件从检查点数据库读取和写入的 Api!

我没有好的免费产品可以推荐给你。不过你可以看看!

我希望这对你有一点帮助。

相关内容