Check Point Custom SmartReporting en Scheduling

Een Technote over hoe je standaardrapportages in SmartReporting kunt aanpassen en naar je eigen wensen kunt inrichten en dit eventueel automatisch kunt laten e-mailen.

Met Check Point SmartReporter kun je rapportages genereren om inzicht te krijgen in de datastromen, die door de Check Point gateway(s) worden verwerkt.

Hoe ga je te werk?

Inleiding Met Checkpoint SmartReporter kun je rapportages genereren om inzicht te krijgen in de datastromen, die door de Checkpoint gateway(s) worden verwerkt. Dit artikel geeft je inzicht in de mogelijkheden van SmartReporter en hoe je de standaard rapporten kunt aanpassen naar de eigen wensen. Het artikel gaat uit van Checkpoint GaIa Release R77.30 Checkpoint GaIa Release R77.30

Informatie Deze geeft je tips of toegevoegde informatie over het betreffende onderwerp.
Waarschuwing Belangrijke notitie over het betreffende onderwerp!
Wat is Check Point SmartReporter Checkpoint SmartReporter is een rapportage tool, die de Checkpoint logs consolideert tot op maat gemaakte rapportages voor inzicht in Netwerk, Firewall, Endpoint en de status van preventie bedreigingen, zoals in IPS en applicatie filtering.

SmartReporter consolideert de logs uit de logbestanden, die je ook gebruikt wanneer je de Smartview Tracker gebruikt. Door middel van consolidatie regels worden op het moment van een event, de logs geconsolideerd en opgeslagen in de SmartReporter Database.

Houd er rekening mee dat SmartReporter alleen in staat is om data te representeren, die ook daadwerkelijk gelogd wordt. Firewall rules, die niet gemarkeerd staan om te loggen onder de kolom "Track" zullen dan ook niet worden gelogd in de SmartReporter Database. Van die potentiele data kan er dan ook, in dat geval geen rapportage worden gemaakt.
Firewall Rules Figuur 1: Een voorbeeld van een Firewall rule waarbij Rule 6 niet wordt gelogd en dus ook niet zichtbaar is in SmartReporter Consolidatie log rulebase Voordat we beginnen met het configureren van de rapportages, loont het om eerst de rulebase voor de logging te reviewen. Met deze rulebase bepaal je welke data er wel of niet in de SmartReporter Database gelogd gaat worden.
Informatie De rulebase is een datasource definitie voor alle rapporten. Op rapport niveau kan je verder deze data verder filteren.
Open SmartDashboard en open via het (file) menu de SmartReporter policy Window.
Deze kun je vinden onder File -> View -> Products -> SmartReporter Policy.
SmartReporter policy Window Figuur 2: Standaard wordt alles gelogd met uitzondering van de protocollen Bootp, Netbios zaken en DNS Je kunt de ruling aanpassen en dit naar eigen wens verder inregelen. Aannemende dat je bekend bent met Check Point als product, focus ik hier alleen even op de kolommen "Connection Status" en "Action".
Waarschuwing Mocht je hierin regels aanpassen dan is het zaak om eerst de policy te installeren voordat je verder gaat!
Rulebase kolom "Connection Status"
Onder de kolom "Connection Status" kun je aangeven onder welke omstandigheid er gelogd moet gaan worden.
Connection status opties Figuur 3: Connection status opties
De mogelijkheden:
ANY Log onder elke omstandigheid de data
APPROVED Log de data wanneer dit wordt toegelaten (eg Accept in FW bv)
BLOCKED Log de data wanneer dit wordt geblokkeerd (Drop of Reject in FW bv)
MESSAGES Log info berichten (Bv Systeem gerelateerde zaken, a Inform user of redirect events)
ALERTS Log de data wanneer de data een alert bevat (Alert onder de Track kolom in de FW policies bv)
Rulebase kolom "Action"
Onder de kolom Action kun je bepalen of de data uiteindelijk in de database gelogd moet gaan worden of dat deze genegeerd moet gaan worden.

Als je de optie kiest om de data te bewaren (store), dan kun je ook bepalen wat voor consolidatie je hierop wilt laten plaatsvinden. Klik hiervoor met je rechtermuisknop op de "store" icoon en selecteer "edit Properties" in het menu. Er verschijnt een dialoog met de volgend opties:
Store properties dialoog venster Figuur 4: Store properties dialoog venster As Is:
Zal bij elke event de data in de log pushen. Dit kan grote logs veroorzaken en is alleen aan te bevelen wanneer expliciet nodig !

Consolidate:
Dit zal een aantal Log events binnen het aangegeven tijdsbestek consolideren naar 1 event.
Een rapport maken Open SmartDashboard. Vandaar uit kunnen we dan de SmartReporter openen via het SmartConsole menu of met de keyboard short cut CTRL + SHIFT + R
Het SmartReporter dashboard zal openen en toont het volgende scherm
SmartReport scherm Figuur 5: SmartReport scherm

De SmartReporter heeft de volgende Interface features/lay-out

1) Onder het tabblad "Definitions" kun je de standaard en gebruikers rapporten vinden.
2) Onder het tabblad "Results" kun je een overzicht vinden van eerder gegeneerde rapporten.
3) Rapporten kunnen automatisch gegenereerd worden en eventueel worden verstuurd. Het overzicht van deze schedules kun je vinden onder het tabje "Schedules"
4) Onder de tab "Consolidation" kun je de managementserver(s) vinden, van waaruit de logs worden geconsolideerd.
5) De tab "Database Maintenance" kun je gebruiken voor het beheer van de SmartReporter Database.
6) De "Activity Queue" tab geeft de huidige actieve rapport jobs weer.
7) Onder de tab "Activity log" kun je de logs terug vinden van de SmartReporter.
8) De rapport tree is opgedeeld in twee delen. Je eigen aangepaste rapporten.

Deze worden per gebruiker opgeslagen
Een Rapport (Definitie) maken Laten we eens beginnen met een simpel rapport dat ons het geblokkeerde verkeer laat zien, vanuit het interne netwerk. Onder de "Predefined" tree vindt je onder de folder "Cross Blade Security" het rapport "Blocked Traffic". Dat gaan we als template gebruiken.

We willen graag dat de wijzigingen die we aanbrengen worden bewaard en dus maken we een eigen kopie aan van het rapport. Dit doe je door het rapport me je rechtermuisknop aan te klikken en de menu optie "Save Report As" te selecteren. Geef een locatie op voor het rapport (in het voorbeeld slaan we het rapport op onder Custom Reports). Geef het rapport een zinnige naam (My Blocked Traffic) en deze kun je dan later terugvinden onder de tree Custom -> Custom Reports.
Save To Custom report dialoog Save To Custom report dialoog Figuur 5/6: Save To Custom report dialoog Selecteer het net bewaarde rapport onder Custom -> Custom reports
In de Detail pane wordt het rapport geladen waar je dan ook diverse tabs ziet verschijnen.
My Blocked Traffic Report Content
Een rapport is opgedeeld in diverse Topsecties. Selecteer hier de secties die je graag wil zien. Als je niet weet welke sectie je wilt zien selecteer ze dan allemaal. Genereer een rapport eerst handmatig en review de output. Dan kun je altijd nog een sectie uitschakelen als deze geen relevante data heeft.

Period
Hier kunnen we selecteren over wat voor periode het rapport gemaakt moet worden. Het is raadzaam dat je dit gelijk houdt aan het interval, van wanneer je het rapport laat maken, zodat je op die manier ook tussen de rapporten kunt vergelijken.

Input
Hier kun je selecteren welke data sources er gebruikt moeten worden. Als er bv meerdere alleenstaande gateways draaien dan kun je daarvoor apart rapportages maken.

Filter
Hier gaat het interessant worden: we kunnen aangeven voor welke data we het rapport willen zien. We kunnen bijv. filteren op bepaalde Source netwerken, of filteren op een bepaalde service. In het voorbeeld heb ik de groep Interne netwerken geselecteerd, die alle interne netwerken bevat.
Filter selectie op basis van Source netwerken Figuur 7: Filter selectie op basis van Source netwerken Ook stellen we de filter optie "Action" in. Hier selecteren we de opties, die als resultaat hebben dat verkeer wordt geblokkeerd (Dit is de default voor dit rapport type!). Filter selectie op basis van het Action Filter Figuur 8: Filter selectie op basis van het Action Filter
Informatie Standaard worden alleen de meest gebruikte kolommen gedisplayd. Bij de drop down zoals onderstaand weergegeven kun je de optie "Show all filters" aanzetten om zo alle mogelijke filter opties weer te geven.

Show al filters
Schedule
Nadat je een rapport hebt aangemaakt en de juiste filters erop hebt gezet, kun je deze d.m.v. een schedule automatisch op gezette tijden laten aanmaken.
Informatie Het is raadzaam om de schedule interval gelijk te zetten aan de Period interval, zoals je die geselecteerd hebt onder de tab "Period" om een goed beeld te vormen van de data tussen de rapporten.
Output
Onder de tab Output kun je selecteren hoe het rapport aangemaakt dient te worden en waar dit rapport naar toe moet worden verzonden. Het is ook mogelijk om een rapport naar meerdere locaties te verzenden. Dit is bijv. handig als je het rapport in je mailbox wilt hebben maar het ook graag in een archief wilt hebben voor naslag. Je zou dus het rapport kunnen e-mailen en kunnen bewaren op een ftp en/of een weblocatie.
Referenties SmartReporter R77 Versions Administration Guide:
https://sc1.checkpoint.com/documents/R77/CP_R77_SmartReporter_WebAdminGuide/html_frameset.htm?topic=documents/R77/CP_R77_SmartReporter_WebAdminGuide/5863

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98