Catalog

Check Point Next-Generation Firewall

Check Point Next-Generation Firewall

Pack nameCheck Point Next-Generation Firewall
Version1.0.1
VendorCheck Point Software Technologies
CapabilitiesParser · Streaming Rules · Correlation Rules · Dashboard
CategoriesFirewall · Network · IPS · DLP · Web Security

Overview

Pack cung cấp khả năng giám sát toàn diện Check Point NGFW/UTM trên SecOps platform, bao gồm:

  • Parser — chuẩn hóa log Check Point (pipe-separated key:"value") sang ECS, hỗ trợ tất cả Software Blades
  • 7 streaming rules — phát hiện firewall deny, IPS attack, malware, C2 blocked, URL filtering, DLP exfiltration, VPN
  • 2 correlation rules — phát hiện inbound port scan và IPS attack campaign bền vững
  • 1 dashboard — 12 chart giám sát SOC tất cả security events

Yêu cầu trước khi cài đặt

Yêu cầuChi tiết
Check Point R80.10+Các Software Blade cần monitor phải được license và enabled
Log exporterCheck Point Log Exporter hoặc SmartConnector cấu hình forward JSON-wrapped
Tag log sourcevendor = checkpointservice = firewall
Software BladesBật logging: Firewall, IPS (SmartDefense), Anti-Virus, Anti-Bot, URL Filtering, DLP
Quyền platformRole Content Pack Manager

Định dạng log bắt buộc

{
  "message": "<pipe-separated key:\"value\" pairs — Check Point native format>",
  "timestamp": "2026-03-04T02:03:00.606Z",
  "vendor": "CheckPoint",
  "host": "gateway-hostname"
}

Parser đọc timestamp cho event time, vendor để identify Check Point, hostobserver.hostname, message → toàn bộ key:"value" pairs.

Ví dụ log hợp lệ

Firewall — Accept traffic:

{"@timestamp":"2026-03-04T02:03:00.606Z","message":"time=1741053776|action:\"Accept\"|conn_direction:\"Outgoing\"|ifdir:\"outbound\"|ifname:\"bond1.3211\"|origin:\"172.28.146.11\"|dst:\"172.23.5.2\"|product:\"VPN-1 & FireWall-1\"|proto:\"17\"|s_port:\"58084\"|service:\"161\"|src:\"172.23.16.92\"","timestamp":"2026-03-04T02:03:00.606Z","vendor":"CheckPoint","host":"172.28.146.11"}

Firewall — Drop traffic:

{"@timestamp":"2026-03-04T09:15:22.445Z","message":"time=1741079722|action:\"Drop\"|conn_direction:\"Incoming\"|ifdir:\"inbound\"|origin:\"192.168.100.1\"|dst:\"192.168.10.50\"|product:\"VPN-1 & FireWall-1\"|proto:\"6\"|s_port:\"44523\"|service:\"22\"|src:\"203.0.113.45\"","timestamp":"2026-03-04T09:15:22.445Z","vendor":"CheckPoint","host":"192.168.100.1"}

IPS — Attack Prevented (SmartDefense):

{"@timestamp":"2026-03-04T11:30:20.890Z","message":"time=1741087820|action:\"Prevent\"|product:\"SmartDefense\"|attack:\"SQL Injection\"|protection_name:\"SQL Injection Generic\"|severity:\"Critical\"|src:\"203.0.113.200\"|dst:\"192.168.50.100\"|service:\"80\"|proto:\"6\"","timestamp":"2026-03-04T11:30:20.890Z","vendor":"CheckPoint","host":"ips-sensor.company.com"}

Mỗi Software Blade tạo ra log với product: khác nhau: VPN-1 & FireWall-1, SmartDefense, Anti-Virus, Anti-Bot, URL Filtering, DLP.


Cài đặt

  1. Vào Marketplace → tìm "Check Point Security"Install
  2. Kiểm tra Parserscheckpoint-parser đang active
  3. Kiểm tra Detection Rules → filter tag CheckPoint → 9 rules đang enabled
  4. Mở DashboardsCheck Point Security Overview

Parser — Các trường ECS chính

ECS FieldNguồnMô tả
event.actionaction: keyallowed, denied, blocked, prevented
network.directionconn_direction: / ifdir:inbound / outbound
network.transportproto:tcp, udp, icmp
source.ip / source.portsrc: / s_port:IP và port nguồn
destination.ip / destination.portdst: / service:IP và port đích
observer.productproduct:Software Blade tạo log
threat.name / threat.typeattack: / protection_type:Tên và loại threat (IPS/AV/Anti-Bot)
url.domainhost: key trong messageDomain bị URL Filtering block
user.nameuser:Tên user (VPN/DLP)

Detection Rules

Streaming Rules (7 rules — real-time)

#RuleSeverityMô tả
1Check Point Firewall Traffic DeniedMediumKết nối bị firewall rule drop/reject — phát hiện unauthorized access và port probing
2Check Point IPS Attack PreventedHighIPS (SmartDefense) phát hiện và ngăn chặn attack signature — SQL injection, buffer overflow, exploit...
3Check Point Anti-Virus Malware DetectedHighAnti-Virus blade phát hiện malware trong file transfer hoặc web traffic
4Check Point Anti-Bot C2 BlockedCriticalAnti-Bot blade block kết nối C2 từ host bị nhiễm — chỉ báo botnet/malware đang active
5Check Point DLP Exfiltration PreventedHighDLP blade ngăn chặn data exfiltration — tài liệu mật, PII, credentials bị gửi ra ngoài
6Check Point URL Filtering BlockedMediumURL Filtering block truy cập web độc hại hoặc không phù hợp policy
7Check Point VPN Tunnel EstablishedLowVPN tunnel được thiết lập — giám sát kết nối remote access và site-to-site

Correlation Rules (2 rules — pattern)

#RuleSeverityMô tảNgưỡngLookback
8Check Point Inbound Port ScanHighHàng loạt kết nối inbound bị deny từ cùng IP — dấu hiệu nmap/masscan đang scan> 50 lần5 phút
9Check Point IPS High-Volume AttackHighNhiều IPS block liên tiếp từ cùng IP — attack campaign bền vững nhắm vào một target> 10 lần15 phút

Dashboard — Check Point Security Overview

#ChartLoạiMô tả
1Traffic Events TrendLINETrend security events theo thời gian
2Total Firewall EventsMETRICTổng số sự kiện firewall
3IPS Attacks BlockedMETRICTổng IPS attack bị ngăn chặn
4Malware DetectionsMETRICTổng malware phát hiện (AV + Anti-Bot)
5URL Filter BlocksMETRICTổng URL bị block
6Event Action DistributionPIEAllowed vs Denied vs Prevented
7Threat Events by Protection BladePIEPhân bố theo Software Blade
8Top Attack Source IPsBARIP tấn công nhiều nhất
9Top IPS SignaturesBARSignature IPS kích hoạt nhiều nhất
10Top Blocked URL DomainsBARDomain bị URL filter block nhiều nhất
11Recent IPS/Malware EventsTABLE20 sự kiện IPS/malware gần nhất
12Recent Firewall Denied TrafficTABLE20 kết nối bị block gần nhất

SOC Triage nhanh:

  1. Metrics 3–4 → IPS/Malware cao → đang bị tấn công chủ động
  2. Metric 4 (Anti-Bot) → C2 blocked → host nội bộ đã bị compromised
  3. Chart 8 → một IP chiếm đa số → targeted attacker hoặc scanner
  4. Table 11 → xác nhận loại tấn công, target host và signature

Troubleshooting

Triệu chứngNguyên nhânCách xử lý
Không có eventSai tag log sourceKiểm tra vendor = checkpointservice = firewall
Field trống (threat.name)Blade log không có attack: keyKiểm tra Software Blade đã enable logging
Chỉ thấy Firewall eventsSmartDefense/AV không gửi logKiểm tra cấu hình Log Exporter — enable tất cả blade log categories
vendor không phải CheckPointLog exporter config saiJSON envelope phải có "vendor": "CheckPoint" (chữ hoa C và P)
Parser không khớpParser bị tắtKiểm tra checkpoint-parser.yaml đang active trong Parsers

Checklist parser:

  • Tag vendor = checkpoint + service = firewall
  • JSON có đủ message, timestamp, vendor = "CheckPoint", host
  • Software Blades đã bật logging đầy đủ
  • checkpoint-parser.yaml đang active

Hỗ trợ

  • Lỗi platform: Mở ticket tại SecOps support portal
  • Góp ý pack: Dùng tính năng feedback trên trang Marketplace
  • Tuning rule: Slack #detection-engineering

Last updated: 2026-06-04 · Vendor: Check Point Software Technologies · Author: secops-team