Catalog
Check Point Next-Generation Firewall
Check Point Next-Generation Firewall
| Pack name | Check Point Next-Generation Firewall |
| Version | 1.0.1 |
| Vendor | Check Point Software Technologies |
| Capabilities | Parser · Streaming Rules · Correlation Rules · Dashboard |
| Categories | Firewall · Network · IPS · DLP · Web Security |
Overview
Pack cung cấp khả năng giám sát toàn diện Check Point NGFW/UTM trên SecOps platform, bao gồm:
- Parser — chuẩn hóa log Check Point (pipe-separated key:"value") sang ECS, hỗ trợ tất cả Software Blades
- 7 streaming rules — phát hiện firewall deny, IPS attack, malware, C2 blocked, URL filtering, DLP exfiltration, VPN
- 2 correlation rules — phát hiện inbound port scan và IPS attack campaign bền vững
- 1 dashboard — 12 chart giám sát SOC tất cả security events
Yêu cầu trước khi cài đặt
| Yêu cầu | Chi tiết |
|---|---|
| Check Point R80.10+ | Các Software Blade cần monitor phải được license và enabled |
| Log exporter | Check Point Log Exporter hoặc SmartConnector cấu hình forward JSON-wrapped |
| Tag log source | vendor = checkpoint và service = firewall |
| Software Blades | Bật logging: Firewall, IPS (SmartDefense), Anti-Virus, Anti-Bot, URL Filtering, DLP |
| Quyền platform | Role Content Pack Manager |
Định dạng log bắt buộc
{
"message": "<pipe-separated key:\"value\" pairs — Check Point native format>",
"timestamp": "2026-03-04T02:03:00.606Z",
"vendor": "CheckPoint",
"host": "gateway-hostname"
}
Parser đọc
timestampcho event time,vendorđể identify Check Point,host→observer.hostname,message→ toàn bộ key:"value" pairs.
Ví dụ log hợp lệ
Firewall — Accept traffic:
{"@timestamp":"2026-03-04T02:03:00.606Z","message":"time=1741053776|action:\"Accept\"|conn_direction:\"Outgoing\"|ifdir:\"outbound\"|ifname:\"bond1.3211\"|origin:\"172.28.146.11\"|dst:\"172.23.5.2\"|product:\"VPN-1 & FireWall-1\"|proto:\"17\"|s_port:\"58084\"|service:\"161\"|src:\"172.23.16.92\"","timestamp":"2026-03-04T02:03:00.606Z","vendor":"CheckPoint","host":"172.28.146.11"}
Firewall — Drop traffic:
{"@timestamp":"2026-03-04T09:15:22.445Z","message":"time=1741079722|action:\"Drop\"|conn_direction:\"Incoming\"|ifdir:\"inbound\"|origin:\"192.168.100.1\"|dst:\"192.168.10.50\"|product:\"VPN-1 & FireWall-1\"|proto:\"6\"|s_port:\"44523\"|service:\"22\"|src:\"203.0.113.45\"","timestamp":"2026-03-04T09:15:22.445Z","vendor":"CheckPoint","host":"192.168.100.1"}
IPS — Attack Prevented (SmartDefense):
{"@timestamp":"2026-03-04T11:30:20.890Z","message":"time=1741087820|action:\"Prevent\"|product:\"SmartDefense\"|attack:\"SQL Injection\"|protection_name:\"SQL Injection Generic\"|severity:\"Critical\"|src:\"203.0.113.200\"|dst:\"192.168.50.100\"|service:\"80\"|proto:\"6\"","timestamp":"2026-03-04T11:30:20.890Z","vendor":"CheckPoint","host":"ips-sensor.company.com"}
Mỗi Software Blade tạo ra log với
product:khác nhau:VPN-1 & FireWall-1,SmartDefense,Anti-Virus,Anti-Bot,URL Filtering,DLP.
Cài đặt
- Vào Marketplace → tìm "Check Point Security" → Install
- Kiểm tra Parsers →
checkpoint-parserđang active - Kiểm tra Detection Rules → filter tag CheckPoint → 9 rules đang enabled
- Mở Dashboards → Check Point Security Overview
Parser — Các trường ECS chính
| ECS Field | Nguồn | Mô tả |
|---|---|---|
event.action | action: key | allowed, denied, blocked, prevented |
network.direction | conn_direction: / ifdir: | inbound / outbound |
network.transport | proto: | tcp, udp, icmp |
source.ip / source.port | src: / s_port: | IP và port nguồn |
destination.ip / destination.port | dst: / service: | IP và port đích |
observer.product | product: | Software Blade tạo log |
threat.name / threat.type | attack: / protection_type: | Tên và loại threat (IPS/AV/Anti-Bot) |
url.domain | host: key trong message | Domain bị URL Filtering block |
user.name | user: | Tên user (VPN/DLP) |
Detection Rules
Streaming Rules (7 rules — real-time)
| # | Rule | Severity | Mô tả |
|---|---|---|---|
| 1 | Check Point Firewall Traffic Denied | Medium | Kết nối bị firewall rule drop/reject — phát hiện unauthorized access và port probing |
| 2 | Check Point IPS Attack Prevented | High | IPS (SmartDefense) phát hiện và ngăn chặn attack signature — SQL injection, buffer overflow, exploit... |
| 3 | Check Point Anti-Virus Malware Detected | High | Anti-Virus blade phát hiện malware trong file transfer hoặc web traffic |
| 4 | Check Point Anti-Bot C2 Blocked | Critical | Anti-Bot blade block kết nối C2 từ host bị nhiễm — chỉ báo botnet/malware đang active |
| 5 | Check Point DLP Exfiltration Prevented | High | DLP blade ngăn chặn data exfiltration — tài liệu mật, PII, credentials bị gửi ra ngoài |
| 6 | Check Point URL Filtering Blocked | Medium | URL Filtering block truy cập web độc hại hoặc không phù hợp policy |
| 7 | Check Point VPN Tunnel Established | Low | VPN tunnel được thiết lập — giám sát kết nối remote access và site-to-site |
Correlation Rules (2 rules — pattern)
| # | Rule | Severity | Mô tả | Ngưỡng | Lookback |
|---|---|---|---|---|---|
| 8 | Check Point Inbound Port Scan | High | Hàng loạt kết nối inbound bị deny từ cùng IP — dấu hiệu nmap/masscan đang scan | > 50 lần | 5 phút |
| 9 | Check Point IPS High-Volume Attack | High | Nhiều IPS block liên tiếp từ cùng IP — attack campaign bền vững nhắm vào một target | > 10 lần | 15 phút |
Dashboard — Check Point Security Overview
| # | Chart | Loại | Mô tả |
|---|---|---|---|
| 1 | Traffic Events Trend | LINE | Trend security events theo thời gian |
| 2 | Total Firewall Events | METRIC | Tổng số sự kiện firewall |
| 3 | IPS Attacks Blocked | METRIC | Tổng IPS attack bị ngăn chặn |
| 4 | Malware Detections | METRIC | Tổng malware phát hiện (AV + Anti-Bot) |
| 5 | URL Filter Blocks | METRIC | Tổng URL bị block |
| 6 | Event Action Distribution | PIE | Allowed vs Denied vs Prevented |
| 7 | Threat Events by Protection Blade | PIE | Phân bố theo Software Blade |
| 8 | Top Attack Source IPs | BAR | IP tấn công nhiều nhất |
| 9 | Top IPS Signatures | BAR | Signature IPS kích hoạt nhiều nhất |
| 10 | Top Blocked URL Domains | BAR | Domain bị URL filter block nhiều nhất |
| 11 | Recent IPS/Malware Events | TABLE | 20 sự kiện IPS/malware gần nhất |
| 12 | Recent Firewall Denied Traffic | TABLE | 20 kết nối bị block gần nhất |
SOC Triage nhanh:
- Metrics 3–4 → IPS/Malware cao → đang bị tấn công chủ động
- Metric 4 (Anti-Bot) → C2 blocked → host nội bộ đã bị compromised
- Chart 8 → một IP chiếm đa số → targeted attacker hoặc scanner
- Table 11 → xác nhận loại tấn công, target host và signature
Troubleshooting
| Triệu chứng | Nguyên nhân | Cách xử lý |
|---|---|---|
| Không có event | Sai tag log source | Kiểm tra vendor = checkpoint và service = firewall |
Field trống (threat.name) | Blade log không có attack: key | Kiểm tra Software Blade đã enable logging |
| Chỉ thấy Firewall events | SmartDefense/AV không gửi log | Kiểm tra cấu hình Log Exporter — enable tất cả blade log categories |
vendor không phải CheckPoint | Log exporter config sai | JSON envelope phải có "vendor": "CheckPoint" (chữ hoa C và P) |
| Parser không khớp | Parser bị tắt | Kiểm tra checkpoint-parser.yaml đang active trong Parsers |
Checklist parser:
- Tag
vendor = checkpoint+service = firewall - JSON có đủ
message,timestamp,vendor = "CheckPoint",host - Software Blades đã bật logging đầy đủ
-
checkpoint-parser.yamlđang active
Hỗ trợ
- Lỗi platform: Mở ticket tại SecOps support portal
- Góp ý pack: Dùng tính năng feedback trên trang Marketplace
- Tuning rule: Slack
#detection-engineering
Last updated: 2026-06-04 · Vendor: Check Point Software Technologies · Author: secops-team