Este documento tem como objetivo fornecer um guia para a instalação, configuração e coleta de logs do checkpoint Harmony(EDR).
O Harmony possui duas maneiras de enviar os logs, através do Export logs ou do Event forwarding, dependendo da necessidade pode-se optar por uma das duas opções.
Este recurso de coleta é a maneira mais simples, não é obrigatório o uso de certificado TLS, basta apenas realizar as configurações conforme o procedimento seguinte:
É recomendado avaliar os recursos disponíveis, tendo em vista que a coleta via Export logs pode ter algumas limitações para determinados tipos de logs.
Já o Event forwarding é a maneira mais avançada e segura para a coleta, este conector requer um certificado TLS. Para configurar a coleta através do Event forwarding executar o procedimento seguinte:
Ao optar pelo uso do event forwarding é possível usar um certificado auto assinado, segue o resumo:
No logstash input da pipeline ficará assim:
input {
tcp {
port => 5045
ssl_enable => true
ssl_verify => true
ssl_cert => "/usr/share/logstash/pipelines/HIN-SERVER.crt"
ssl_key => "/usr/share/logstash/pipelines/HIN-SERVER.key"
ssl_certificate_authorities => ["/usr/share/logstash/pipelines/HARMONY.crt","/usr/share/logstash/pipelines/CA.crt"]
}
}