Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fortra Digital Guardian DLP-Logs (ehemals Digital Guardian DLP) erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Fortra Digital Guardian DLP-Logs (ehemals Digital Guardian DLP) mit Bindplane in Google Security Operations aufnehmen.

Fortra Digital Guardian DLP ist eine Plattform zum Schutz vor Datenverlust, mit der unbefugte Datenübertragungen über Endpunkte, Netzwerke und Cloud-Anwendungen hinweg überwacht, erkannt und verhindert werden. Die Plattform bietet Einblick in die Bewegung sensibler Daten durch richtlinienbasierte Kontrollen, Inhaltsprüfung und kontextbezogene Klassifizierung. So können Unternehmen geistiges Eigentum schützen und gesetzliche Anforderungen erfüllen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz.
Ein Host mit Windows Server 2016 oder höher oder ein Linux-Host mit systemd.
Netzwerkverbindung zwischen dem Bindplane-Agent und Fortra Digital Guardian DLP.
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Fortra Digital Guardian Management Console.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root - oder Sudo -Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als active (running) angezeigt werden.

Bindplane-Agent so konfigurieren, dass Syslog aufgenommen und an Google SecOps gesendet wird

Konfigurationsdatei suchen

Linux: sudo systemctl status observiq-otel-collector
Windows: C:\Program Files\observIQ OpenTelemetry Collector\config.yaml

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
tcplog:
    listen_address: "0.0.0.0:514"

exporters:
chronicle/dg_dlp:
    compression: gzip
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    customer_id: '<customer_id>'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: DIGITALGUARDIAN_DLP
    raw_log_field: body
    ingestion_labels:
    env: production

service:
pipelines:
    logs/digitalguardian_dlp:
    receivers:
        - tcplog
    exporters:
        - chronicle/dg_dlp

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

tcplog: TCP-Syslog-Empfänger. TCP wird für Fortra Digital Guardian DLP empfohlen, um das Abschneiden von Ereignissen zu verhindern, die 1024 Byte überschreiten.
creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme.
<customer_id>: Ihre Kundennummer aus dem vorherigen Schritt.
endpoint: URL Ihres regionalen Endpunkts (z.B. malachiteingestion-pa.googleapis.com).

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:

Führen Sie dazu diesen Befehl aus:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Prüfen Sie die Logs auf Fehler:

sudo journalctl -u observiq-otel-collector -f

So starten Sie den Bindplane-Agent unter Windows neu:

Wählen Sie eine der folgenden Optionen aus:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Prüfen Sie die Logs auf Fehler:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Export für Fortra Digital Guardian konfigurieren

Melden Sie sich in der Digital Guardian Management Console an.
Rufen Sie Workspace > Data Export > Create Export auf.
Wählen Sie Alerts oder Events als Datenquelle aus.
Wählen Sie Syslog als Exporttyp aus.
Wählen Sie in der Liste Type die Option TCP aus.
Geben Sie im Feld Server die IP-Adresse des Hosts des Bindplane-Agents ein.
Geben Sie im Feld Port die Zahl 514 ein.
Wählen Sie eine Prioritätsstufe aus und prüfen Sie, ob das Kästchen Is Active (Aktiv) ausgewählt ist.
Klicken Sie auf Next (Weiter).
Fügen Sie für den Datenexport All (Alle) Warnungs- und Ereignisfelder hinzu.
Schließen Sie den Assistenten ab, indem Sie die Abfrage testen und auf Save (Speichern) klicken.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
KI-Agent-Version	`observer.platform_version`	Direkt zugeordnet.
Anwendung	`principal.process.command_line`	Zuordnung, wenn nicht leer.
Befehlszeile	`target.process.command_line`	Direkt zugeordnet.
Name des Unternehmens	`principal.user.company_name`	Direkt zugeordnet.
Computername	`principal.hostname`	Direkt zugeordnet.
DNS-Hostname	`target.asset.hostname`	Direkt zugeordnet.
Zielpfad der Datei	`target.file.full_path`	Direkt zugeordnet.
Absender der E-Mail	`network.email.from`	Zuordnung, wenn nicht leer.
E-Mail-Betreff	`network.email.subject`	Zuordnung, wenn der Absender nicht leer ist.
Ereigniszeit	`metadata.event_timestamp`	In Zeitstempelformat konvertiert.
MAC-Adresse	`target.mac`	Zuordnung, wenn nicht leer.
MD5-Hash	`target.process.file.md5`	In Kleinbuchstaben umgewandelt und zugeordnet.
Netzwerkrichtung	`network.direction`	Zuordnung zu INBOUND oder OUTBOUND.
Prozesspfad	`target.process.file.full_path`	Direkt zugeordnet.
SHA256-Hash	`target.process.file.sha256`	In Kleinbuchstaben umgewandelt und zugeordnet.
URL-Pfad	`target.url`	Direkt zugeordnet.
Nutzer	`principal.user.userid`	Direkt zugeordnet.
Wurde Detail blockiert?	`security_result.action`	BLOCK bei „Ja“, ALLOW bei „Nein“.
–	`metadata.log_type`	Auf `DIGITALGUARDIAN_DLP` festgelegt.
–	`metadata.vendor_name`	Auf `DigitalGuardian` festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten