Recopila registros de la DLP de Fortra Digital Guardian (antes DLP de Digital Guardian)
En este documento, se explica cómo transferir registros de la DLP de Fortra Digital Guardian (antes conocida como DLP de Digital Guardian) a Google Security Operations con Bindplane.
Fortra Digital Guardian DLP es una plataforma de prevención de pérdida de datos que supervisa, detecta y evita las transferencias de datos no autorizadas en extremos, redes y aplicaciones en la nube. La plataforma proporciona visibilidad del movimiento de datos sensibles a través de controles basados en políticas, inspección de contenido y clasificación contextual, lo que ayuda a las organizaciones a proteger la propiedad intelectual y cumplir con los requisitos reglamentarios.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Es una instancia de Google SecOps.
- Un host que ejecute Windows Server 2016 o una versión posterior, o un host de Linux con
systemd. - Conectividad de red entre el agente de Bindplane y el DLP de Fortra Digital Guardian
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
- Acceso con privilegios a la consola de administración de Fortra Digital Guardian
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
- Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el comando siguiente:
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quietEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sc query observiq-otel-collector
El servicio debería mostrarse como RUNNING.
Instalación en Linux
- Abre una terminal con privilegios de root o sudo.
Ejecuta el comando siguiente:
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.shEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sudo systemctl status observiq-otel-collector
El servicio debería mostrarse como activo (en ejecución).
Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps
Ubica el archivo de configuración
- Linux:
sudo systemctl status observiq-otel-collector - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
Edita el archivo de configuración
Reemplaza todo el contenido de
config.yamlcon la siguiente configuración:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/dg_dlp: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: DIGITALGUARDIAN_DLP raw_log_field: body ingestion_labels: env: production service: pipelines: logs/digitalguardian_dlp: receivers: - tcplog exporters: - chronicle/dg_dlp
Parámetros de configuración
Reemplaza los marcadores de posición que se indican más abajo:
tcplog: Receptor de syslog TCP. Se recomienda el uso de TCP para Fortra Digital Guardian DLP para evitar el truncamiento de eventos que superen los 1,024 bytes.creds_file_path: Es la ruta de acceso completa al archivo de autenticación de la transferencia.<customer_id>: Es tu ID de cliente del paso anterior.endpoint: Es la URL de tu extremo regional (p.ej.,malachiteingestion-pa.googleapis.com).
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:
Ejecuta el comando siguiente:
sudo systemctl restart observiq-otel-collectorVerifica que el servicio esté en ejecución:
sudo systemctl status observiq-otel-collectorRevisa los registros en busca de errores:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:
Elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collector- Consola de Services:
- Presiona
Win+R, escribeservices.mscy presiona Intro. - Busca observIQ OpenTelemetry Collector.
- Haz clic con el botón derecho y selecciona Reiniciar.
- Presiona
Verifica que el servicio esté en ejecución:
sc query observiq-otel-collectorRevisa los registros en busca de errores:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configura la exportación de syslog de Fortra Digital Guardian
- Accede a la Consola de administración de Digital Guardian.
- Ve a Workspace > Exportación de datos > Crear exportación.
- Selecciona Alertas o Eventos como la fuente de datos.
- Selecciona Syslog como el tipo de exportación.
- En la lista Tipo, selecciona TCP.
- En el campo Servidor, ingresa la dirección IP del host del agente de Bindplane.
- En el campo Puerto, escribe
514. - Selecciona un nivel de gravedad y asegúrate de que esté seleccionada la casilla de verificación Is Active.
- Haz clic en Siguiente.
- Agrega todos los campos de Alerta y Evento necesarios para la exportación de datos.
- Para completar el asistente, prueba la consulta y haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| Versión del agente | observer.platform_version |
Se asigna directamente. |
| Aplicación | principal.process.command_line |
Se asigna si no está vacío. |
| Línea de comandos | target.process.command_line |
Se asigna directamente. |
| Nombre de la empresa | principal.user.company_name |
Se asigna directamente. |
| Nombre de la computadora | principal.hostname |
Se asigna directamente. |
| Nombre de host de DNS | target.asset.hostname |
Se asigna directamente. |
| Ruta de acceso al archivo de destino | target.file.full_path |
Se asigna directamente. |
| Remitente del mensaje de correo electrónico | network.email.from |
Se asigna si no está vacío. |
| Asunto del correo electrónico | network.email.subject |
Se asigna si Sender no está vacío. |
| Fecha y hora del evento | metadata.event_timestamp |
Se convirtió al formato de marca de tiempo. |
| Dirección MAC | target.mac |
Se asigna si no está vacío. |
| Hash MD5 | target.process.file.md5 |
Se asigna y se convierte a minúsculas. |
| Dirección de la red | network.direction |
Se asigna a INBOUND o OUTBOUND. |
| Ruta de procesamiento | target.process.file.full_path |
Se asigna directamente. |
| Hash SHA256 | target.process.file.sha256 |
Se asigna y se convierte a minúsculas. |
| Ruta de URL | target.url |
Se asigna directamente. |
| Usuario | principal.user.userid |
Se asigna directamente. |
| Se bloqueó el detalle | security_result.action |
BLOQUEAR si la respuesta es sí y PERMITIR si la respuesta es no. |
| N/A | metadata.log_type |
Se define en DIGITALGUARDIAN_DLP. |
| N/A | metadata.vendor_name |
Se define en DigitalGuardian. |
Registro de cambios
Consulta el registro de cambios de este analizador
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.