收集 Fortra Digital Guardian DLP (舊稱 Digital Guardian DLP) 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Fortra Digital Guardian DLP (舊稱 Digital Guardian DLP) 記錄檔擷取至 Google Security Operations。

Fortra Digital Guardian DLP 是一種資料遺失防護平台,可監控、偵測及防止未經授權的資料在端點、網路和雲端應用程式之間傳輸。這個平台提供以政策為準的控制選項、內容檢查和情境分類,可讓機構掌握機密資料的流向,進而保護智慧財產並遵守法規要求。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • 執行 Windows Server 2016 以上版本的主機,或具備 systemd 的 Linux 主機。
  • Bindplane 代理程式與 Fortra Digital Guardian DLP 之間的網路連線。
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟。
  • 具備 Fortra Digital Guardian 管理主控台的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案
  4. 將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

  3. 等待安裝完成。

  4. 執行下列指令,確認安裝成功:

    sc query observiq-otel-collector

服務應顯示為RUNNING

Linux 安裝

  1. 開啟具備 rootsudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

  3. 等待安裝完成。

  4. 執行下列指令,確認安裝成功:

    sudo systemctl status observiq-otel-collector

服務應顯示為有效 (執行中)

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

  • Linuxsudo systemctl status observiq-otel-collector
  • WindowsC:\Program Files\observIQ OpenTelemetry Collector\config.yaml

編輯設定檔

  • config.yaml 的所有內容替換為下列設定:

    receivers:
tcplog:
    listen_address: "0.0.0.0:514"

exporters:
chronicle/dg_dlp:
    compression: gzip
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    customer_id: '<customer_id>'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: DIGITALGUARDIAN_DLP
    raw_log_field: body
    ingestion_labels:
    env: production

service:
pipelines:
    logs/digitalguardian_dlp:
    receivers:
        - tcplog
    exporters:
        - chronicle/dg_dlp

設定參數

替換下列預留位置:

  • tcplog:TCP Syslog 接收器。建議使用 TCP 搭配 Fortra Digital Guardian DLP,以免超過 1024 位元組的事件遭到截斷。
  • creds_file_path:擷取驗證檔案的完整路徑。
  • <customer_id>:上一個步驟中的客戶 ID。
  • endpoint:區域端點網址 (例如 malachiteingestion-pa.googleapis.com)。

重新啟動 Bindplane 代理程式,以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式,請按照下列步驟操作:

  1. 執行下列指令:

    sudo systemctl restart observiq-otel-collector

  2. 確認服務正在執行:

    sudo systemctl status observiq-otel-collector

  3. 檢查記錄中是否有錯誤:

    sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式,請按照下列步驟操作:

  1. 您可以選擇下列其中一個選項:

    • 以管理員身分開啟命令提示字元或 PowerShell:
    net stop observiq-otel-collector && net start observiq-otel-collector
    • 服務控制台:
      1. 按下 Win+R,輸入 services.msc,然後按下 Enter 鍵。
      2. 找出 observIQ OpenTelemetry Collector
      3. 按一下滑鼠右鍵,然後選取「重新啟動」

  2. 確認服務正在執行:

    sc query observiq-otel-collector

  3. 檢查記錄中是否有錯誤:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

設定 Fortra Digital Guardian 系統記錄檔匯出功能

  1. 登入 Digital Guardian Management Console
  2. 依序前往「Workspace」>「資料匯出」>「建立匯出作業」
  3. 選取「快訊」或「事件」做為資料來源。
  4. 選取「Syslog」Syslog做為匯出類型。
  5. 從「類型」清單中選取「TCP」
  6. 在「伺服器」欄位中,輸入 Bindplane 代理程式主機的 IP 位址。
  7. 在「Port」(通訊埠) 欄位中輸入 514
  8. 選取嚴重性等級,並確認已勾選「是否啟用」核取方塊。
  9. 點選「下一步」
  10. 為資料匯出作業新增「所有」快訊和事件欄位。
  11. 測試查詢並按一下「儲存」,完成精靈。

UDM 對應表

記錄欄位 UDM 對應 邏輯
代理版本 observer.platform_version 直接對應。
應用程式 principal.process.command_line 如果不是空白,則會對應。
指令列 target.process.command_line 直接對應。
公司名稱 principal.user.company_name 直接對應。
電腦名稱 principal.hostname 直接對應。
DNS 主機名稱 target.asset.hostname 直接對應。
目的地檔案路徑 target.file.full_path 直接對應。
電子郵件寄件者 network.email.from 如果不是空白,則會對應。
電子郵件主旨 network.email.subject 如果「寄件者」不是空白,則會對應。
事件時間 metadata.event_timestamp 已轉換為時間戳記格式。
MAC 位址 target.mac 如果不是空白,則會對應。
MD5 雜湊 target.process.file.md5 轉換為小寫並對應。
網路方向 network.direction 對應至「INBOUND」(傳入) 或「OUTBOUND」(傳出)。
程序路徑 target.process.file.full_path 直接對應。
SHA256 雜湊 target.process.file.sha256 轉換為小寫並對應。
網址路徑 target.url 直接對應。
使用者 principal.user.userid 直接對應。
Was Detail Blocked security_result.action 如果為「是」,則封鎖;如果為「否」,則允許
不適用 metadata.log_type 設為 DIGITALGUARDIAN_DLP
不適用 metadata.vendor_name 設為 DigitalGuardian

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。