Mengumpulkan log Forcepoint DLP
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Forcepoint DLP ke Google Security Operations menggunakan Bindplane.
Forcepoint DLP (Pencegahan Kebocoran Data) adalah solusi perlindungan data yang mengidentifikasi, memantau, dan melindungi data sensitif di seluruh lingkungan perusahaan. DLP mendeteksi dan mencegah transfer data yang tidak sah melalui email, web, endpoint, dan aplikasi cloud menggunakan kebijakan yang memahami konten dan machine learning. Parser mengekstrak kolom dari log yang diformat CEF Forcepoint DLP. Kemudian, nilai ini dipetakan ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol web Forcepoint Security Manager
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collector
Layanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collector
Layanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'FORCEPOINT_DLP' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
tcplog: Gunakanudploguntuk syslog UDP atautcploguntuk syslog TCP0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0untuk mendengarkan semua antarmuka)514: Nomor port yang akan diproses (port syslog standar)
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelangganendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
log_type: Jenis log persis seperti yang muncul di Chronicle (FORCEPOINT_DLP)
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog Forcepoint DLP
- Login ke konsol web Forcepoint Security Manager.
- Buka Setelan > Umum > Integrasi SIEM.
- Pilih Aktifkan integrasi SIEM.
- Berikan detail konfigurasi berikut:
- Alamat IP Server Syslog: Masukkan alamat IP host agen Bindplane.
- Port: Masukkan
514. - Protocol: Pilih TCP.
- Format: Pilih CEF (Common Event Format).
- TLS Diaktifkan: Hapus centang (kecuali jika menggunakan TLS).
- Di bagian Data Insiden, pilih data yang akan disertakan dalam pesan syslog:
- Tindakan yang diambil
- Keparahan
- Nama kebijakan
- Informasi sumber
- Informasi tujuan
- Detail konten
- Klik Oke untuk menyimpan.
- Buka Main > Policy Management > DLP Policies.
- Untuk setiap kebijakan yang harus meneruskan peristiwa, pastikan notifikasi syslog diaktifkan:
- Pilih kebijakan.
- Buka tab Rencana Tindakan.
- Pastikan rencana tindakan mencakup Kirim ke SIEM.
- Klik Deploy untuk menerapkan perubahan kebijakan.
- Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| act | security_result.description | Jika actionPerformed kosong, nilai act akan ditetapkan ke security_result.description. |
| actionID | metadata.product_log_id | Nilai actionID ditetapkan ke metadata.product_log_id. |
| actionPerformed | security_result.description | Nilai actionPerformed ditetapkan ke security_result.description. |
| administrator | principal.user.userid | Nilai administrator ditetapkan ke principal.user.userid. |
| analyzedBy | additional.fields.key | String "analyzedBy" ditetapkan ke additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | Nilai analyzedBy ditetapkan ke additional.fields.value.string_value. |
| cat | security_result.category_details | Nilai cat digabungkan ke dalam kolom security_result.category_details sebagai daftar. |
| destinationHosts | target.hostname | Nilai destinationHosts ditetapkan ke target.hostname. |
| destinationHosts | target.asset.hostname | Nilai destinationHosts ditetapkan ke target.asset.hostname. |
| detail | security_result.description | Jika actionPerformed dan act kosong, nilai details akan ditetapkan ke security_result.description. |
| duser | target.user.userid | Nilai duser digunakan untuk mengisi target.user.userid. Beberapa nilai yang dipisahkan oleh "; " akan dibagi dan ditetapkan sebagai alamat email individual jika cocok dengan regex email, atau akan diperlakukan sebagai ID pengguna. |
| eventId | metadata.product_log_id | Jika actionID kosong, nilai eventId akan ditetapkan ke metadata.product_log_id. |
| fname | target.file.full_path | Nilai fname ditetapkan ke target.file.full_path. |
| logTime | metadata.event_timestamp | Nilai logTime diuraikan dan digunakan untuk mengisi metadata.event_timestamp. |
| loginName | principal.user.user_display_name | Nilai loginName ditetapkan ke principal.user.user_display_name. |
| msg | metadata.description | Nilai msg ditetapkan ke metadata.description. |
| productVersion | additional.fields.key | String "productVersion" ditetapkan ke additional.fields.key. |
| productVersion | additional.fields.value.string_value | Nilai productVersion ditetapkan ke additional.fields.value.string_value. |
| peran | principal.user.attribute.roles.name | Nilai peran ditetapkan ke principal.user.attribute.roles.name. |
| severityType | security_result.severity | Nilai severityType dipetakan ke security_result.severity. "high" dipetakan ke "HIGH", "med" dipetakan ke "MEDIUM", dan "low" dipetakan ke "LOW" (tidak peka huruf besar/kecil). |
| sourceHost | principal.hostname | Nilai sourceHost ditetapkan ke principal.hostname. |
| sourceHost | principal.asset.hostname | Nilai sourceHost ditetapkan ke principal.asset.hostname. |
| sourceIp | principal.ip | Nilai sourceIp ditambahkan ke kolom principal.ip. |
| sourceIp | principal.asset.ip | Nilai sourceIp ditambahkan ke kolom principal.asset.ip. |
| sourceServiceName | principal.application | Nilai sourceServiceName ditetapkan ke principal.application. |
| suser | principal.user.userid | Jika administrator kosong, nilai suser akan ditetapkan ke principal.user.userid. |
| timestamp | metadata.event_timestamp | Nilai stempel waktu digunakan untuk mengisi metadata.event_timestamp. |
| topic | security_result.rule_name | Nilai topik ditetapkan ke security_result.rule_name setelah koma dihapus. Dikodekan secara permanen ke "FORCEPOINT_DLP". Dikodekan secara permanen ke "Forcepoint". Diekstrak dari pesan CEF. Dapat berupa "Forcepoint DLP" atau "Forcepoint DLP Audit". Diekstrak dari pesan CEF. Gabungan device_event_class_id dan event_name, diformat sebagai "[device_event_class_id] - event_name". Diinisialisasi ke "GENERIC_EVENT". Diubah menjadi "USER_UNCATEGORIZED" jika is_principal_user_present adalah "true". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.