收集 Forcepoint DLP 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Forcepoint DLP 日志注入到 Google Security Operations。

Forcepoint DLP(数据泄露防护)是一种数据保护解决方案,可识别、监控和保护企业环境中的敏感数据。它通过内容感知型政策和机器学习技术,检测并阻止通过电子邮件、网络、端点和云应用进行的未经授权的数据传输。解析器从 Forcepoint DLP CEF 格式的日志中提取字段。然后,它会将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows Server 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
  • 对 Forcepoint Security Manager Web 控制台的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安装完成。

  4. 运行以下命令来验证安装:

    sc query observiq-otel-collector

该服务应显示为 RUNNING

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 等待安装完成。

  4. 运行以下命令来验证安装:

    sudo systemctl status observiq-otel-collector

该服务应显示为有效(正在运行)

其他安装资源

如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

  • Linux

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

  • config.yaml 的全部内容替换为以下配置:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

配置参数

  • 替换以下占位符:

    • 接收器配置

      • tcplog:使用 udplog 表示 UDP syslog,使用 tcplog 表示 TCP syslog
      • 0.0.0.0:要监听的 IP 地址(0.0.0.0 表示监听所有接口)
      • 514:要监听的端口号(标准 syslog 端口)

    • 导出器配置

      • creds_file_path:提取身份验证文件的完整路径:
        • Linux/etc/bindplane-agent/ingestion-auth.json
        • WindowsC:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 ID
      • endpoint:区域端点网址:
        • 美国malachiteingestion-pa.googleapis.com
        • 欧洲europe-malachiteingestion-pa.googleapis.com
        • 亚洲asia-southeast1-malachiteingestion-pa.googleapis.com
        • 如需查看完整列表,请参阅区域级端点
      • log_type:日志类型,与在 Chronicle 中显示的完全一致 (FORCEPOINT_DLP)

保存配置文件

  • 修改后,保存文件:
    • Linux:依次按 Ctrl+OEnterCtrl+X
    • Windows:依次点击文件 > 保存

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart observiq-otel-collector

    1. 验证服务是否正在运行:

        sudo systemctl status observiq-otel-collector

    2. 检查日志是否存在错误:

        sudo journalctl -u observiq-otel-collector -f

  • 如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:

    • 以管理员身份运行命令提示符或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 服务控制台:

      1. Win+R,输入 services.msc,然后按 Enter 键。
      2. 找到 observIQ OpenTelemetry 收集器

      3. 右键点击并选择重新启动

      4. 验证服务是否正在运行:

        sc query observiq-otel-collector

      5. 检查日志是否存在错误:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

配置 Forcepoint DLP syslog 转发

  1. 登录 Forcepoint Security Manager Web 控制台。
  2. 依次前往设置 > 常规 > SIEM 集成
  3. 选择启用 SIEM 集成
  4. 提供以下配置详细信息:
    • Syslog 服务器 IP 地址:输入 Bindplane 代理主机 IP 地址。
    • 端口:输入 514
    • 协议:选择 TCP
    • 格式:选择 CEF(通用事件格式)。
    • 已启用 TLS:取消选中(除非使用 TLS)。
  5. 事件数据部分,选择要包含在 syslog 消息中的数据:
    • 采取的行动
    • 严重级别
    • 政策名称
    • 来源信息
    • 目的地信息
    • 内容详情
  6. 点击确定进行保存。
  7. 依次前往主菜单 > 政策管理 > DLP 政策
  8. 对于应转发事件的每项政策,请验证是否已启用 syslog 通知:
    1. 选择相应政策。
    2. 前往行动方案标签页。
    3. 验证行动方案是否包含发送到 SIEM
  9. 点击部署以应用政策更改。
  10. 通过检查 Bindplane 代理日志,验证是否正在发送 syslog 消息。

UDM 映射表

日志字段 UDM 映射 逻辑
act security_result.description 如果 actionPerformed 为空,则将 act 的值分配给 security_result.description。
actionID metadata.product_log_id actionID 的值会分配给 metadata.product_log_id。
actionPerformed security_result.description 将 actionPerformed 的值分配给 security_result.description。
管理员 principal.user.userid 管理员的值会分配给 principal.user.userid。
analyzedBy additional.fields.key 字符串“analyzedBy”已分配给 additional.fields.key。
analyzedBy additional.fields.value.string_value analyzedBy 的值会分配给 additional.fields.value.string_value。
security_result.category_details cat 的值会合并到 security_result.category_details 字段中,并以列表形式呈现。
destinationHosts target.hostname destinationHosts 的值会分配给 target.hostname。
destinationHosts target.asset.hostname destinationHosts 的值会分配给 target.asset.hostname。
详细信息 security_result.description 如果 actionPerformed 和 act 均为空,则将详细信息的值分配给 security_result.description。
duser target.user.userid duser 的值用于填充 target.user.userid。以“;”分隔的多个值会拆分并分配为单独的电子邮件地址(如果它们与电子邮件正则表达式匹配),否则会被视为用户 ID。
eventId metadata.product_log_id 如果 actionID 为空,则将 eventId 的值分配给 metadata.product_log_id。
fname target.file.full_path fname 的值会分配给 target.file.full_path。
logTime metadata.event_timestamp 系统会解析 logTime 的值,并使用该值填充 metadata.event_timestamp。
loginName principal.user.user_display_name loginName 的值会分配给 principal.user.user_display_name。
msg metadata.description msg 的值已分配给 metadata.description。
productVersion additional.fields.key 字符串“productVersion”已分配给 additional.fields.key。
productVersion additional.fields.value.string_value productVersion 的值会分配给 additional.fields.value.string_value。
角色 principal.user.attribute.roles.name 角色的值会分配给 principal.user.attribute.roles.name。
severityType security_result.severity severityType 的值会映射到 security_result.severity。“high”映射到“HIGH”,“med”映射到“MEDIUM”,“low”映射到“LOW”(不区分大小写)。
sourceHost principal.hostname sourceHost 的值会分配给 principal.hostname。
sourceHost principal.asset.hostname sourceHost 的值已分配给 principal.asset.hostname。
sourceIp principal.ip sourceIp 的值会添加到 principal.ip 字段。
sourceIp principal.asset.ip sourceIp 的值会添加到 principal.asset.ip 字段中。
sourceServiceName principal.application sourceServiceName 的值会分配给 principal.application。
suser principal.user.userid 如果管理员为空,则将 suser 的值分配给 principal.user.userid。
时间戳 metadata.event_timestamp 时间戳的值用于填充 metadata.event_timestamp。
主题 security_result.rule_name 移除英文逗号后,主题的值会分配给 security_result.rule_name。硬编码为“FORCEPOINT_DLP”。硬编码为“Forcepoint”。从 CEF 消息中提取。可以是“Forcepoint DLP”或“Forcepoint DLP Audit”。从 CEF 消息中提取。device_event_class_id 和 event_name 的串联,格式为“[device_event_class_id] - event_name”。初始化为“GENERIC_EVENT”。如果 is_principal_user_present 为“true”,则更改为“USER_UNCATEGORIZED”。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。