收集 Forcepoint DLP 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Forcepoint DLP 記錄擷取至 Google Security Operations。

Forcepoint DLP (資料遺失防護) 是一種資料保護解決方案,可識別、監控及保護企業環境中的機密資料。這項服務會運用內容感知政策和機器學習技術,偵測並防止透過電子郵件、網站、端點和雲端應用程式進行未經授權的資料傳輸。剖析器會從 Forcepoint DLP CEF 格式的記錄檔中擷取欄位。然後將這些值對應至統合式資料模型 (UDM)。此外,也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows Server 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
  • Forcepoint Security Manager 網路主控台的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安裝完成。

  4. 執行下列指令來驗證安裝:

    sc query observiq-otel-collector

服務應顯示為「RUNNING」(執行中)

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 等待安裝完成。

  4. 執行下列指令來驗證安裝:

    sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)

其他安裝資源

如需其他安裝選項和疑難排解資訊,請參閱 Bindplane 代理程式安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

  • config.yaml 的所有內容替換為下列設定:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

  • 替換下列預留位置:

    • 接收器設定:

      • tcplog:使用 udplog 進行 UDP 系統記錄,或使用 tcplog 進行 TCP 系統記錄
      • 0.0.0.0:要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
      • 514:要接聽的通訊埠號碼 (標準系統記錄通訊埠)

    • 匯出工具設定:

      • creds_file_path:擷取驗證檔案的完整路徑:
        • Linux/etc/bindplane-agent/ingestion-auth.json
        • WindowsC:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID:從「取得客戶 ID」一節取得的客戶 ID
      • endpoint:區域端點網址:
        • 美國malachiteingestion-pa.googleapis.com
        • 歐洲europe-malachiteingestion-pa.googleapis.com
        • 亞洲asia-southeast1-malachiteingestion-pa.googleapis.com
        • 如需完整清單,請參閱「區域端點
      • log_type:記錄類型,與 Chronicle 中顯示的完全相同 (FORCEPOINT_DLP)

儲存設定檔

  • 編輯完成後,請儲存檔案:
    • Linux:依序按下 Ctrl+OEnterCtrl+X
    • Windows:依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart observiq-otel-collector

    1. 確認服務正在執行:

        sudo systemctl status observiq-otel-collector

    2. 檢查記錄中是否有錯誤:

        sudo journalctl -u observiq-otel-collector -f

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,請選擇下列任一做法:

    • 以管理員身分開啟命令提示字元或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 服務控制台:

      1. 按下 Win+R 鍵,輸入 services.msc,然後按下 Enter 鍵。
      2. 找出 observIQ OpenTelemetry Collector

      3. 按一下滑鼠右鍵,然後選取「重新啟動」

      4. 確認服務正在執行:

        sc query observiq-otel-collector

      5. 檢查記錄中是否有錯誤:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

設定 Forcepoint DLP 系統記錄轉送

  1. 登入 Forcepoint Security Manager 網頁控制台。
  2. 依序前往「設定」>「一般」>「SIEM 整合」
  3. 選取「啟用 SIEM 整合」
  4. 請提供下列設定詳細資料:
    • Syslog 伺服器 IP 位址:輸入 Bindplane 代理程式主機的 IP 位址。
    • 「Port」(通訊埠):輸入 514
    • 「通訊協定」:選取「TCP」
    • 格式:選取 CEF (通用事件格式)。
    • 已啟用 TLS:取消勾選 (除非使用 TLS)。
  5. 在「事件資料」部分,選取要納入系統記錄訊息的資料:
    • 所採取的行動
    • 嚴重性
    • 政策名稱
    • 來源資訊
    • 目的地資訊
    • 內容詳細資料
  6. 按一下「確定」即可儲存。
  7. 依序前往「Main」>「Policy Management」>「DLP Policies」
  8. 針對應轉送事件的每項政策,確認已啟用系統記錄通知:
    1. 選取政策。
    2. 前往「行動計畫」分頁。
    3. 確認行動計畫包含「傳送至 SIEM」
  9. 按一下「部署」,即可套用政策變更。
  10. 檢查 Bindplane 代理程式記錄,確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位 UDM 對應 邏輯
act security_result.description 如果 actionPerformed 為空,系統會將 act 的值指派給 security_result.description。
actionID metadata.product_log_id actionID 的值會指派給 metadata.product_log_id。
actionPerformed security_result.description actionPerformed 的值會指派給 security_result.description。
管理員 principal.user.userid 管理員的值會指派給 principal.user.userid。
analyzedBy additional.fields.key 字串「analyzedBy」會指派給 additional.fields.key。
analyzedBy additional.fields.value.string_value analyzedBy 的值會指派給 additional.fields.value.string_value。
cat security_result.category_details cat 的值會合併至 security_result.category_details 欄位,做為清單。
destinationHosts target.hostname destinationHosts 的值會指派給 target.hostname。
destinationHosts target.asset.hostname destinationHosts 的值會指派給 target.asset.hostname。
詳細資料 security_result.description 如果 actionPerformed 和 act 皆為空白,系統會將詳細資料的值指派給 security_result.description。
duser target.user.userid duser 的值會用於填入 target.user.userid。如果多個值以「;」分隔,且符合電子郵件的 regex,系統會將這些值拆開並指派為個別電子郵件地址,否則會視為使用者 ID。
eventId metadata.product_log_id 如果 actionID 為空,系統會將 eventId 的值指派給 metadata.product_log_id。
fname target.file.full_path fname 的值會指派給 target.file.full_path。
logTime metadata.event_timestamp 系統會剖析 logTime 的值,並用來填入 metadata.event_timestamp。
loginName principal.user.user_display_name loginName 的值會指派給 principal.user.user_display_name。
msg metadata.description msg 的值會指派給 metadata.description。
productVersion additional.fields.key 字串「productVersion」會指派給 additional.fields.key。
productVersion additional.fields.value.string_value productVersion 的值會指派給 additional.fields.value.string_value。
角色 principal.user.attribute.roles.name 角色值會指派給 principal.user.attribute.roles.name。
severityType security_result.severity severityType 的值會對應至 security_result.severity。「high」會對應至「HIGH」,「med」會對應至「MEDIUM」,「low」則會對應至「LOW」(不區分大小寫)。
sourceHost principal.hostname sourceHost 的值會指派給 principal.hostname。
sourceHost principal.asset.hostname sourceHost 的值會指派給 principal.asset.hostname。
sourceIp principal.ip 系統會將 sourceIp 的值新增至 principal.ip 欄位。
sourceIp principal.asset.ip sourceIp 的值會新增至 principal.asset.ip 欄位。
sourceServiceName principal.application sourceServiceName 的值會指派給 principal.application。
suser principal.user.userid 如果管理員為空白,系統會將 suser 的值指派給 principal.user.userid。
時間戳記 metadata.event_timestamp 時間戳記值會用於填入 metadata.event_timestamp。
主題 security_result.rule_name 移除半形逗號後,主題值會指派給 security_result.rule_name。硬式編碼為「FORCEPOINT_DLP」。已硬式編碼為「Forcepoint」。從 CEF 訊息擷取。可以是「Forcepoint DLP」或「Forcepoint DLP Audit」。從 CEF 訊息擷取。device_event_class_id 和 event_name 的串連,格式為「[device_event_class_id] - event_name」。初始化為「GENERIC_EVENT」。如果 is_principal_user_present 為「true」,則變更為「USER_UNCATEGORIZED」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。