Raccogliere i log DLP di Forcepoint

Supportato in:

Questo documento spiega come importare i log DLP di Forcepoint in Google Security Operations utilizzando Bindplane.

Forcepoint DLP (Data Loss Prevention) è una soluzione di protezione dei dati che identifica, monitora e protegge i dati sensibili negli ambienti aziendali. Rileva e impedisce i trasferimenti di dati non autorizzati tramite email, web, endpoint e applicazioni cloud utilizzando norme sensibili ai contenuti e machine learning. Il parser estrae i campi dai log formattati CEF di Forcepoint DLP. Quindi, esegue il mapping di questi valori al modello UDM (Unified Data Model). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso con privilegi alla console web di Forcepoint Security Manager

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

  • Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • tcplog: usa udplog per syslog UDP o tcplog per syslog TCP
      • 0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0 per ascoltare su tutte le interfacce)
      • 514: Numero di porta su cui ascoltare (porta syslog standard)

    • Configurazione dell'esportatore:

      • creds_file_path: percorso completo del file di autenticazione importazione:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.
      • log_type: Tipo di log esattamente come appare in Chronicle (FORCEPOINT_DLP)

Salvare il file di configurazione

  • Dopo la modifica, salva il file:
    • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
    • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di syslog Forcepoint DLP

  1. Accedi alla console web Forcepoint Security Manager.
  2. Vai a Impostazioni > Generali > Integrazione SIEM.
  3. Seleziona Attiva integrazione SIEM.
  4. Fornisci i seguenti dettagli di configurazione:
    • Indirizzo IP del server Syslog: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
    • Porta: inserisci 514.
    • Protocollo: seleziona TCP.
    • Formato: seleziona CEF (Common Event Format).
    • TLS Enabled (TLS attivato): deseleziona (a meno che non utilizzi TLS).
  5. Nella sezione Dati dell'incidente, seleziona i dati da includere nei messaggi syslog:
    • Azione intrapresa
    • Gravità
    • Nome della policy
    • Informazioni sulla fonte
    • Informazioni sulla destinazione
    • Dettagli dei contenuti
  6. Fai clic su Ok per salvare.
  7. Vai a Principale > Gestione delle norme > Norme DLP.
  8. Per ogni criterio che deve inoltrare gli eventi, verifica che la notifica syslog sia attivata:
    1. Seleziona la policy.
    2. Vai alla scheda Piano d'azione.
    3. Verifica che il piano d'azione includa Invia a SIEM.
  9. Fai clic su Esegui il deployment per applicare le modifiche alle policy.
  10. Verifica che i messaggi syslog vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
atto security_result.description Se actionPerformed è vuoto, il valore di act viene assegnato a security_result.description.
actionID metadata.product_log_id Il valore di actionID viene assegnato a metadata.product_log_id.
actionPerformed security_result.description Il valore di actionPerformed viene assegnato a security_result.description.
amministratore principal.user.userid Il valore di amministratore viene assegnato a principal.user.userid.
analyzedBy additional.fields.key La stringa "analyzedBy" viene assegnata a additional.fields.key.
analyzedBy additional.fields.value.string_value Il valore di analyzedBy viene assegnato a additional.fields.value.string_value.
gatto security_result.category_details I valori di cat vengono uniti nel campo security_result.category_details come elenco.
destinationHosts target.hostname Il valore di destinationHosts viene assegnato a target.hostname.
destinationHosts target.asset.hostname Il valore di destinationHosts viene assegnato a target.asset.hostname.
dettagli security_result.description Se actionPerformed e act sono vuoti, il valore di details viene assegnato a security_result.description.
duser target.user.userid Il valore di duser viene utilizzato per compilare target.user.userid. I valori multipli separati da "; " vengono suddivisi e assegnati come singoli indirizzi email se corrispondono all'espressione regolare dell'email, altrimenti vengono trattati come ID utente.
eventId metadata.product_log_id Se actionID è vuoto, il valore di eventId viene assegnato a metadata.product_log_id.
fname target.file.full_path Il valore di fname viene assegnato a target.file.full_path.
logTime metadata.event_timestamp Il valore di logTime viene analizzato e utilizzato per popolare metadata.event_timestamp.
loginName principal.user.user_display_name Il valore di loginName viene assegnato a principal.user.user_display_name.
msg metadata.description Il valore di msg viene assegnato a metadata.description.
productVersion additional.fields.key La stringa "productVersion" è assegnata a additional.fields.key.
productVersion additional.fields.value.string_value Il valore di productVersion viene assegnato a additional.fields.value.string_value.
ruolo principal.user.attribute.roles.name Il valore del ruolo viene assegnato a principal.user.attribute.roles.name.
severityType security_result.severity Il valore di severityType viene mappato a security_result.severity. "high" corrisponde a "HIGH", "med" corrisponde a "MEDIUM" e "low" corrisponde a "LOW" (senza distinzione tra maiuscole e minuscole).
sourceHost principal.hostname Il valore di sourceHost viene assegnato a principal.hostname.
sourceHost principal.asset.hostname Il valore di sourceHost viene assegnato a principal.asset.hostname.
sourceIp principal.ip Il valore di sourceIp viene aggiunto al campo principal.ip.
sourceIp principal.asset.ip Il valore di sourceIp viene aggiunto al campo principal.asset.ip.
sourceServiceName principal.application Il valore di sourceServiceName viene assegnato a principal.application.
suser principal.user.userid Se administrator è vuoto, il valore di suser viene assegnato a principal.user.userid.
timestamp metadata.event_timestamp Il valore del timestamp viene utilizzato per popolare metadata.event_timestamp.
argomento security_result.rule_name Il valore dell'argomento viene assegnato a security_result.rule_name dopo la rimozione delle virgole. Codificato in modo permanente su "FORCEPOINT_DLP". Codificato in modo permanente su "Forcepoint". Estratto dal messaggio CEF. Può essere "Forcepoint DLP" o "Forcepoint DLP Audit". Estratto dal messaggio CEF. Concatenazione di device_event_class_id ed event_name, formattata come "[device_event_class_id] - event_name". Inizializzato su "GENERIC_EVENT". Modificato in "USER_UNCATEGORIZED" se is_principal_user_present è "true".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.