Forcepoint DLP-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Forcepoint DLP-Logs mit Bindplane in Google Security Operations aufnehmen.

Forcepoint DLP (Data Loss Prevention) ist eine Datenschutzlösung, mit der sensible Daten in Unternehmensumgebungen identifiziert, überwacht und geschützt werden. Es erkennt und verhindert unbefugte Datenübertragungen über E‑Mail, Web, Endpunkte und Cloud-Anwendungen mithilfe von inhaltsbezogenen Richtlinien und maschinellem Lernen. Der Parser extrahiert Felder aus Forcepoint DLP-Logs im CEF-Format. Anschließend werden diese Werte dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die Forcepoint Security Manager-Webkonsole

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • tcplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (FORCEPOINT_DLP)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Forcepoint DLP konfigurieren

  1. Melden Sie sich in der Forcepoint Security Manager-Webkonsole an.
  2. Rufen Sie die Einstellungen > Allgemein > SIEM-Integration auf.
  3. Wählen Sie SIEM-Integration aktivieren aus.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Server IP Address (IP-Adresse des Syslog-Servers): Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Port: Geben Sie 514 ein.
    • Protokoll: Wählen Sie TCP aus.
    • Format: Wählen Sie CEF (Common Event Format) aus.
    • TLS Enabled (TLS aktiviert): Deaktivieren Sie das Kästchen, sofern Sie TLS nicht verwenden.
  5. Wählen Sie im Bereich Incident Data (Vorfall-Daten) die Daten aus, die in Syslog-Meldungen enthalten sein sollen:
    • Ergriffene Maßnahme
    • Schweregrad
    • Richtlinienname
    • Quellinformationen
    • Zielinformationen
    • Inhaltsdetails
  6. Klicken Sie zum Speichern auf OK.
  7. Gehen Sie zu Main > Policy Management > DLP Policies (Hauptmenü > Richtlinienverwaltung > DLP-Richtlinien).
  8. Prüfen Sie für jede Richtlinie, für die Ereignisse weitergeleitet werden sollen, ob die Syslog-Benachrichtigung aktiviert ist:
    1. Wählen Sie die Richtlinie aus.
    2. Rufen Sie den Tab Aktionsplan auf.
    3. Prüfen Sie, ob der Aktionsplan An SIEM senden enthält.
  9. Klicken Sie auf Bereitstellen, um die Richtlinienänderungen zu übernehmen.
  10. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Handeln security_result.description Wenn actionPerformed leer ist, wird der Wert von act security_result.description zugewiesen.
actionID metadata.product_log_id Der Wert von „actionID“ wird „metadata.product_log_id“ zugewiesen.
actionPerformed security_result.description Der Wert von „actionPerformed“ wird „security_result.description“ zugewiesen.
Administrator principal.user.userid Der Wert von „administrator“ wird „principal.user.userid“ zugewiesen.
analyzedBy additional.fields.key Der String „analyzedBy“ wird additional.fields.key zugewiesen.
analyzedBy additional.fields.value.string_value Der Wert von „analyzedBy“ wird „additional.fields.value.string_value“ zugewiesen.
cat security_result.category_details Die Werte von „cat“ werden als Liste in das Feld „security_result.category_details“ zusammengeführt.
destinationHosts target.hostname Der Wert von „destinationHosts“ wird „target.hostname“ zugewiesen.
destinationHosts target.asset.hostname Der Wert von „destinationHosts“ wird „target.asset.hostname“ zugewiesen.
Details security_result.description Wenn sowohl „actionPerformed“ als auch „act“ leer sind, wird der Wert von „details“ „security_result.description“ zugewiesen.
duser target.user.userid Der Wert von „duser“ wird verwendet, um „target.user.userid“ zu füllen. Mehrere durch „; “ getrennte Werte werden aufgeteilt und als einzelne E-Mail-Adressen zugewiesen, wenn sie dem E-Mail-regulären Ausdruck entsprechen. Andernfalls werden sie als Nutzer-IDs behandelt.
eventId metadata.product_log_id Wenn actionID leer ist, wird der Wert von eventId metadata.product_log_id zugewiesen.
fname target.file.full_path Der Wert von „fname“ wird „target.file.full_path“ zugewiesen.
logTime metadata.event_timestamp Der Wert von „logTime“ wird geparst und zum Ausfüllen von „metadata.event_timestamp“ verwendet.
loginName principal.user.user_display_name Der Wert von „loginName“ wird „principal.user.user_display_name“ zugewiesen.
msg metadata.description Der Wert von „msg“ wird „metadata.description“ zugewiesen.
productVersion additional.fields.key Der String „productVersion“ wird additional.fields.key zugewiesen.
productVersion additional.fields.value.string_value Der Wert von „productVersion“ wird „additional.fields.value.string_value“ zugewiesen.
Rolle principal.user.attribute.roles.name Der Wert von „role“ wird „principal.user.attribute.roles.name“ zugewiesen.
severityType security_result.severity Der Wert von „severityType“ wird „security_result.severity“ zugeordnet. „high“ wird „HIGH“, „med“ wird „MEDIUM“ und „low“ wird „LOW“ zugeordnet (Groß-/Kleinschreibung wird nicht berücksichtigt).
sourceHost principal.hostname Der Wert von „sourceHost“ wird „principal.hostname“ zugewiesen.
sourceHost principal.asset.hostname Der Wert von „sourceHost“ wird „principal.asset.hostname“ zugewiesen.
sourceIp principal.ip Der Wert von „sourceIp“ wird dem Feld „principal.ip“ hinzugefügt.
sourceIp principal.asset.ip Der Wert von „sourceIp“ wird dem Feld „principal.asset.ip“ hinzugefügt.
sourceServiceName principal.application Der Wert von „sourceServiceName“ wird „principal.application“ zugewiesen.
suser principal.user.userid Wenn „administrator“ leer ist, wird der Wert von „suser“ „principal.user.userid“ zugewiesen.
timestamp metadata.event_timestamp Der Wert von „timestamp“ wird verwendet, um „metadata.event_timestamp“ auszufüllen.
Thema security_result.rule_name Der Wert von „topic“ wird „security_result.rule_name“ zugewiesen, nachdem Kommas entfernt wurden. Fest codiert auf „FORCEPOINT_DLP“. Fest codiert auf „Forcepoint“. Aus der CEF-Nachricht extrahiert. Kann „Forcepoint DLP“ oder „Forcepoint DLP Audit“ sein. Aus der CEF-Nachricht extrahiert. Verkettung von „device_event_class_id“ und „event_name“ im Format „[device_event_class_id] – event_name“. Wird auf „GENERIC_EVENT“ initialisiert. In „USER_UNCATEGORIZED“ geändert, wenn „is_principal_user_present“ auf „true“ gesetzt ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten