Collecter les journaux Forcepoint DLP

Compatible avec :

Ce document explique comment ingérer des journaux Forcepoint DLP dans Google Security Operations à l'aide de BindPlane.

Forcepoint DLP (Data Loss Prevention) est une solution de protection des données qui identifie, surveille et protège les données sensibles dans les environnements d'entreprise. Il détecte et empêche les transferts de données non autorisés par e-mail, sur le Web, au niveau des points de terminaison et dans les applications cloud à l'aide de règles tenant compte du contenu et du machine learning. L'analyseur extrait les champs des journaux au format CEF Forcepoint DLP. Il mappe ensuite ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console Web Forcepoint Security Manager

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • tcplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
      • 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
      • 514 : numéro de port à écouter (port syslog standard)

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
      • log_type : type de journal tel qu'il apparaît dans Chronicle (FORCEPOINT_DLP)

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog Forcepoint DLP

  1. Connectez-vous à la console Web Forcepoint Security Manager.
  2. Accédez à Paramètres> Général> Intégration SIEM.
  3. Sélectionnez Activer l'intégration SIEM.
  4. Fournissez les informations de configuration suivantes :
    • Adresse IP du serveur Syslog : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
    • Port : saisissez 514.
    • Protocole : sélectionnez TCP.
    • Format : sélectionnez CEF (Common Event Format).
    • TLS Enabled (TLS activé) : décochez cette option (sauf si vous utilisez TLS).
  5. Dans la section Données d'incident, sélectionnez les données à inclure dans les messages syslog :
    • Mesure appliquée
    • Gravité
    • Nom de la règle
    • Informations sur la source
    • Informations sur la destination
    • Détails du contenu
  6. Cliquez sur OK pour enregistrer.
  7. Accédez à Main > Policy Management > DLP Policies (Principal > Gestion des règles > Règles de protection contre la perte de données).
  8. Pour chaque règle qui doit transférer des événements, vérifiez que la notification syslog est activée :
    1. Sélectionnez la règle.
    2. Accédez à l'onglet Plan d'action.
    3. Vérifiez que le plan d'action inclut l'option Envoyer au SIEM.
  9. Cliquez sur Déployer pour appliquer les modifications apportées aux règles.
  10. Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal Mappage UDM Logique
agir security_result.description Si actionPerformed est vide, la valeur de act est attribuée à security_result.description.
actionID metadata.product_log_id La valeur de actionID est attribuée à metadata.product_log_id.
actionPerformed security_result.description La valeur de actionPerformed est attribuée à security_result.description.
administrateur principal.user.userid La valeur "administrator" est attribuée à principal.user.userid.
analyzedBy additional.fields.key La chaîne "analyzedBy" est attribuée à additional.fields.key.
analyzedBy additional.fields.value.string_value La valeur de "analyzedBy" est attribuée à "additional.fields.value.string_value".
cat security_result.category_details Les valeurs de cat sont fusionnées dans le champ security_result.category_details sous forme de liste.
destinationHosts target.hostname La valeur de destinationHosts est attribuée à target.hostname.
destinationHosts target.asset.hostname La valeur de destinationHosts est attribuée à target.asset.hostname.
détails security_result.description Si actionPerformed et act sont vides, la valeur de details est attribuée à security_result.description.
duser target.user.userid La valeur de duser est utilisée pour remplir target.user.userid. Les valeurs multiples séparées par "; " sont divisées et attribuées en tant qu'adresses e-mail individuelles si elles correspondent à l'expression régulière de l'e-mail. Sinon, elles sont traitées comme des ID utilisateur.
eventId metadata.product_log_id Si actionID est vide, la valeur de eventId est attribuée à metadata.product_log_id.
fname target.file.full_path La valeur de fname est attribuée à target.file.full_path.
logTime metadata.event_timestamp La valeur de logTime est analysée et utilisée pour renseigner metadata.event_timestamp.
loginName principal.user.user_display_name La valeur de loginName est attribuée à principal.user.user_display_name.
Message metadata.description La valeur de msg est attribuée à metadata.description.
productVersion additional.fields.key La chaîne "productVersion" est attribuée à additional.fields.key.
productVersion additional.fields.value.string_value La valeur de productVersion est attribuée à additional.fields.value.string_value.
rôle principal.user.attribute.roles.name La valeur du rôle est attribuée à principal.user.attribute.roles.name.
severityType security_result.severity La valeur de severityType est mappée sur security_result.severity. "high" correspond à "HIGH", "med" correspond à "MEDIUM" et "low" correspond à "LOW" (sans tenir compte de la casse).
sourceHost principal.hostname La valeur de sourceHost est attribuée à principal.hostname.
sourceHost principal.asset.hostname La valeur de sourceHost est attribuée à principal.asset.hostname.
sourceIp principal.ip La valeur de sourceIp est ajoutée au champ principal.ip.
sourceIp principal.asset.ip La valeur de sourceIp est ajoutée au champ principal.asset.ip.
sourceServiceName principal.application La valeur de sourceServiceName est attribuée à principal.application.
suser principal.user.userid Si le champ "administrator" est vide, la valeur de "suser" est attribuée à "principal.user.userid".
timestamp metadata.event_timestamp La valeur de l'horodatage est utilisée pour renseigner metadata.event_timestamp.
sujet security_result.rule_name La valeur du sujet est attribuée à security_result.rule_name après la suppression des virgules. Codé en dur sur "FORCEPOINT_DLP". Codé en dur sur "Forcepoint". Extrait du message CEF. Valeurs possibles : "Forcepoint DLP" ou "Forcepoint DLP Audit". Extrait du message CEF. Concaténation de device_event_class_id et event_name, au format "[device_event_class_id] - event_name". Initialisé sur "GENERIC_EVENT". Passé à "USER_UNCATEGORIZED" si is_principal_user_present est défini sur "true".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.