Forcepoint DLP のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Forcepoint DLP ログを Google Security Operations に取り込む方法について説明します。

Forcepoint DLP（データ損失防止）は、企業環境全体で機密データを特定、モニタリング、保護するデータ保護ソリューションです。コンテンツ認識ポリシーと機械学習を使用して、メール、ウェブ、エンドポイント、クラウドアプリケーションを介した不正なデータ転送を検出して防止します。このパーサーは、Forcepoint DLP の CEF 形式のログからフィールドを抽出します。次に、これらの値を Unified Data Model（UDM）にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
Forcepoint Security Manager ウェブコンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```

サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```

サービスが [アクティブ（実行中）] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'FORCEPOINT_DLP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

構成パラメータ

各プレースホルダを次のように置き換えます。
- レシーバーの構成:
  - tcplog: UDP Syslog には udplog を使用し、TCP Syslog には tcplog を使用します。
  - 0.0.0.0: リッスンする IP アドレス（すべてのインターフェースでリッスンする場合は 0.0.0.0）
  - 514: リッスンするポート番号（標準の syslog ポート）
- エクスポータの構成:
  - creds_file_path: 取り込み認証ファイルのフルパス:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 ID
  - endpoint: リージョンエンドポイント URL:
    - 米国: malachiteingestion-pa.googleapis.com
    - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
    - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
    - 完全なリストについては、リージョンエンドポイントをご覧ください。
  - log_type: Chronicle に表示されるログタイプ（FORCEPOINT_DLP）

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
  sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
  sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Forcepoint DLP の syslog 転送を構成する

Forcepoint Security Manager ウェブコンソールにログインします。
[設定] > [全般] > [SIEM 統合] に移動します。
[Enable SIEM integration] を選択します。
次の構成の詳細を指定します。
- Syslog サーバーの IP アドレス: Bindplane エージェントホストの IP アドレスを入力します。
- ポート: 「514」と入力します。
- プロトコル: [TCP] を選択します。
- 形式: [CEF]（Common Event Format）を選択します。
- TLS Enabled: チェックを外します（TLS を使用している場合を除く）。
[インシデントデータ] セクションで、syslog メッセージに含めるデータを選択します。
- 対応内容
- 重大度
- ポリシー名
- ソース情報
- リンク先の情報
- コンテンツの詳細
[OK] をクリックして保存します。
[Main] > [Policy Management] > [DLP Policies] に移動します。
イベントを転送するポリシーごとに、syslog 通知が有効になっていることを確認します。
1. ポリシーを選択します。
2. [アクションプラン] タブに移動します。
3. アクションプランに [SIEM に送信] が含まれていることを確認します。
[デプロイ] をクリックして、ポリシーの変更を適用します。
Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
act	security_result.description	actionPerformed が空の場合、act の値が security_result.description に割り当てられます。
actionID	metadata.product_log_id	actionID の値は metadata.product_log_id に割り当てられます。
actionPerformed	security_result.description	actionPerformed の値は security_result.description に割り当てられます。
管理者	principal.user.userid	administrator の値が principal.user.userid に割り当てられます。
analyzedBy	additional.fields.key	文字列「analyzedBy」が additional.fields.key に割り当てられます。
analyzedBy	additional.fields.value.string_value	analyzedBy の値は additional.fields.value.string_value に割り当てられます。
猫	security_result.category_details	cat の値は、リストとして security_result.category_details フィールドに統合されます。
destinationHosts	target.hostname	destinationHosts の値が target.hostname に割り当てられます。
destinationHosts	target.asset.hostname	destinationHosts の値は target.asset.hostname に割り当てられます。
詳細	security_result.description	actionPerformed と act の両方が空の場合、details の値が security_result.description に割り当てられます。
duser	target.user.userid	duser の値は、target.user.userid の入力に使用されます。「; 」で区切られた複数の値は、メールの正規表現と一致する場合は分割されて個々のメールアドレスとして割り当てられ、一致しない場合はユーザー ID として扱われます。
eventId	metadata.product_log_id	actionID が空の場合、eventId の値が metadata.product_log_id に割り当てられます。
fname	target.file.full_path	fname の値が target.file.full_path に割り当てられます。
logTime	metadata.event_timestamp	logTime の値が解析され、metadata.event_timestamp の入力に使用されます。
loginName	principal.user.user_display_name	loginName の値は principal.user.user_display_name に割り当てられます。
msg	metadata.description	msg の値が metadata.description に割り当てられます。
productVersion	additional.fields.key	文字列「productVersion」が additional.fields.key に割り当てられます。
productVersion	additional.fields.value.string_value	productVersion の値は additional.fields.value.string_value に割り当てられます。
ロール	principal.user.attribute.roles.name	ロールの値は principal.user.attribute.roles.name に割り当てられます。
severityType	security_result.severity	severityType の値は security_result.severity にマッピングされます。「high」は「HIGH」に、「med」は「MEDIUM」に、「low」は「LOW」にマッピングされます（大文字と小文字は区別されません）。
sourceHost	principal.hostname	sourceHost の値が principal.hostname に割り当てられます。
sourceHost	principal.asset.hostname	sourceHost の値が principal.asset.hostname に割り当てられます。
sourceIp	principal.ip	sourceIp の値が principal.ip フィールドに追加されます。
sourceIp	principal.asset.ip	sourceIp の値が principal.asset.ip フィールドに追加されます。
sourceServiceName	principal.application	sourceServiceName の値が principal.application に割り当てられます。
suser	principal.user.userid	administrator が空の場合、suser の値が principal.user.userid に割り当てられます。
timestamp	metadata.event_timestamp	timestamp の値は metadata.event_timestamp の入力に使用されます。
トピック	security_result.rule_name	トピックの値は、カンマが削除された後、security_result.rule_name に割り当てられます。「FORCEPOINT_DLP」にハードコードされます。「Forcepoint」にハードコードされます。CEF メッセージから抽出されます。「Forcepoint DLP」または「Forcepoint DLP Audit」を指定できます。CEF メッセージから抽出されます。device_event_class_id と event_name の連結。形式は「[device_event_class_id] - event_name」。「GENERIC_EVENT」に初期化されます。is_principal_user_present が「true」の場合、「USER_UNCATEGORIZED」に変更しました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。