Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Forcepoint NGFW-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Forcepoint NGFW-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agent geöffnet sein.
Privilegierter Zugriff auf das Forcepoint Security Management Center (SMC)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ und unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yaml so:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie YOUR_CUSTOMER_ID durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Dateipfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Syslog-Weiterleitung auf Forcepoint NGFW konfigurieren

Melden Sie sich im Forcepoint Security Management Center (SMC) an.
Rufen Sie Konfiguration > Log Server > Eigenschaften auf.
Rufen Sie den Bereich Log-Weiterleitung auf.
Klicken Sie auf Hinzufügen , um eine neue Weiterleitungsregel zu erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Bindplane Syslog.
- Host: Geben Sie die IP-Adresse des Bindplane-Agent ein.
- Port: Geben Sie die Portnummer des Bindplane-Agent ein, z. B. 514.
- Protokoll: Wählen Sie je nach Konfiguration des Bindplane-Agent TCP oder UDP aus.
- Format: Wählen Sie JSON aus.
Konfigurieren Sie die weiterzuleitenden Logfelder:
- Klicken Sie auf Felder auswählen oder rufen Sie die Konfiguration für die Feldauswahl auf.
- Wählen Sie die relevanten Logfelder entsprechend Ihren Anforderungen aus. Für die Sicherheitsanalyse sind in der Regel die folgenden Felder erforderlich:
  - TIMESTAMP (Erstellungszeit)
  - LOG_ID (Daten-ID)
  - EVENT (Ereignis)
  - EVENT_ID (Ereignis-ID)
  - SRC (Quelladresse)
  - DST (Zieladresse)
  - Sport (Quellport)
  - Dport (Zielport)
  - PROTOCOL (Protokoll)
  - SERVICE (Dienst)
  - RULE_ID (Regel-Tag)
  - ACTION (Aktion)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (NAT-Felder)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (Abrechnungsfelder)
  - NODE_ID (Absender)
  - COMP_ID (Komponenten-ID)
  - FACILITY (Einrichtung)
  - INFO_MSG (Informationsnachricht)
  - SITUATION (Situation)
  - APPLICATION (Anwendung)
- Eine vollständige Liste der exportierbaren Felder finden Sie in der Dokumentation zu exportierbaren Firewall- und Layer-2-Firewall-Logeintragsfeldern von Forcepoint NGFW.
Scrollen Sie nach unten zum Bereich Ereignisse und wählen Sie die relevanten Logtypen oder Alle aus.
Speichern Sie die Konfiguration.
Wenden Sie die Änderungen auf den Log-Server an.

Hinweis: Für eine optimale Zeitkorrelation zwischen Systemen empfiehlt es sich, Ihre Forcepoint NGFW so zu konfigurieren, dass die UTC-Zeitzone verwendet wird. Die Zeitzoneneinstellungen können in den SMC-Systemeinstellungen oder in den Log-Serverprofilen konfiguriert werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`AccElapsed`	`network.session_duration.seconds`	Direkt von `AccElapsed` zugeordnet, wenn nicht leer oder 0. In eine Ganzzahl konvertiert.
`AccRxBytes`	`network.received_bytes`	Direkt von `AccRxBytes` zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`AccTxBytes`	`network.sent_bytes`	Direkt von `AccTxBytes` zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`Action`	`security_result.action_details`	Direkt von `Action` zugeordnet.
`Action`	`security_result.action`	Wenn `Action` „Allow“ ist, auf „ALLOW“ festlegen. Wenn `Action` „Discard“ ist, auf „BLOCK“ festlegen.
`CompId`	`target.hostname`	Direkt von `CompId` zugeordnet.
`Dport`	`target.port`	Direkt von `Dport` zugeordnet, wenn nicht 0. In eine Ganzzahl konvertiert.
`Dst`	`target.ip`	Direkt von `Dst` zugeordnet.
`Event`	`metadata.product_event_type`	Direkt von `Event` zugeordnet.
`Facility`	`metadata.description`	Direkt von `Facility` zugeordnet.
`InfoMsg`	`security_result.description`	Direkt von `InfoMsg` zugeordnet.
`LogId`	`metadata.product_log_id`	Direkt von `LogId` zugeordnet.
`NatDport`	`target.nat_port`	Direkt von `NatDport` zugeordnet, wenn nicht 0. In eine Ganzzahl konvertiert.
`NatDst`	`target.nat_ip`	Direkt von `NatDst` zugeordnet.
`NatSport`	`principal.nat_port`	Direkt von `NatSport` zugeordnet, wenn nicht 0. In eine Ganzzahl konvertiert.
`NatSrc`	`principal.nat_ip`	Direkt von `NatSrc` zugeordnet.
`NodeId`	`intermediary.ip`	Direkt von `NodeId` zugeordnet, wenn sowohl `Src` oder `Dst` als auch `NodeId` vorhanden sind.
`NodeId`	`principal.ip`	Direkt von `NodeId` zugeordnet, wenn `NodeId` vorhanden ist, aber `Src` und `Dst` nicht.
`Protocol`	`network.ip_protocol`	Von `Protocol` zugeordnet, nachdem es in eine Ganzzahl konvertiert und dann mit einer Suche die Zahl in den Protokollnamen konvertiert wurde (z.B. wird 6 zu TCP).
`RuleId`	`security_result.rule_id`	Direkt von `RuleId` zugeordnet.
`Service`	`principal.application`	Direkt von `Service` zugeordnet, wenn es nicht „Dest. Unreachable (Port Unreachable)“ ist.
`Service`	`network.application_protocol`	Wenn `Service` „HTTP“ oder „HTTPS“ ist, auf den Wert von `Service` festlegen. Wenn `Service` „DNS“ enthält, auf „DNS“ festlegen.
`Service`	`metadata.event_type`	Wenn `Service` „HTTP“ oder „HTTPS“ ist, `metadata.event_type` auf „NETWORK_HTTP“ festlegen.
`Situation`	`security_result.summary`	Direkt von `Situation` zugeordnet.
`Sport`	`principal.port`	Direkt von `Sport` zugeordnet, wenn nicht 0. In eine Ganzzahl konvertiert.
`Src`	`principal.ip`	Direkt von `Src` zugeordnet.
`Timestamp`	`metadata.event_timestamp`	Direkt von `Timestamp` zugeordnet, nachdem es als Datum geparst wurde.
`Type`	`security_result.severity_details`	Direkt von `Type` zugeordnet.
`Type`	`security_result.severity`	Wenn `Type` „Notification“ ist, auf „LOW“ festlegen. Wenn `Src` oder `NodeId` und `Dst` oder `CompId` vorhanden sind, auf „NETWORK_CONNECTION“ festlegen. Wenn nur `principal.ip` vorhanden ist, auf „STATUS_UPDATE“ festlegen. Andernfalls auf „GENERIC_EVENT“ festlegen. Auf „FORCEPOINT_FIREWALL“ festlegen. Auf „FORCEPOINT FIREWALL“ festlegen. Auf „FORCEPOINT“ festlegen.
`rt`	`metadata.event_timestamp`	Direkt von `rt` zugeordnet, nachdem es im CEF-Block als Datum geparst wurde.
`act`	`security_result.action_details`	Direkt von `act` im CEF-Block zugeordnet.
`app`	`principal.application`	Direkt von `app` im CEF-Block zugeordnet.
`deviceFacility`	`metadata.description`	Direkt von `deviceFacility` im CEF-Block zugeordnet.
`destinationTranslatedAddress`	`target.nat_ip`	Direkt von `destinationTranslatedAddress` im CEF-Block zugeordnet.
`destinationTranslatedPort`	`target.nat_port`	Direkt von `destinationTranslatedPort` im CEF-Block zugeordnet.
`dst`	`target.ip`	Direkt von `dst` im CEF-Block zugeordnet.
`dpt`	`target.port`	Direkt von `dpt` im CEF-Block zugeordnet.
`dvchost`	`intermediary.ip`	Direkt von `dvchost` im CEF-Block zugeordnet.
`event_name`	`metadata.product_event_type`	Direkt von `event_name` im CEF-Block zugeordnet.
`msg`	`security_result.description`	Direkt von `msg` im CEF-Block zugeordnet.
`proto`	`network.ip_protocol`	Von `proto` zugeordnet, nachdem es in eine Ganzzahl konvertiert und dann mit einer Suche die Zahl in den Protokollnamen konvertiert wurde (z.B. wird 6 zu TCP) im CEF-Block.
`sourceTranslatedAddress`	`principal.nat_ip`	Direkt von `sourceTranslatedAddress` im CEF-Block zugeordnet.
`sourceTranslatedPort`	`principal.nat_port`	Direkt von `sourceTranslatedPort` im CEF-Block zugeordnet.
`spt`	`principal.port`	Direkt von `spt` im CEF-Block zugeordnet.
`src`	`principal.ip`	Direkt von `src` im CEF-Block zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten