Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Forcepoint NGFW

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Forcepoint NGFW ke Google Security Operations menggunakan agen Bindplane.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke Forcepoint Security Management Center (SMC)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download Ingestion Authentication File.
Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan agen Bindplane.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
- Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti YOUR_CUSTOMER_ID dengan Customer ID yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur file tempat file autentikasi disimpan di Langkah 1.

Memulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart observiq-otel-collector
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Mengonfigurasi penerusan Syslog di Forcepoint NGFW

Login ke Forcepoint Security Management Center (SMC).
Buka Configuration > Log Server > Properties.
Buka bagian Log Forwarding.
Klik Add untuk membuat aturan penerusan baru.
Berikan detail konfigurasi berikut:
- Nama: Masukkan nama deskriptif (misalnya, Google SecOps Bindplane Syslog).
- Host: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (misalnya, 514).
- Protocol: Pilih TCP atau UDP, bergantung pada konfigurasi agen Bindplane Anda yang sebenarnya.
- Format: Pilih JSON.
Konfigurasikan kolom log yang akan diteruskan:
- Klik Select Fields atau akses konfigurasi pemilihan kolom.
- Pilih kolom log yang relevan sesuai dengan persyaratan Anda. Kolom berikut biasanya diperlukan untuk analisis keamanan:
  - TIMESTAMP (Waktu Pembuatan)
  - LOG_ID (ID Data)
  - EVENT (Peristiwa)
  - EVENT_ID (ID Peristiwa)
  - SRC (Alamat Sumber)
  - DST (Alamat Tujuan)
  - Sport (Port Sumber)
  - Dport (Port Tujuan)
  - PROTOCOL (Protokol)
  - SERVICE (Layanan)
  - RULE_ID (Tag Aturan)
  - ACTION (Tindakan)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (Kolom NAT)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (Kolom Akuntansi)
  - NODE_ID (Pengirim)
  - COMP_ID (ID Komponen)
  - FACILITY (Fasilitas)
  - INFO_MSG (Pesan Informasi)
  - SITUATION (Situasi)
  - APPLICATION (Aplikasi)
- Untuk mengetahui daftar lengkap kolom yang dapat diekspor, lihat dokumentasi Kolom entri log Firewall yang Dapat Diekspor dan Firewall Lapisan 2 Forcepoint NGFW.
Scroll ke bawah ke bagian Events , lalu pilih jenis log yang relevan atau all.
Simpan konfigurasi.
Terapkan perubahan ke Server Log.

Catatan: Untuk korelasi waktu yang optimal di seluruh sistem, sebaiknya konfigurasikan Forcepoint NGFW Anda untuk menggunakan zona waktu UTC. Setelan zona waktu dapat dikonfigurasi di setelan sistem SMC atau profil server log.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AccElapsed`	`network.session_duration.seconds`	Dipetakan langsung dari `AccElapsed` jika tidak kosong atau 0. Dikonversi ke bilangan bulat.
`AccRxBytes`	`network.received_bytes`	Dipetakan langsung dari `AccRxBytes`. Dikonversi ke bilangan bulat yang tidak bertanda tangan.
`AccTxBytes`	`network.sent_bytes`	Dipetakan langsung dari `AccTxBytes`. Dikonversi ke bilangan bulat yang tidak bertanda tangan.
`Action`	`security_result.action_details`	Dipetakan langsung dari `Action`.
`Action`	`security_result.action`	Jika `Action` adalah "Allow", tetapkan ke "ALLOW". Jika `Action` adalah "Discard", tetapkan ke "BLOCK".
`CompId`	`target.hostname`	Dipetakan langsung dari `CompId`.
`Dport`	`target.port`	Dipetakan langsung dari `Dport` jika bukan 0. Dikonversi ke bilangan bulat.
`Dst`	`target.ip`	Dipetakan langsung dari `Dst`.
`Event`	`metadata.product_event_type`	Dipetakan langsung dari `Event`.
`Facility`	`metadata.description`	Dipetakan langsung dari `Facility`.
`InfoMsg`	`security_result.description`	Dipetakan langsung dari `InfoMsg`.
`LogId`	`metadata.product_log_id`	Dipetakan langsung dari `LogId`.
`NatDport`	`target.nat_port`	Dipetakan langsung dari `NatDport` jika bukan 0. Dikonversi ke bilangan bulat.
`NatDst`	`target.nat_ip`	Dipetakan langsung dari `NatDst`.
`NatSport`	`principal.nat_port`	Dipetakan langsung dari `NatSport` jika bukan 0. Dikonversi ke bilangan bulat.
`NatSrc`	`principal.nat_ip`	Dipetakan langsung dari `NatSrc`.
`NodeId`	`intermediary.ip`	Dipetakan langsung dari `NodeId` jika `Src` atau `Dst` dan `NodeId` ada.
`NodeId`	`principal.ip`	Dipetakan langsung dari `NodeId` jika `NodeId` ada, tetapi `Src` dan `Dst` tidak ada.
`Protocol`	`network.ip_protocol`	Dipetakan dari `Protocol` setelah mengonversinya ke bilangan bulat, lalu menggunakan pencarian untuk mengonversi angka ke nama protokol (misalnya, 6 menjadi TCP).
`RuleId`	`security_result.rule_id`	Dipetakan langsung dari `RuleId`.
`Service`	`principal.application`	Dipetakan langsung dari `Service` jika bukan "Dest. Unreachable (Port Unreachable)".
`Service`	`network.application_protocol`	Jika `Service` adalah "HTTP" atau "HTTPS", tetapkan ke nilai `Service`. Jika `Service` berisi "DNS", tetapkan ke "DNS".
`Service`	`metadata.event_type`	Jika `Service` adalah "HTTP" atau "HTTPS", tetapkan `metadata.event_type` ke "NETWORK_HTTP".
`Situation`	`security_result.summary`	Dipetakan langsung dari `Situation`.
`Sport`	`principal.port`	Dipetakan langsung dari `Sport` jika bukan 0. Dikonversi ke bilangan bulat.
`Src`	`principal.ip`	Dipetakan langsung dari `Src`.
`Timestamp`	`metadata.event_timestamp`	Dipetakan langsung dari `Timestamp` setelah mengurainya sebagai tanggal.
`Type`	`security_result.severity_details`	Dipetakan langsung dari `Type`.
`Type`	`security_result.severity`	Jika `Type` adalah "Notification", tetapkan ke "LOW". Jika `Src` atau `NodeId` dan `Dst` atau `CompId` ada, tetapkan ke "NETWORK_CONNECTION". Jika hanya `principal.ip` yang ada, tetapkan ke "STATUS_UPDATE". Jika tidak, tetapkan ke "GENERIC_EVENT". Tetapkan ke "FORCEPOINT_FIREWALL". Tetapkan ke "FORCEPOINT FIREWALL". Tetapkan ke "FORCEPOINT".
`rt`	`metadata.event_timestamp`	Dipetakan langsung dari `rt` setelah mengurainya sebagai tanggal di blok CEF.
`act`	`security_result.action_details`	Dipetakan langsung dari `act` di blok CEF.
`app`	`principal.application`	Dipetakan langsung dari `app` di blok CEF.
`deviceFacility`	`metadata.description`	Dipetakan langsung dari `deviceFacility` di blok CEF.
`destinationTranslatedAddress`	`target.nat_ip`	Dipetakan langsung dari `destinationTranslatedAddress` di blok CEF.
`destinationTranslatedPort`	`target.nat_port`	Dipetakan langsung dari `destinationTranslatedPort` di blok CEF.
`dst`	`target.ip`	Dipetakan langsung dari `dst` di blok CEF.
`dpt`	`target.port`	Dipetakan langsung dari `dpt` di blok CEF.
`dvchost`	`intermediary.ip`	Dipetakan langsung dari `dvchost` di blok CEF.
`event_name`	`metadata.product_event_type`	Dipetakan langsung dari `event_name` di blok CEF.
`msg`	`security_result.description`	Dipetakan langsung dari `msg` di blok CEF.
`proto`	`network.ip_protocol`	Dipetakan dari `proto` setelah mengonversinya ke bilangan bulat, lalu menggunakan pencarian untuk mengonversi angka ke nama protokol (misalnya, 6 menjadi TCP) di blok CEF.
`sourceTranslatedAddress`	`principal.nat_ip`	Dipetakan langsung dari `sourceTranslatedAddress` di blok CEF.
`sourceTranslatedPort`	`principal.nat_port`	Dipetakan langsung dari `sourceTranslatedPort` di blok CEF.
`spt`	`principal.port`	Dipetakan langsung dari `spt` di blok CEF.
`src`	`principal.ip`	Dipetakan langsung dari `src` di blok CEF.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.