Raccogliere i log di Forcepoint NGFW

Supportato in:

Questo documento spiega come importare i log di Forcepoint NGFW in Google Security Operations utilizzando l'agente Bindplane.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un host Windows 2016 o versioni successive o Linux con systemd
  • Se l'esecuzione avviene dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso con privilegi al Forcepoint Security Management Center (SMC)

Recuperare il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione di importazione.
  4. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come indicato di seguito:

    receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels
    • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
    • Sostituisci YOUR_CUSTOMER_ID con l'ID cliente effettivo.
    • Aggiorna /path/to/ingestion-authentication-file.json al percorso del file in cui è stato salvato il file di autenticazione nel passaggio 1.

Riavviare l'agente Bindplane per applicare le modifiche

  1. Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

  2. Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop observiq-otel-collector && net start observiq-otel-collector

Configurare l'inoltro di Syslog su Forcepoint NGFW

  1. Accedi al Forcepoint Security Management Center (SMC).
  2. Vai a Configurazione > Server di log > Proprietà.
  3. Vai alla sezione Inoltro log.
  4. Fai clic su Aggiungi per creare una nuova regola di forwarding.
  5. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio Google SecOps Bindplane Syslog).
    • Host: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio 514).
    • Protocollo: seleziona TCP o UDP, a seconda della configurazione effettiva dell'agente Bindplane.
    • Formato: seleziona JSON.
  6. Configura i campi log da inoltrare:
    • Fai clic su Seleziona campi o accedi alla configurazione di selezione dei campi.
    • Seleziona i campi log pertinenti in base ai tuoi requisiti. I seguenti campi sono in genere necessari per l'analisi della sicurezza:
      • TIMESTAMP (ora di creazione)
      • LOG_ID (identificatore dati)
      • EVENT (evento)
      • EVENT_ID (ID evento)
      • SRC (indirizzo di origine)
      • DST (indirizzo di destinazione)
      • Sport (porta di origine)
      • Dport (porta di destinazione)
      • PROTOCOL (protocollo)
      • SERVICE (servizio)
      • RULE_ID (tag regola)
      • ACTION (azione)
      • NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (campi NAT)
      • ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (campi di contabilità)
      • NODE_ID (mittente)
      • COMP_ID (ID componente)
      • FACILITY (struttura)
      • INFO_MSG (messaggio informativo)
      • SITUATION (situazione)
      • APPLICATION (applicazione)
    • Per un elenco completo dei campi esportabili, consulta la documentazione relativa ai voce di log del firewall e del firewall di livello 2 esportabili di Forcepoint NGFW.
  7. Scorri verso il basso fino alla sezione Eventi e seleziona i tipi di log pertinenti o tutti.
  8. Salva la configurazione.

  9. Applica le modifiche al server di log.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
AccElapsed network.session_duration.seconds Mappato direttamente da AccElapsed se non è vuoto o 0. Convertito in numero intero.
AccRxBytes network.received_bytes Mappato direttamente da AccRxBytes. Convertito in numero intero senza segno.
AccTxBytes network.sent_bytes Mappato direttamente da AccTxBytes. Convertito in numero intero senza segno.
Action security_result.action_details Mappato direttamente da Action.
Action security_result.action Se Action è "Allow", imposta su "ALLOW". Se Action è "Discard", imposta su "BLOCK".
CompId target.hostname Mappato direttamente da CompId.
Dport target.port Mappato direttamente da Dport se non è 0. Convertito in numero intero.
Dst target.ip Mappato direttamente da Dst.
Event metadata.product_event_type Mappato direttamente da Event.
Facility metadata.description Mappato direttamente da Facility.
InfoMsg security_result.description Mappato direttamente da InfoMsg.
LogId metadata.product_log_id Mappato direttamente da LogId.
NatDport target.nat_port Mappato direttamente da NatDport se non è 0. Convertito in numero intero.
NatDst target.nat_ip Mappato direttamente da NatDst.
NatSport principal.nat_port Mappato direttamente da NatSport se non è 0. Convertito in numero intero.
NatSrc principal.nat_ip Mappato direttamente da NatSrc.
NodeId intermediary.ip Mappato direttamente da NodeId se sono presenti sia Src o Dst sia NodeId.
NodeId principal.ip Mappato direttamente da NodeId se è presente NodeId, ma non Src e Dst.
Protocol network.ip_protocol Mappato da Protocol dopo averlo convertito in un numero intero e poi utilizzato una ricerca per convertire il numero nel nome del protocollo (ad es. 6 diventa TCP).
RuleId security_result.rule_id Mappato direttamente da RuleId.
Service principal.application Mappato direttamente da Service se non è "Dest. Unreachable (Port Unreachable)".
Service network.application_protocol Se Service è "HTTP" o "HTTPS", imposta sul valore di Service. Se Service contiene "DNS", imposta su "DNS".
Service metadata.event_type Se Service è "HTTP" o "HTTPS", imposta metadata.event_type su "NETWORK_HTTP".
Situation security_result.summary Mappato direttamente da Situation.
Sport principal.port Mappato direttamente da Sport se non è 0. Convertito in numero intero.
Src principal.ip Mappato direttamente da Src.
Timestamp metadata.event_timestamp Mappato direttamente da Timestamp dopo averlo analizzato come data.
Type security_result.severity_details Mappato direttamente da Type.
Type security_result.severity Se Type è "Notification", imposta su "LOW". Se sono presenti Src o NodeId e Dst o CompId, imposta su "NETWORK_CONNECTION". Se è presente solo principal.ip, imposta su "STATUS_UPDATE". In caso contrario, imposta su "GENERIC_EVENT". Imposta su "FORCEPOINT_FIREWALL". Imposta su "FORCEPOINT FIREWALL". Imposta su "FORCEPOINT".
rt metadata.event_timestamp Mappato direttamente da rt dopo averlo analizzato come data nel blocco CEF.
act security_result.action_details Mappato direttamente da act nel blocco CEF.
app principal.application Mappato direttamente da app nel blocco CEF.
deviceFacility metadata.description Mappato direttamente da deviceFacility nel blocco CEF.
destinationTranslatedAddress target.nat_ip Mappato direttamente da destinationTranslatedAddress nel blocco CEF.
destinationTranslatedPort target.nat_port Mappato direttamente da destinationTranslatedPort nel blocco CEF.
dst target.ip Mappato direttamente da dst nel blocco CEF.
dpt target.port Mappato direttamente da dpt nel blocco CEF.
dvchost intermediary.ip Mappato direttamente da dvchost nel blocco CEF.
event_name metadata.product_event_type Mappato direttamente da event_name nel blocco CEF.
msg security_result.description Mappato direttamente da msg nel blocco CEF.
proto network.ip_protocol Mappato da proto dopo averlo convertito in un numero intero e poi utilizzato una ricerca per convertire il numero nel nome del protocollo (ad es. 6 diventa TCP) nel blocco CEF.
sourceTranslatedAddress principal.nat_ip Mappato direttamente da sourceTranslatedAddress nel blocco CEF.
sourceTranslatedPort principal.nat_port Mappato direttamente da sourceTranslatedPort nel blocco CEF.
spt principal.port Mappato direttamente da spt nel blocco CEF.
src principal.ip Mappato direttamente da src nel blocco CEF.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.