Forcepoint NGFW-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Forcepoint NGFW-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den JSON-Logs oder CEF-formatierten Nachrichten, normalisiert sie im Unified Data Model (UDM) und reichert die Daten mit Anbieter- und Produktmetadaten an. Es verarbeitet sowohl JSON- als auch CEF-formatierte Logs und verwendet Grok-Muster und bedingte Logik, um Rohlogfelder UDM-Feldern zuzuordnen, einschließlich Details zur Netzwerkverbindung, Sicherheitsergebnisse und Metadaten.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder höher- oder Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf das Forcepoint Security Management Center (SMC)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung auf Forcepoint NGFW konfigurieren

Melden Sie sich im Forcepoint Security Management Center (SMC) an.
Rufen Sie Konfiguration > Log Server > Eigenschaften auf.
Rufen Sie den Bereich Log Forwarding (Protokollweiterleitung) auf.
Klicken Sie auf Hinzufügen, um eine neue Weiterleitungsregel zu erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps BindPlane Syslog.
- Host: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514.
- Protokoll: Wählen Sie je nach Ihrer tatsächlichen Bindplane-Agent-Konfiguration TCP oder UDP aus.
- Format: Wählen Sie JSON aus.
Konfigurieren Sie die weiterzuleitenden Logfelder:
- Klicken Sie auf Felder auswählen oder rufen Sie die Konfiguration für die Feldauswahl auf.
- Wählen Sie die relevanten Logfelder entsprechend Ihren Anforderungen aus. Für Sicherheitsanalysen sind in der Regel die folgenden Felder erforderlich:
  - TIMESTAMP (Erstellungszeit)
  - LOG_ID (Daten-ID)
  - EVENT (Ereignis)
  - EVENT_ID (Ereignis-ID)
  - SRC (Quelladresse)
  - DST (Zieladresse)
  - Sport (Quellport)
  - Dport (Zielport)
  - PROTOCOL (Protokoll)
  - SERVICE (Service)
  - RULE_ID (Regel-Tag)
  - ACTION (Aktion)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (NAT-Felder)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (Buchungsfelder)
  - NODE_ID (Sender)
  - COMP_ID (Komponenten-ID)
  - FACILITY (Einrichtung)
  - INFO_MSG (Informationsmeldung)
  - SITUATION (Situation)
  - APPLICATION (Anwendung)
- Eine vollständige Liste der exportierbaren Felder finden Sie in der Dokumentation Forcepoint NGFW Exportable Firewall and Layer 2 Firewall log entry fields.
Rufen Sie den Bereich Events auf und wählen Sie all (alle) aus.
Speichern Sie die Konfiguration.
Wenden Sie die Änderungen auf den Log-Server an.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`AccElapsed`	`network.session_duration.seconds`	Direkt aus `AccElapsed` zugeordnet, sofern nicht leer oder 0. In Ganzzahl umgewandelt.
`AccRxBytes`	`network.received_bytes`	Direkt von `AccRxBytes` zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`AccTxBytes`	`network.sent_bytes`	Direkt von `AccTxBytes` zugeordnet. In eine vorzeichenlose Ganzzahl konvertiert.
`Action`	`security_result.action_details`	Direkt von `Action` zugeordnet.
`Action`	`security_result.action`	Wenn `Action` „Zulassen“ ist, legen Sie „ALLOW“ fest. Wenn `Action` „Discard“ ist, setze es auf „BLOCK“.
`CompId`	`target.hostname`	Direkt von `CompId` zugeordnet.
`Dport`	`target.port`	Direkt aus `Dport` zugeordnet, wenn nicht 0. In Ganzzahl umgewandelt.
`Dst`	`target.ip`	Direkt von `Dst` zugeordnet.
`Event`	`metadata.product_event_type`	Direkt von `Event` zugeordnet.
`Facility`	`metadata.description`	Direkt von `Facility` zugeordnet.
`InfoMsg`	`security_result.description`	Direkt von `InfoMsg` zugeordnet.
`LogId`	`metadata.product_log_id`	Direkt von `LogId` zugeordnet.
`NatDport`	`target.nat_port`	Direkt aus `NatDport` zugeordnet, wenn nicht 0. In Ganzzahl umgewandelt.
`NatDst`	`target.nat_ip`	Direkt von `NatDst` zugeordnet.
`NatSport`	`principal.nat_port`	Direkt aus `NatSport` zugeordnet, wenn nicht 0. In Ganzzahl umgewandelt.
`NatSrc`	`principal.nat_ip`	Direkt von `NatSrc` zugeordnet.
`NodeId`	`intermediary.ip`	Direkt zugeordnet von `NodeId`, wenn sowohl `Src` oder `Dst` als auch `NodeId` vorhanden sind.
`NodeId`	`principal.ip`	Direkt aus `NodeId` zugeordnet, wenn `NodeId` vorhanden ist, `Src` und `Dst` jedoch nicht.
`Protocol`	`network.ip_protocol`	Wird aus `Protocol` abgeleitet, nachdem der Wert in eine Ganzzahl umgewandelt und dann mit einer Suche in den Protokollnamen umgewandelt wurde (z.B. 6 wird zu TCP.
`RuleId`	`security_result.rule_id`	Direkt von `RuleId` zugeordnet.
`Service`	`principal.application`	Direkt aus `Service` zugeordnet, wenn nicht „Dest. Nicht erreichbar (Port nicht erreichbar)“.
`Service`	`network.application_protocol`	Wenn `Service` „HTTP“ oder „HTTPS“ ist, wird der Wert von `Service` festgelegt. Wenn `Service` „DNS“ enthält, legen Sie „DNS“ fest.
`Service`	`metadata.event_type`	Wenn `Service` „HTTP“ oder „HTTPS“ ist, legen Sie `metadata.event_type` auf „NETWORK_HTTP“ fest.
`Situation`	`security_result.summary`	Direkt von `Situation` zugeordnet.
`Sport`	`principal.port`	Direkt aus `Sport` zugeordnet, wenn nicht 0. In Ganzzahl umgewandelt.
`Src`	`principal.ip`	Direkt von `Src` zugeordnet.
`Timestamp`	`metadata.event_timestamp`	Direkt aus `Timestamp` zugeordnet, nachdem es als Datum geparst wurde.
`Type`	`security_result.severity_details`	Direkt von `Type` zugeordnet.
`Type`	`security_result.severity`	Wenn `Type` „Benachrichtigung“ ist, setze den Wert auf „Niedrig“. Wenn `Src` oder `NodeId` und `Dst` oder `CompId` vorhanden sind, legen Sie „NETWORK_CONNECTION“ fest. Wenn nur `principal.ip` vorhanden ist, wird „STATUS_UPDATE“ festgelegt. Andernfalls auf „GENERIC_EVENT“ setzen. Legen Sie diesen Wert auf „FORCEPOINT_FIREWALL“ fest. Legen Sie diesen Wert auf „FORCEPOINT FIREWALL“ fest. Legen Sie diesen Wert auf „FORCEPOINT“ fest.
`rt`	`metadata.event_timestamp`	Direkt aus `rt` zugeordnet, nachdem es als Datum im CEF-Block geparst wurde.
`act`	`security_result.action_details`	Direkt aus `act` im CEF-Block zugeordnet.
`app`	`principal.application`	Direkt aus `app` im CEF-Block zugeordnet.
`deviceFacility`	`metadata.description`	Direkt aus `deviceFacility` im CEF-Block zugeordnet.
`destinationTranslatedAddress`	`target.nat_ip`	Direkt aus `destinationTranslatedAddress` im CEF-Block zugeordnet.
`destinationTranslatedPort`	`target.nat_port`	Direkt aus `destinationTranslatedPort` im CEF-Block zugeordnet.
`dst`	`target.ip`	Direkt aus `dst` im CEF-Block zugeordnet.
`dpt`	`target.port`	Direkt aus `dpt` im CEF-Block zugeordnet.
`dvchost`	`intermediary.ip`	Direkt aus `dvchost` im CEF-Block zugeordnet.
`event_name`	`metadata.product_event_type`	Direkt aus `event_name` im CEF-Block zugeordnet.
`msg`	`security_result.description`	Direkt aus `msg` im CEF-Block zugeordnet.
`proto`	`network.ip_protocol`	Wird aus `proto` abgeleitet, nachdem der Wert in eine Ganzzahl umgewandelt und dann mit einer Suche in den Protokollnamen umgewandelt wurde (z.B. 6 wird zu TCP) im CEF-Block.
`sourceTranslatedAddress`	`principal.nat_ip`	Direkt aus `sourceTranslatedAddress` im CEF-Block zugeordnet.
`sourceTranslatedPort`	`principal.nat_port`	Direkt aus `sourceTranslatedPort` im CEF-Block zugeordnet.
`spt`	`principal.port`	Direkt aus `spt` im CEF-Block zugeordnet.
`src`	`principal.ip`	Direkt aus `src` im CEF-Block zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten