Recopila registros del NGFW de Forcepoint

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de NGFW de Forcepoint a Google Security Operations con Bindplane. El analizador extrae campos de los registros JSON o los mensajes con formato CEF, los normaliza en el modelo de datos unificado (UDM) y enriquece los datos con metadatos del proveedor y el producto. Maneja registros con formato JSON y CEF, y usa patrones de Grok y lógica condicional para asignar campos de registro sin procesar a campos del UDM, incluidos los detalles de conexión de red, los resultados de seguridad y los metadatos.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows 2016 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado al Forcepoint Security Management Center (SMC)

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <CUSTOMER_ID> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de Syslog en el NGFW de Forcepoint

Accede a Forcepoint Security Management Center (SMC).
Ve a Configuration > Log Server > Properties.
Navega a la sección Log Forwarding.
Haz clic en Agregar para crear una nueva regla de reenvío.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps BindPlane Syslog).
- Host: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane (por ejemplo, 514).
- Protocolo: Selecciona TCP o UDP, según la configuración real del agente de Bindplane.
- Formato: Selecciona JSON.
Configura los campos de registro que se reenviarán:
- Haz clic en Seleccionar campos o accede a la configuración de selección de campos.
- Selecciona los campos de registro pertinentes según tus requisitos. Los siguientes campos suelen ser obligatorios para el análisis de seguridad:
  - TIMESTAMP (Hora de creación)
  - LOG_ID (identificador de datos)
  - EVENT (evento)
  - EVENT_ID (ID del evento)
  - SRC (dirección de origen)
  - DST (dirección de destino)
  - Sport (puerto de origen)
  - Dport (puerto de destino)
  - PROTOCOL (Protocolo)
  - SERVICE (Servicio)
  - RULE_ID (etiqueta de regla)
  - ACTION (acción)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (campos de NAT)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (campos de contabilidad)
  - NODE_ID (Remitente)
  - COMP_ID (ID del componente)
  - FACILITY (instalación)
  - INFO_MSG (mensaje informativo)
  - SITUATION (Situación)
  - APPLICATION (aplicación)
- Para obtener una lista completa de los campos que se pueden exportar, consulta la documentación de Forcepoint NGFW Exportable Firewall and Layer 2 Firewall entrada de registro fields.
Ve a la sección Eventos y selecciona todos.
Guarde la configuración.
Aplica los cambios al servidor de registro.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`AccElapsed`	`network.session_duration.seconds`	Se asigna directamente desde `AccElapsed` si no está vacío o es 0. Se convirtió en un número entero.
`AccRxBytes`	`network.received_bytes`	Se asigna directamente desde `AccRxBytes`. Se convirtió en un número entero sin signo.
`AccTxBytes`	`network.sent_bytes`	Se asigna directamente desde `AccTxBytes`. Se convirtió en un número entero sin signo.
`Action`	`security_result.action_details`	Se asigna directamente desde `Action`.
`Action`	`security_result.action`	Si `Action` es "Allow", se debe establecer en "ALLOW". Si `Action` es "Descartar", se establece en "BLOQUEAR".
`CompId`	`target.hostname`	Se asigna directamente desde `CompId`.
`Dport`	`target.port`	Se asigna directamente desde `Dport` si no es 0. Se convirtió en un número entero.
`Dst`	`target.ip`	Se asigna directamente desde `Dst`.
`Event`	`metadata.product_event_type`	Se asigna directamente desde `Event`.
`Facility`	`metadata.description`	Se asigna directamente desde `Facility`.
`InfoMsg`	`security_result.description`	Se asigna directamente desde `InfoMsg`.
`LogId`	`metadata.product_log_id`	Se asigna directamente desde `LogId`.
`NatDport`	`target.nat_port`	Se asigna directamente desde `NatDport` si no es 0. Se convirtió en un número entero.
`NatDst`	`target.nat_ip`	Se asigna directamente desde `NatDst`.
`NatSport`	`principal.nat_port`	Se asigna directamente desde `NatSport` si no es 0. Se convirtió en un número entero.
`NatSrc`	`principal.nat_ip`	Se asigna directamente desde `NatSrc`.
`NodeId`	`intermediary.ip`	Se asigna directamente desde `NodeId` si están presentes tanto `Src` o `Dst` como `NodeId`.
`NodeId`	`principal.ip`	Se asigna directamente desde `NodeId` si `NodeId` está presente, pero `Src` y `Dst` no lo están.
`Protocol`	`network.ip_protocol`	Se asigna desde `Protocol` después de convertirlo en un número entero y, luego, se usa una búsqueda para convertir el número en el nombre del protocolo (p.ej., 6 se convierte en TCP).
`RuleId`	`security_result.rule_id`	Se asigna directamente desde `RuleId`.
`Service`	`principal.application`	Se asigna directamente desde `Service` si no es "Dest. No se puede acceder al puerto".
`Service`	`network.application_protocol`	Si `Service` es "HTTP" o "HTTPS", se establece en el valor de `Service`. Si `Service` contiene "DNS", se debe establecer como "DNS".
`Service`	`metadata.event_type`	Si `Service` es "HTTP" o "HTTPS", establece `metadata.event_type` como "NETWORK_HTTP".
`Situation`	`security_result.summary`	Se asigna directamente desde `Situation`.
`Sport`	`principal.port`	Se asigna directamente desde `Sport` si no es 0. Se convirtió en un número entero.
`Src`	`principal.ip`	Se asigna directamente desde `Src`.
`Timestamp`	`metadata.event_timestamp`	Se asigna directamente desde `Timestamp` después de analizarlo como una fecha.
`Type`	`security_result.severity_details`	Se asigna directamente desde `Type`.
`Type`	`security_result.severity`	Si `Type` es "Notification", se establece en "LOW". Si están presentes `Src` o `NodeId` y `Dst` o `CompId`, se establece en "NETWORK_CONNECTION". Si solo está presente `principal.ip`, se establece en "STATUS_UPDATE". De lo contrario, se establece como "GENERIC_EVENT". Se debe establecer en "FORCEPOINT_FIREWALL". Se debe establecer en "FORCEPOINT FIREWALL". Se establece en "FORCEPOINT".
`rt`	`metadata.event_timestamp`	Se asigna directamente desde `rt` después de analizarlo como una fecha en el bloque CEF.
`act`	`security_result.action_details`	Se asigna directamente desde `act` en el bloque CEF.
`app`	`principal.application`	Se asigna directamente desde `app` en el bloque CEF.
`deviceFacility`	`metadata.description`	Se asigna directamente desde `deviceFacility` en el bloque CEF.
`destinationTranslatedAddress`	`target.nat_ip`	Se asigna directamente desde `destinationTranslatedAddress` en el bloque CEF.
`destinationTranslatedPort`	`target.nat_port`	Se asigna directamente desde `destinationTranslatedPort` en el bloque CEF.
`dst`	`target.ip`	Se asigna directamente desde `dst` en el bloque CEF.
`dpt`	`target.port`	Se asigna directamente desde `dpt` en el bloque CEF.
`dvchost`	`intermediary.ip`	Se asigna directamente desde `dvchost` en el bloque CEF.
`event_name`	`metadata.product_event_type`	Se asigna directamente desde `event_name` en el bloque CEF.
`msg`	`security_result.description`	Se asigna directamente desde `msg` en el bloque CEF.
`proto`	`network.ip_protocol`	Se asigna desde `proto` después de convertirlo en un número entero y, luego, se usa una búsqueda para convertir el número en el nombre del protocolo (p.ej., 6 se convierte en TCP) en el bloque CEF.
`sourceTranslatedAddress`	`principal.nat_ip`	Se asigna directamente desde `sourceTranslatedAddress` en el bloque CEF.
`sourceTranslatedPort`	`principal.nat_port`	Se asigna directamente desde `sourceTranslatedPort` en el bloque CEF.
`spt`	`principal.port`	Se asigna directamente desde `spt` en el bloque CEF.
`src`	`principal.ip`	Se asigna directamente desde `src` en el bloque CEF.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.