Mengumpulkan log Forcepoint NGFW

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Forcepoint NGFW ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log JSON atau pesan berformat CEF, menormalisasinya ke dalam Model Data Terpadu (UDM), dan memperkaya data dengan metadata vendor dan produk. Log ini menangani log berformat JSON dan CEF, menggunakan pola grok dan logika bersyarat untuk memetakan kolom log mentah ke kolom UDM, termasuk detail koneksi jaringan, hasil keamanan, dan metadata.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke Forcepoint Security Management Center (SMC)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di Forcepoint NGFW

Login ke Forcepoint Security Management Center (SMC).
Buka Configuration > Log Server > Properties.
Buka bagian Penerusan Log.
Klik Tambahkan untuk membuat aturan penerusan baru.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya, Google SecOps BindPlane Syslog).
- Host: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (misalnya, 514).
- Protocol: Pilih TCP atau UDP, bergantung pada konfigurasi agen Bindplane Anda yang sebenarnya.
- Format: Pilih JSON.
Konfigurasi kolom log yang akan diteruskan:
- Klik Pilih Kolom atau akses konfigurasi pemilihan kolom.
- Pilih kolom log yang relevan sesuai dengan kebutuhan Anda. Kolom berikut biasanya diperlukan untuk analisis keamanan:
  - TIMESTAMP (Waktu Pembuatan)
  - LOG_ID (ID Data)
  - EVENT (Acara)
  - EVENT_ID (ID Acara)
  - SRC (Alamat Sumber)
  - DST (Alamat Tujuan)
  - Sport (Port Sumber)
  - Dport (Port Tujuan)
  - PROTOCOL (Protokol)
  - SERVICE (Layanan)
  - RULE_ID (Tag Aturan)
  - ACTION (Tindakan)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (kolom NAT)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (Kolom akuntansi)
  - NODE_ID (Pengirim)
  - COMP_ID (ID Komponen)
  - FACILITY (Fasilitas)
  - INFO_MSG (Pesan Informasi)
  - SITUATION (Situasi)
  - APPLICATION (Aplikasi)
- Untuk mengetahui daftar lengkap kolom yang dapat diekspor, lihat dokumentasi Kolom entri log Firewall yang dapat diekspor dan Firewall Layer 2 Forcepoint NGFW.
Buka bagian Peristiwa, lalu pilih semua.
Simpan konfigurasi.
Terapkan perubahan pada Server Log.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AccElapsed`	`network.session_duration.seconds`	Dipetakan langsung dari `AccElapsed` jika tidak kosong atau 0. Dikonversi ke bilangan bulat.
`AccRxBytes`	`network.received_bytes`	Dipetakan langsung dari `AccRxBytes`. Dikonversi menjadi bilangan bulat tidak bertanda.
`AccTxBytes`	`network.sent_bytes`	Dipetakan langsung dari `AccTxBytes`. Dikonversi menjadi bilangan bulat tidak bertanda.
`Action`	`security_result.action_details`	Dipetakan langsung dari `Action`.
`Action`	`security_result.action`	Jika `Action` adalah "Izinkan", tetapkan ke "IZINKAN". Jika `Action` adalah "Hapus", tetapkan ke "BLOCK".
`CompId`	`target.hostname`	Dipetakan langsung dari `CompId`.
`Dport`	`target.port`	Dipetakan langsung dari `Dport` jika bukan 0. Dikonversi ke bilangan bulat.
`Dst`	`target.ip`	Dipetakan langsung dari `Dst`.
`Event`	`metadata.product_event_type`	Dipetakan langsung dari `Event`.
`Facility`	`metadata.description`	Dipetakan langsung dari `Facility`.
`InfoMsg`	`security_result.description`	Dipetakan langsung dari `InfoMsg`.
`LogId`	`metadata.product_log_id`	Dipetakan langsung dari `LogId`.
`NatDport`	`target.nat_port`	Dipetakan langsung dari `NatDport` jika bukan 0. Dikonversi ke bilangan bulat.
`NatDst`	`target.nat_ip`	Dipetakan langsung dari `NatDst`.
`NatSport`	`principal.nat_port`	Dipetakan langsung dari `NatSport` jika bukan 0. Dikonversi ke bilangan bulat.
`NatSrc`	`principal.nat_ip`	Dipetakan langsung dari `NatSrc`.
`NodeId`	`intermediary.ip`	Dipetakan langsung dari `NodeId` jika `Src` atau `Dst` dan `NodeId` ada.
`NodeId`	`principal.ip`	Dipetakan langsung dari `NodeId` jika `NodeId` ada, tetapi `Src` dan `Dst` tidak ada.
`Protocol`	`network.ip_protocol`	Dipetakan dari `Protocol` setelah mengonversinya menjadi bilangan bulat, lalu menggunakan pencarian untuk mengonversi angka menjadi nama protokol (misalnya, 6 menjadi TCP).
`RuleId`	`security_result.rule_id`	Dipetakan langsung dari `RuleId`.
`Service`	`principal.application`	Dipetakan langsung dari `Service` jika bukan "Dest. Tidak Dapat Diakses (Port Unreachable)".
`Service`	`network.application_protocol`	Jika `Service` adalah "HTTP" atau "HTTPS", tetapkan ke nilai `Service`. Jika `Service` berisi "DNS", tetapkan ke "DNS".
`Service`	`metadata.event_type`	Jika `Service` adalah "HTTP" atau "HTTPS", tetapkan `metadata.event_type` ke "NETWORK_HTTP".
`Situation`	`security_result.summary`	Dipetakan langsung dari `Situation`.
`Sport`	`principal.port`	Dipetakan langsung dari `Sport` jika bukan 0. Dikonversi ke bilangan bulat.
`Src`	`principal.ip`	Dipetakan langsung dari `Src`.
`Timestamp`	`metadata.event_timestamp`	Dipetakan langsung dari `Timestamp` setelah menguraikannya sebagai tanggal.
`Type`	`security_result.severity_details`	Dipetakan langsung dari `Type`.
`Type`	`security_result.severity`	Jika `Type` adalah "Notification", tetapkan ke "LOW". Jika `Src` atau `NodeId` dan `Dst` atau `CompId` ada, tetapkan ke "NETWORK_CONNECTION". Jika hanya `principal.ip` yang ada, tetapkan ke "STATUS_UPDATE". Jika tidak, ditetapkan ke "GENERIC_EVENT". Tetapkan ke "FORCEPOINT_FIREWALL". Tetapkan ke "FORCEPOINT FIREWALL". Setel ke "FORCEPOINT".
`rt`	`metadata.event_timestamp`	Dipetakan langsung dari `rt` setelah menguraikannya sebagai tanggal di blok CEF.
`act`	`security_result.action_details`	Dipetakan langsung dari `act` di blok CEF.
`app`	`principal.application`	Dipetakan langsung dari `app` di blok CEF.
`deviceFacility`	`metadata.description`	Dipetakan langsung dari `deviceFacility` di blok CEF.
`destinationTranslatedAddress`	`target.nat_ip`	Dipetakan langsung dari `destinationTranslatedAddress` di blok CEF.
`destinationTranslatedPort`	`target.nat_port`	Dipetakan langsung dari `destinationTranslatedPort` di blok CEF.
`dst`	`target.ip`	Dipetakan langsung dari `dst` di blok CEF.
`dpt`	`target.port`	Dipetakan langsung dari `dpt` di blok CEF.
`dvchost`	`intermediary.ip`	Dipetakan langsung dari `dvchost` di blok CEF.
`event_name`	`metadata.product_event_type`	Dipetakan langsung dari `event_name` di blok CEF.
`msg`	`security_result.description`	Dipetakan langsung dari `msg` di blok CEF.
`proto`	`network.ip_protocol`	Dipetakan dari `proto` setelah mengonversinya menjadi bilangan bulat, lalu menggunakan pencarian untuk mengonversi angka menjadi nama protokol (misalnya, 6 menjadi TCP) di blok CEF.
`sourceTranslatedAddress`	`principal.nat_ip`	Dipetakan langsung dari `sourceTranslatedAddress` di blok CEF.
`sourceTranslatedPort`	`principal.nat_port`	Dipetakan langsung dari `sourceTranslatedPort` di blok CEF.
`spt`	`principal.port`	Dipetakan langsung dari `spt` di blok CEF.
`src`	`principal.ip`	Dipetakan langsung dari `src` di blok CEF.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.