Recolha registos do NGFW da Forcepoint

Suportado em:

Google secops SIEM

Este documento explica como carregar registos do Forcepoint NGFW para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos JSON ou das mensagens formatadas em CEF, normaliza-os no modelo de dados unificado (UDM) e enriquece os dados com metadados de fornecedores e produtos. Processa registos formatados em JSON e CEF, usando padrões grok e lógica condicional para mapear campos de registos não processados para campos UDM, incluindo detalhes de ligação de rede, resultados de segurança e metadados.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou Linux com systemd
Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado ao Forcepoint Security Management Center (SMC)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog no Forcepoint NGFW

Inicie sessão no Forcepoint Security Management Center (SMC).
Aceda a Configuração > Servidor de registo > Propriedades.
Navegue para a secção Encaminhamento de registos.
Clique em Adicionar para criar uma nova regra de encaminhamento.
Forneça os seguintes detalhes de configuração:
- Nome: introduza um nome descritivo (por exemplo, Google SecOps BindPlane Syslog).
- Anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514).
- Protocolo: selecione TCP ou UDP, consoante a configuração real do agente Bindplane.
- Formato: selecione JSON.
Configure os campos de registo a encaminhar:
- Clique em Selecionar campos ou aceda à configuração de seleção de campos.
- Selecione os campos de registo relevantes de acordo com os seus requisitos. Os seguintes campos são normalmente necessários para a análise de segurança:
  - TIMESTAMP (Hora da criação)
  - LOG_ID (identificador de dados)
  - EVENT (Evento)
  - EVENT_ID (ID do evento)
  - SRC (endereço de origem)
  - DST (endereço de destino)
  - Sport (porta de origem)
  - Dport (Porta de destino)
  - PROTOCOL (Protocolo)
  - SERVICE (Serviço)
  - RULE_ID (etiqueta de regra)
  - ACTION (Ação)
  - NAT_SRC, NAT_DST, NAT_SPORT, NAT_DPORT (campos NAT)
  - ACC_RX_BYTES, ACC_TX_BYTES, ACC_ELAPSED (campos de contabilidade)
  - NODE_ID (Remetente)
  - COMP_ID (ID do componente)
  - FACILITY (Instalação)
  - INFO_MSG (mensagem de informação)
  - SITUATION (Situação)
  - APPLICATION (Aplicação)
- Para ver uma lista completa de campos exportáveis, consulte a documentação Forcepoint NGFW Exportable Firewall and Layer 2 Firewall log entry fields.
Aceda à secção Eventos e selecione tudo.
Guarde a configuração.
Aplique as alterações ao servidor de registo.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
`AccElapsed`	`network.session_duration.seconds`	Mapeado diretamente a partir de `AccElapsed` se não estiver vazio ou for 0. Convertido em número inteiro.
`AccRxBytes`	`network.received_bytes`	Mapeado diretamente a partir de `AccRxBytes`. Convertido em número inteiro sem sinal.
`AccTxBytes`	`network.sent_bytes`	Mapeado diretamente a partir de `AccTxBytes`. Convertido em número inteiro sem sinal.
`Action`	`security_result.action_details`	Mapeado diretamente a partir de `Action`.
`Action`	`security_result.action`	Se `Action` for "Permitir", defina como "PERMITIR". Se `Action` for "Discard", defina como "BLOCK".
`CompId`	`target.hostname`	Mapeado diretamente a partir de `CompId`.
`Dport`	`target.port`	Mapeado diretamente a partir de `Dport`, se não for 0. Convertido em número inteiro.
`Dst`	`target.ip`	Mapeado diretamente a partir de `Dst`.
`Event`	`metadata.product_event_type`	Mapeado diretamente a partir de `Event`.
`Facility`	`metadata.description`	Mapeado diretamente a partir de `Facility`.
`InfoMsg`	`security_result.description`	Mapeado diretamente a partir de `InfoMsg`.
`LogId`	`metadata.product_log_id`	Mapeado diretamente a partir de `LogId`.
`NatDport`	`target.nat_port`	Mapeado diretamente a partir de `NatDport`, se não for 0. Convertido em número inteiro.
`NatDst`	`target.nat_ip`	Mapeado diretamente a partir de `NatDst`.
`NatSport`	`principal.nat_port`	Mapeado diretamente a partir de `NatSport`, se não for 0. Convertido em número inteiro.
`NatSrc`	`principal.nat_ip`	Mapeado diretamente a partir de `NatSrc`.
`NodeId`	`intermediary.ip`	Mapeado diretamente a partir de `NodeId` se `Src` ou `Dst` e `NodeId` estiverem presentes.
`NodeId`	`principal.ip`	Mapeado diretamente a partir de `NodeId` se `NodeId` estiver presente, mas `Src` e `Dst` não estiverem.
`Protocol`	`network.ip_protocol`	Mapeado a partir de `Protocol` após a conversão para um número inteiro e, em seguida, a utilização de uma pesquisa para converter o número no nome do protocolo (por exemplo, 6 passa a TCP).
`RuleId`	`security_result.rule_id`	Mapeado diretamente a partir de `RuleId`.
`Service`	`principal.application`	Mapeado diretamente a partir de `Service` se não for "Dest. Inacessível (porta inacessível)".
`Service`	`network.application_protocol`	Se `Service` for "HTTP" ou "HTTPS", defina como o valor de `Service`. Se `Service` contiver "DNS", defina como "DNS".
`Service`	`metadata.event_type`	Se `Service` for "HTTP" ou "HTTPS", defina `metadata.event_type` como "NETWORK_HTTP".
`Situation`	`security_result.summary`	Mapeado diretamente a partir de `Situation`.
`Sport`	`principal.port`	Mapeado diretamente a partir de `Sport`, se não for 0. Convertido em número inteiro.
`Src`	`principal.ip`	Mapeado diretamente a partir de `Src`.
`Timestamp`	`metadata.event_timestamp`	Mapeado diretamente a partir de `Timestamp` após a análise como data.
`Type`	`security_result.severity_details`	Mapeado diretamente a partir de `Type`.
`Type`	`security_result.severity`	Se `Type` for "Notification", defina como "LOW". Se `Src` ou `NodeId` e `Dst` ou `CompId` estiverem presentes, defina como "NETWORK_CONNECTION". Se apenas `principal.ip` estiver presente, defina como "STATUS_UPDATE". Caso contrário, defina como "GENERIC_EVENT". Definido como "FORCEPOINT_FIREWALL". Definido como "FORCEPOINT FIREWALL". Definido como "FORCEPOINT".
`rt`	`metadata.event_timestamp`	Mapeado diretamente a partir de `rt` depois de o analisar como uma data no bloco CEF.
`act`	`security_result.action_details`	Mapeado diretamente a partir de `act` no bloco CEF.
`app`	`principal.application`	Mapeado diretamente a partir de `app` no bloco CEF.
`deviceFacility`	`metadata.description`	Mapeado diretamente a partir de `deviceFacility` no bloco CEF.
`destinationTranslatedAddress`	`target.nat_ip`	Mapeado diretamente a partir de `destinationTranslatedAddress` no bloco CEF.
`destinationTranslatedPort`	`target.nat_port`	Mapeado diretamente a partir de `destinationTranslatedPort` no bloco CEF.
`dst`	`target.ip`	Mapeado diretamente a partir de `dst` no bloco CEF.
`dpt`	`target.port`	Mapeado diretamente a partir de `dpt` no bloco CEF.
`dvchost`	`intermediary.ip`	Mapeado diretamente a partir de `dvchost` no bloco CEF.
`event_name`	`metadata.product_event_type`	Mapeado diretamente a partir de `event_name` no bloco CEF.
`msg`	`security_result.description`	Mapeado diretamente a partir de `msg` no bloco CEF.
`proto`	`network.ip_protocol`	Mapeado a partir de `proto` após a conversão para um número inteiro e, em seguida, a utilização de uma pesquisa para converter o número no nome do protocolo (por exemplo, 6 torna-se TCP) no bloco CEF.
`sourceTranslatedAddress`	`principal.nat_ip`	Mapeado diretamente a partir de `sourceTranslatedAddress` no bloco CEF.
`sourceTranslatedPort`	`principal.nat_port`	Mapeado diretamente a partir de `sourceTranslatedPort` no bloco CEF.
`spt`	`principal.port`	Mapeado diretamente a partir de `spt` no bloco CEF.
`src`	`principal.ip`	Mapeado diretamente a partir de `src` no bloco CEF.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.