Forcepoint Proxy 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Forcepoint 프록시 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 먼저 입력 로그 메시지를 정리하고 grok 패턴과 정규 표현식을 사용하여 키-값 쌍을 추출합니다. 그런 다음 추출된 필드를 특정 조건과 필드 값을 기반으로 통합 데이터 모델 (UDM)에 매핑하여 다양한 로그 형식과 특이 사례를 처리하여 일관된 데이터 표현을 보장합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Forcepoint Proxy에 대한 권한 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORCEPOINT_WEBPROXY
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Forcepoint Web Security Suite 구성

  1. Forcepoint 콘솔에 로그인합니다.
  2. > 설정 > 일반으로 이동합니다.
  3. SIEM 통합을 클릭합니다.
  4. 이 정책 서버에 SIEM 통합 사용 설정 체크박스를 선택합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • IP 주소 또는 호스트 이름: Bindplane 에이전트의 IP 주소를 입력합니다.
    • 포트 번호: Bindplane 에이전트에 구성된 포트 번호를 입력합니다(예: 514).
    • 전송 프로토콜: UDP 프로토콜을 선택합니다.
    • SIEM 형식: Syslog/CEF (Arcsight)를 선택합니다.
  6. 확인을 클릭합니다.
  7. 저장 및 배포를 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
action security_result.summary action_msg가 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 작업이 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 act가 비어 있지 않으면 security_result.summary에 매핑됩니다.
action_msg security_result.summary action_msg가 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 작업이 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 act가 비어 있지 않으면 security_result.summary에 매핑됩니다.
target.application destinationServiceName이 비어 있지 않으면 app_name에 매핑됩니다. 그렇지 않고 앱이 비어 있지 않으며 http 또는 HTTP이 포함되어 있지 않으면 app_name에 매핑됩니다. 마지막으로 app_name이 target.application에 매핑됩니다.
bytes_in network.received_bytes in이 비어 있지 않으면 bytes_in에 매핑됩니다. 마지막으로 bytes_in이 network.received_bytes에 매핑됩니다.
bytes_out network.sent_bytes out이 비어 있지 않으면 bytes_out에 매핑됩니다. 마지막으로 bytes_out이 network.sent_bytes에 매핑됩니다.
고양이 security_result.category_details cat이 비어 있지 않으면 category에 매핑됩니다. 마지막으로 category가 security_result.category_details에 매핑됩니다.
cn1 security_result.detection_fields.value cn1이 비어 있지 않으면 키 Disposition Number와 함께 security_result.detection_fields.value에 매핑됩니다.
ContentType target.file.mime_type contentType이 비어 있지 않으면 ContentType에 매핑됩니다. 마지막으로 ContentType은 target.file.mime_type에 매핑됩니다.
cs1 target_role.description cs1이 target_role.description에 매핑됩니다.
cs2 security_result.category_details cs2가 비어 있지 않고 0이 아닌 경우 Dynamic Category: 접두사와 함께 security_result.category_details에 매핑됩니다.
cs3 target.file.mime_type cs3이 target.file.mime_type에 매핑됩니다.
description metadata.description 설명이 비어 있지 않으면 metadata.description에 매핑됩니다.
destinationServiceName target.application destinationServiceName이 비어 있지 않으면 app_name에 매핑됩니다. 마지막으로 app_name이 target.application에 매핑됩니다.
deviceFacility metadata.product_event_type product_event와 deviceFacility가 비어 있지 않으면 -로 연결되고 metadata.product_event_type에 매핑됩니다. 그렇지 않으면 product_event가 metadata.product_event_type에 매핑됩니다.
disposition security_result.detection_fields.value 처분이 비어 있지 않으면 키가 Disposition Number인 security_result.detection_fields.value에 매핑됩니다.
dst target.ip dst가 비어 있지 않고 dvchost가 비어 있으면 dst_ip에 매핑됩니다. 마지막으로 dst_ip가 target.ip에 매핑됩니다.
dst_host target.hostname dst가 비어 있지 않고 dvchost가 비어 있으면 dst_host에 매핑됩니다. 마지막으로 dst_host가 target.hostname에 매핑됩니다.
dst_ip target.ip dst가 비어 있지 않고 dvchost가 비어 있으면 dst_ip에 매핑됩니다. 마지막으로 dst_ip가 target.ip에 매핑됩니다.
dst_port target.port dst가 비어 있지 않고 dvchost가 비어 있으면 dst_port에 매핑됩니다. 마지막으로 dst_port가 target.port에 매핑됩니다.
기간 network.session_duration.seconds 기간이 비어 있지 않고 0이 아닌 경우 network.session_duration.seconds에 매핑됩니다.
dvchost intermediary.ip dvchost가 비어 있지 않으면 int_ip에 매핑됩니다. 마지막으로 int_ip가 유효한 IP 주소인 경우 intermediary.ip에 매핑되고, 그렇지 않으면 intermediary.hostname에 매핑됩니다.
file_path target.file.full_path file_path가 비어 있지 않으면 target.file.full_path에 매핑됩니다.
호스트 principal.ip 호스트가 비어 있지 않으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
http_method network.http.method requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 그렇지 않고 메서드가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
http_proxy_status_code network.http.response_code http_response가 비어 있거나 0 또는 -이고 http_proxy_status_code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
http_response network.http.response_code http_response가 비어 있지 않고 0도 아니고 -도 아닌 경우 network.http.response_code에 매핑됩니다.
http_user_agent network.http.user_agent http_user_agent가 비어 있지 않고 -가 아닌 경우 network.http.user_agent에 매핑됩니다.
in network.received_bytes in이 비어 있지 않으면 bytes_in에 매핑됩니다. 마지막으로 bytes_in이 network.received_bytes에 매핑됩니다.
int_host intermediary.hostname int_ip가 비어 있지 않고 int_host가 비어 있지 않으며 int_ip와 다른 경우 intermediary.hostname에 매핑됩니다.
int_ip intermediary.ip dvchost가 비어 있지 않으면 int_ip에 매핑됩니다. 마지막으로 int_ip가 유효한 IP 주소인 경우 intermediary.ip에 매핑되고, 그렇지 않으면 intermediary.hostname에 매핑됩니다.
레벨 target_role.name level이 비어 있지 않고 role이 비어 있으면 role에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
log_level security_result.severity 심각도가 1이거나 log_level에 info이 포함되거나 message에 notice이 포함되면 security_result.severity가 INFORMATIONAL로 설정됩니다. 심각도가 7이면 security_result.severity가 HIGH로 설정됩니다.
loginID principal.user.userid loginID가 비어 있지 않으면 사용자에게 매핑됩니다. 마지막으로 사용자가 비어 있지 않고 -가 아니며 LDAP을 포함하지 않으면 principal.user.userid에 매핑됩니다.
method network.http.method requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 그렇지 않고 메서드가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
NatRuleId security_result.detection_fields.value NatRuleId가 비어 있지 않으면 키 NatRuleId와 함께 security_result.detection_fields.value에 매핑됩니다.
어떨까요? network.sent_bytes out이 비어 있지 않으면 bytes_out에 매핑됩니다. 마지막으로 bytes_out이 network.sent_bytes에 매핑됩니다.
pid target.process.pid pid가 비어 있지 않으면 target.process.pid에 매핑됩니다.
정책 target_role.description 정책이 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 -이 아니면 target_role.description에 매핑됩니다.
정책 target_role.description 정책이 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 -이 아니면 target_role.description에 매핑됩니다.
product_event metadata.product_event_type 제품이 비어 있지 않으면 product_event에 매핑됩니다. product_event와 deviceFacility가 비어 있지 않으면 -로 연결되고 metadata.product_event_type에 매핑됩니다. 그렇지 않으면 product_event가 metadata.product_event_type에 매핑됩니다.
proxyStatus-code network.http.response_code http_response가 비어 있거나 0 또는 -이고 http_proxy_status_code가 비어 있으며 proxyStatus-code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
refererUrl network.http.referral_url refererUrl이 비어 있지 않고 -이 아닌 경우 network.http.referral_url에 매핑됩니다.
requestClientApplication network.http.user_agent requestMethod가 비어 있지 않으면 http_user_agent에 매핑됩니다. 마지막으로 http_user_agent가 network.http.user_agent에 매핑됩니다.
requestMethod network.http.method requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
역할 target_role.name level이 비어 있지 않고 role이 비어 있으면 role에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
RuleID security_result.rule_id RuleID가 비어 있지 않으면 security_result.rule_id에 매핑됩니다.
serverStatus-code network.http.response_code http_response가 비어 있거나 0 또는 -이고 http_proxy_status_code가 비어 있으며 proxyStatus-code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
줄이는 것을 security_result.severity 심각도가 1이거나 log_level에 info이 포함되거나 message에 notice이 포함되면 security_result.severity가 INFORMATIONAL로 설정됩니다. 심각도가 7이면 security_result.severity가 HIGH로 설정됩니다.
spt principal.port spt가 비어 있지 않으면 src_port에 매핑됩니다. 마지막으로 src_port가 principal.port에 매핑됩니다.
src principal.ip src_host가 비어 있지 않으면 source_ip_temp에 매핑됩니다. source_ip_temp가 유효한 IP 주소이고 src가 비어 있으면 src에 매핑됩니다. 호스트가 비어 있지 않으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
src_host principal.hostname src_host가 비어 있지 않으면 source_ip_temp에 매핑됩니다. source_ip_temp가 유효한 IP 주소가 아니면 principal.hostname에 매핑됩니다. source_ip_temp가 유효한 IP 주소이고 src가 비어 있으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
src_port principal.port src_port가 비어 있지 않으면 principal.port에 매핑됩니다.
suser principal.user.userid loginID가 비어 있지 않으면 사용자에게 매핑됩니다. suser가 비어 있지 않으면 user에 매핑됩니다. 마지막으로 사용자가 비어 있지 않고 -가 아니며 LDAP을 포함하지 않으면 principal.user.userid에 매핑됩니다.
url target.url url이 비어 있지 않으면 target.url에 매핑됩니다.
사용자 principal.user.userid loginID가 비어 있지 않으면 사용자에게 매핑됩니다. suser가 비어 있지 않으면 user에 매핑됩니다. 그렇지 않고 usrName이 비어 있지 않으면 user에 매핑됩니다. 마지막으로 사용자가 비어 있지 않고 -가 아니며 LDAP을 포함하지 않으면 principal.user.userid에 매핑됩니다.
usrName principal.user.userid loginID가 비어 있지 않으면 사용자에게 매핑됩니다. suser가 비어 있지 않으면 user에 매핑됩니다. 그렇지 않고 usrName이 비어 있지 않으면 user에 매핑됩니다. 마지막으로 사용자가 비어 있지 않고 -가 아니며 LDAP을 포함하지 않으면 principal.user.userid에 매핑됩니다.
when metadata.event_timestamp when이 비어 있지 않으면 파싱되어 metadata.event_timestamp에 매핑됩니다.
metadata.log_type FORCEPOINT_WEBPROXY 값은 metadata.log_type에 하드 코딩됩니다.
metadata.product_name Forcepoint Webproxy 값은 metadata.product_name에 하드 코딩됩니다.
metadata.vendor_name Forcepoint 값이 metadata.vendor_name에 하드 코딩됩니다.
network.application_protocol dst_port가 80이면 network.application_protocol이 HTTP로 설정됩니다. dst_port가 443이면 network.application_protocol이 HTTPS로 설정됩니다.
principal.user.group_identifiers 사용자가 비어 있지 않고 -이 아니며 LDAP을 포함하는 경우 사용자 문자열의 OU 부분이 추출되어 principal.user.group_identifiers에 매핑됩니다.
principal.user.user_display_name 사용자가 비어 있지 않고 -이 아니며 LDAP을 포함하는 경우 사용자 문자열의 사용자 이름 부분이 추출되어 principal.user.user_display_name에 매핑됩니다.
security_result.action action_msg, action 또는 act가 비어 있지 않으면 값에 따라 sec_action이 ALLOW 또는 BLOCK로 설정됩니다. 마지막으로 sec_action이 security_result.action에 매핑됩니다.
security_result.category_details cat이 비어 있지 않으면 category에 매핑됩니다. 마지막으로 category가 security_result.category_details에 매핑됩니다. cs2가 비어 있지 않고 0이 아닌 경우 Dynamic Category: 접두사와 함께 security_result.category_details에 매핑됩니다.
security_result.detection_fields.key 처분 또는 cn1을 매핑할 때 값 Disposition Number이 security_result.detection_fields.key에 하드코딩됩니다. NatRuleId를 매핑할 때 값 NatRuleId이 security_result.detection_fields.key에 하드코딩됩니다. category_no를 매핑할 때 Category Number 값이 security_result.detection_fields.key에 하드코딩됩니다.
security_result.severity 심각도가 1이거나 log_level에 info이 포함되거나 message에 notice이 포함되면 security_result.severity가 INFORMATIONAL로 설정됩니다. 심각도가 7이면 security_result.severity가 HIGH로 설정됩니다.
target_role.description 정책이 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 -이 아니면 target_role.description에 매핑됩니다.
target_role.name level이 비어 있지 않고 role이 비어 있으면 role에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
category_no security_result.detection_fields.value category_no가 비어 있지 않으면 키가 Category Number인 security_result.detection_fields.value에 매핑됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.