Esta página se ha traducido con Cloud Translation API.

Recoger registros de Forcepoint Web Security

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de Forcepoint Web Security en Google Security Operations mediante Bindplane.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps
Un host con Windows 2016 o una versión posterior, o Linux con systemd para el agente de Bindplane
Si se ejecuta a través de un proxy, asegúrese de que los puertos del cortafuegos estén abiertos según los requisitos del agente Bindplane.
Acceso privilegiado a la consola de gestión de Forcepoint Web Security o a Forcepoint Security Manager
Conectividad de red entre Forcepoint Web Security y el host del agente de Bindplane
Forcepoint Web Security versión 7.8 o posterior (recomendado para la compatibilidad con el formato CEF)

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre la petición de comando o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de root o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

Puede configurar el agente de Bindplane para que reciba mensajes syslog a través de TCP o UDP. Elige el protocolo que mejor se adapte a tu entorno y a los requisitos de tu red.

Elige el protocolo

TCP (recomendado por su fiabilidad): proporciona la entrega y es adecuado para la mayoría de los entornos. Usa TCP cuando sea fundamental que los registros se envíen de forma fiable y quieras asegurarte de que no se pierdan registros debido a problemas de red.
UDP (recomendado para mejorar el rendimiento): ofrece una latencia más baja y menos sobrecarga. Usa UDP cuando se requiera un rendimiento alto y se acepte una pérdida de registros ocasional.

Configurar el agente de BindPlane

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml con la configuración del protocolo que hayas elegido:

Opción A: Configuración de TCP (recomendada)

receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

Opción B: configuración de UDP

receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura (el valor predeterminado es 0.0.0.0:514).

Nota: El puerto 514 es el puerto syslog estándar. Si este puerto ya está en uso o restringido, elija un puerto alternativo (por ejemplo, 1514 o 5514) y configúrelo en Forcepoint Web Security.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```
Para comprobar que el agente se está ejecutando en Linux, ejecuta el siguiente comando:
```
sudo systemctl status observiq-otel-collector
```
Para comprobar que el agente se está ejecutando en Windows, ejecuta el siguiente comando:
```
sc query observiq-otel-collector
```

Configurar el reenvío de Syslog en Forcepoint Web Security

Configura Forcepoint Web Security para que reenvíe los registros al agente de Bindplane en formato CEF (Common Event Format).

Usar Forcepoint Security Manager

Inicia sesión en Forcepoint Security Manager con credenciales de administrador.
Ve a Ajustes > Registro.
En el panel de navegación de la izquierda, selecciona Servidores de registro.
Haga clic en Añadir para crear una configuración de servidor de registro.
Proporcione los siguientes detalles de configuración:
- Tipo de servidor: selecciona Servidor Syslog o Servidor CEF.
- Nombre: introduce un nombre descriptivo (por ejemplo, Google Security Operations Bindplane CEF).
- Host: introduce la dirección IP o el nombre de host del agente de Bindplane.
- Puerto: introduce el número de puerto del agente de Bindplane (por ejemplo, 514).
- Protocolo: selecciona el protocolo que coincida con tu configuración de Bindplane:
  - Selecciona TCP si has configurado el receptor tcplog en Bindplane (opción recomendada).
  - Selecciona UDP si has configurado el receptor udplog en Bindplane.
- Formato: seleccione CEF (Common Event Format).
- Facility: selecciona Local0 (u otra instalación disponible).
- Gravedad: selecciona Informativa (para registrar todos los niveles de registro).
En Categorías de registro o Tipos de evento, seleccione los eventos que quiera reenviar:
- ☑ Registros de acceso web (registros de transacciones)
- ☑ Eventos de seguridad (detecciones de amenazas)
- ☑ Eventos de autenticación (inicio y cierre de sesión de usuarios)
- ☑ Eventos del sistema (cambios en el sistema y en la configuración)
- También puede seleccionar Todos los eventos para reenviar todos los tipos de registros disponibles.
Opcional: Configura ajustes adicionales:
- Tamaño del lote: asigna el valor 1 para el reenvío en tiempo real o un valor superior para el procesamiento por lotes.
- Formato de mensaje: asegúrate de que esté seleccionado el formato CEF.
- Incluir información de usuario: habilita esta opción para incluir la identidad del usuario en los registros.
Haz clic en Probar conexión para verificar la conectividad con el agente de Bindplane.
- Debería aparecer un mensaje de prueba en los registros del agente de Bindplane.
- Si la prueba falla, comprueba la conectividad de red y las reglas de cortafuegos.
Haz clic en Guardar para aplicar la configuración.
Haga clic en Implementar para enviar la configuración a todas las pasarelas de Forcepoint Web Security.

Usar el dispositivo Forcepoint Web Security (configuración directa)

Si vas a configurar el dispositivo directamente:

Inicia sesión en la interfaz de gestión del dispositivo de seguridad web de Forcepoint.
Ve a Sistema > Servidor de registro.
Haz clic en Añadir o en Editar para crear o modificar un servidor de registro.
Proporcione los siguientes detalles de configuración:
- Dirección del servidor: introduce la dirección IP del agente de Bindplane.
- Puerto: introduce 514 (o tu puerto personalizado).
- Protocolo: selecciona TCP o UDP para que coincida con tu configuración de Bindplane.
- Formato: selecciona CEF o Formato de evento común.
- Instalación: selecciona Local0.
En Log Types (Tipos de registro), selecciona los registros que quieras reenviar:
- ☑ Registros de acceso
- ☑ Registros de seguridad
- ☑ Registros de administrador
Haz clic en Aplicar o en Guardar.
Si utilizas varios electrodomésticos, repite esta configuración en cada uno de ellos.

Verificación del formato CEF

Forcepoint Web Security envía registros en formato CEF con la siguiente estructura:

CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

Ejemplo de registro CEF:

 CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

El analizador de Google SecOps espera el formato CEF y extraerá los siguientes campos clave:

src: dirección IP de origen
dst: dirección IP de destino
spt - Puerto de origen
dpt: puerto de destino
requestMethod: método HTTP
request o url: URL solicitada
cs1 - Acción (permitir o bloquear)
cs2 - Categoría de URL
suser - Nombre de usuario

Verificar que se están ingiriendo los registros

Después de la configuración, comprueba que los registros se envían de Forcepoint Web Security a Google SecOps:

En la consola de Forcepoint, comprueba que se están enviando los registros:
- Ve a Ajustes > Registro > Servidores de registro.
- Comprueba la columna Estado del servidor configurado. Debería mostrar Activo o Conectado.
- Consulta las estadísticas para ver el número de registros enviados.
En el host del agente de BindPlane, comprueba los registros del agente para ver los mensajes syslog entrantes:
- Linux:
```
 sudo journalctl -u observiq-otel-collector -f
```
  - Busca entradas de registro que contengan mensajes en formato CEF:
```
   CEF:0|Forcepoint|Web Security|...
```
- Windows:
  1. Selecciona el Visor de eventos de Windows en Registros de aplicaciones y servicios > observIQ.
  2. En Google SecOps, comprueba que los registros se muestren:
    - Ve a Buscar > Búsqueda de UDM.
    - Usa la siguiente consulta:
```
metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
```
    - Ajusta el periodo a las últimas horas (por ejemplo, Última hora).
    - Verifica que los eventos aparezcan en los resultados.
  3. Verifica que los campos específicos se estén analizando correctamente:
```
metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""
```
  4. Vaya a Configuración de SIEM > Agentes de recogida para ver las estadísticas de ingestión:
    - Selecciona el número de Eventos recibidos.
    - Comprueba que la marca de tiempo de Última ejecución correcta el sea reciente.

Solución de problemas

No aparecen registros en Google SecOps

Síntomas: el agente de Bindplane se está ejecutando, pero no aparecen registros en Google SecOps.

Posibles causas:

Problemas de conectividad de red entre Forcepoint y el agente de Bindplane.
El cortafuegos bloquea el puerto syslog.
Protocolo no coincidente (TCP configurado en Bindplane, pero UDP configurado en Forcepoint, o viceversa).
Dirección IP o puerto del agente de Bindplane incorrectos en la configuración de Forcepoint.
Endpoint regional incorrecto configurado en Bindplane.
El formato CEF no está habilitado en Forcepoint.

Solución:

Verifica la conectividad de red:

# From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

Comprueba las reglas de cortafuegos en el host de Bindplane:

# Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

Verifica que el protocolo coincida:
- Consulta Bindplane config.yaml para tcplog o udplog.
- Comprueba la configuración del servidor de registro de Forcepoint para ver si coincide con el protocolo.
Comprueba que el formato CEF esté habilitado:
- En Forcepoint Security Manager, vaya a Settings > Logging > Log Servers.
- Verifica que Formato esté definido como CEF o Formato de evento común.
Verifica el endpoint regional:
- Comprueba que el endpoint de config.yaml coincida con la región de tu instancia de Google SecOps.
- Consulta la documentación de los endpoints regionales.
Comprueba si hay errores en los registros del agente de BindPlane:
```
sudo journalctl -u observiq-otel-collector -n 100 --no-pager
```
Busca mensajes de error como los siguientes:
- connection refused - Problema de red o cortafuegos
- authentication failed - Problema con las credenciales
- invalid endpoint - Problema con el endpoint regional

Errores de protocolo no coincidente

Síntomas: no se reciben registros, se producen errores de conexión en la prueba de Forcepoint o se producen errores Connection refused en los registros de Bindplane.

Solución:

Asegúrese de que el protocolo configurado en Bindplane (tcplog o udplog) coincida con el protocolo configurado en Forcepoint (TCP o UDP).

Si usas TCP y tienes problemas de conexión, comprueba que el agente de Bindplane esté escuchando:

# Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

Si el puerto no está escuchando, reinicia el agente de Bindplane.

Errores de autenticación

Síntomas: los registros del agente de Bindplane muestran errores de autenticación en Google SecOps.

Posibles causas:

ID de cliente incorrecto.
El archivo de autenticación de la ingestión no es válido o ha caducado.
Ruta incorrecta al archivo de autenticación de la ingestión.
Endpoint regional incorrecto.

Solución:

Verifica que el ID de cliente de config.yaml coincida con el ID de Configuración de SIEM > Perfil.
Vuelve a descargar el archivo de autenticación de ingestión desde Configuración de SIEM > Agentes de recogida.
Verifica que la ruta de config.yaml apunta a la ubicación correcta.
Verifica que el endpoint regional coincida con la región de tu instancia de Google SecOps.

Asegúrate de que el agente de Bindplane tenga permisos de lectura en el archivo de autenticación:

sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

Aparecen registros, pero no se analizan los campos

Síntomas: los registros aparecen en Google SecOps, pero los campos como principal.ip y target.url están vacíos.

Posibles causas:

Los registros no están en formato CEF.
El formato CEF tiene un formato incorrecto o no es estándar.
Los tipos de registro no coinciden en la configuración de Bindplane.

Solución:

Verificar el formato CEF en los registros sin procesar:
- En Google SecOps, ve a Buscar > Búsqueda de registros sin procesar.
- Busca registros recientes de Forcepoint.
- Verifica que los registros empiecen por CEF:0|Forcepoint|Web Security|.
Si los registros no están en formato CEF:
- En Forcepoint, cambia Format a CEF o Common Event Format.
- Vuelve a implementar la configuración.
Verifica el tipo de registro en Bindplane config.yaml:
- Asegúrate de que log_type: 'FORCEPOINT_PROXY' esté configurado correctamente.
Comprueba si hay variaciones en los nombres de los campos CEF:
- Es posible que algunas versiones de Forcepoint usen nombres de campos CEF diferentes.
- Verifica que los nombres de los campos coincidan con las extensiones CEF esperadas en la tabla de asignación de UDM.

Latencia alta o retrasos en los registros

Síntomas: los registros aparecen en Google SecOps con un retraso significativo (más de 5 minutos).

Posibles causas:

Latencia de red entre Forcepoint y el agente de Bindplane.
Restricciones de recursos del agente de Bindplane (CPU o memoria).
Procesamiento por lotes habilitado en Forcepoint.
Retraso en la ingestión de Google SecOps.

Solución:

Verifica la latencia de la red:

ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

Comprueba el uso de recursos del agente de Bindplane:

top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

En Forcepoint, ajusta la configuración de los lotes:
- Ve a Ajustes > Registro > Servidores de registro.
- Asigna el valor 1 a Tamaño de lote para el reenvío en tiempo real.
- También puedes reducir el intervalo entre lotes para enviar datos con más frecuencia.
Si los recursos son limitados, considera la posibilidad de escalar el host del agente Bindplane (más CPU o memoria).
Si usas UDP, comprueba que la infraestructura de red admita el rendimiento necesario sin pérdida de paquetes.

Falla la conexión de prueba de Forcepoint

Síntomas: al hacer clic en Probar conexión en Forcepoint, la prueba falla.

Solución:

Comprueba que el agente de Bindplane se está ejecutando:
```
sudo systemctl status observiq-otel-collector
```
Verifica que el agente de Bindplane esté escuchando en el puerto configurado:
```
sudo netstat -tuln | grep 514
```

Inhabilita temporalmente el cortafuegos para hacer la prueba:

# Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

Comprueba los registros del agente de BindPlane durante la prueba:
```
sudo journalctl -u observiq-otel-collector -f
```
- Debería ver un intento de conexión entrante.
Si la prueba sigue fallando, comprueba que la dirección IP y el puerto sean correctos en la configuración de Forcepoint.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.summary`	Si `action_msg` no está vacío, se asigna a `security_result.summary`. De lo contrario, si `action` no está vacío, se asigna a `security_result.summary`. De lo contrario, si `act` no está vacío, se asigna a `security_result.summary`.
`action_msg`	`security_result.summary`	Si `action_msg` no está vacío, se asigna a `security_result.summary`. De lo contrario, si `action` no está vacío, se asigna a `security_result.summary`. De lo contrario, si `act` no está vacío, se asigna a `security_result.summary`.
`app`	`target.application`	Si `destinationServiceName` no está vacío, se asigna a `app_name`. De lo contrario, si `app` no está vacío y no contiene http o HTTP, se asigna a `app_name`. Por último, `app_name` se asigna a `target.application`.
`bytes_in`	`network.received_bytes`	Si `in` no está vacío, se asigna a `bytes_in`. Por último, `bytes_in` se asigna a `network.received_bytes`.
`bytes_out`	`network.sent_bytes`	Si `out` no está vacío, se asigna a `bytes_out`. Por último, `bytes_out` se asigna a `network.sent_bytes`.
`cat`	`security_result.category_details`	Si `cat` no está vacío, se asigna a `category`. Por último, `category` se asigna a `security_result.category_details`.
`category_no`	`security_result.detection_fields.value`	Si `category_no` no está vacío, se asigna a `security_result.detection_fields.value` con la clave `Category Number`.
`cn1`	`security_result.detection_fields.value`	Si `cn1` no está vacío, se asigna a `security_result.detection_fields.value` con la clave `Disposition Number`.
`ContentType`	`target.file.mime_type`	Si `contentType` no está vacío, se asigna a `ContentType`. Por último, `ContentType` se asigna a `target.file.mime_type`.
`cs1`	`target_role.description`	`cs1` está asignado a `target_role.description`.
`cs2`	`security_result.category_details`	Si `cs2` no está vacío y no es `0`, se asigna a `security_result.category_details` con el prefijo `Dynamic Category:`.
`cs3`	`target.file.mime_type`	`cs3` está asignado a `target.file.mime_type`.
`description`	`metadata.description`	Si `description` no está vacío, se asigna a `metadata.description`.
`destinationServiceName`	`target.application`	Si `destinationServiceName` no está vacío, se asigna a `app_name`. Por último, `app_name` se asigna a `target.application`.
`deviceFacility`	`metadata.product_event_type`	Si `product_event` y `deviceFacility` no están vacíos, se concatenan con `-` y se asignan a `metadata.product_event_type`. De lo contrario, `product_event` se asigna a `metadata.product_event_type`.
`disposition`	`security_result.detection_fields.value`	Si `disposition` no está vacío, se asigna a `security_result.detection_fields.value` con la clave `Disposition Number`.
`dst`	`target.ip`	Si `dst` no está vacío y `dvchost` está vacío, se asigna a `dst_ip`. Por último, `dst_ip` se asigna a `target.ip`.
`dst_host`	`target.hostname`	Si `dst` no está vacío y `dvchost` está vacío, se asigna a `dst_host`. Por último, `dst_host` se asigna a `target.hostname`.
`dst_ip`	`target.ip`	Si `dst` no está vacío y `dvchost` está vacío, se asigna a `dst_ip`. Por último, `dst_ip` se asigna a `target.ip`.
`dst_port`	`target.port`	Si `dst` no está vacío y `dvchost` está vacío, se asigna a `dst_port`. Por último, `dst_port` se asigna a `target.port`.
`duration`	`network.session_duration.seconds`	Si `duration` no está vacío y no es `0`, se asigna a `network.session_duration.seconds`.
`dvchost`	`intermediary.ip`	Si `dvchost` no está vacío, se asigna a `int_ip`. Por último, `int_ip` se asigna a `intermediary.ip` si es una dirección IP válida. De lo contrario, se asigna a `intermediary.hostname`.
`file_path`	`target.file.full_path`	Si `file_path` no está vacío, se asigna a `target.file.full_path`.
`host`	`principal.ip`	Si `host` no está vacío, se asigna a `src`. Por último, `src` se asigna a `principal.ip`.
`http_method`	`network.http.method`	Si `requestMethod` no está vacío, se asigna a `http_method`. De lo contrario, si `method` no está vacío, se asigna a `http_method`. Por último, `http_method` se asigna a `network.http.method`.
`http_proxy_status_code`	`network.http.response_code`	Si `http_response` está vacío, o es `0` o `-`, y `http_proxy_status_code` no está vacío, se asigna a `network.http.response_code`.
`http_response`	`network.http.response_code`	Si `http_response` no está vacío, no es `0` ni `-`, se asigna a `network.http.response_code`.
`http_user_agent`	`network.http.user_agent`	Si `http_user_agent` no está vacío y no es `-`, se asigna a `network.http.user_agent`.
`in`	`network.received_bytes`	Si `in` no está vacío, se asigna a `bytes_in`. Por último, `bytes_in` se asigna a `network.received_bytes`.
`int_host`	`intermediary.hostname`	Si `int_ip` no está vacío, `int_host` no está vacío y es diferente de `int_ip`, se asigna a `intermediary.hostname`.
`int_ip`	`intermediary.ip`	Si `dvchost` no está vacío, se asigna a `int_ip`. Por último, `int_ip` se asigna a `intermediary.ip` si es una dirección IP válida. De lo contrario, se asigna a `intermediary.hostname`.
`level`	`target_role.name`	Si `level` no está vacío y `role` está vacío, se asigna a `role`. Por último, `role` se asigna a `target_role.name`.
`log_level`	`security_result.severity`	Si `severity` es `1` o `log_level` contiene `info` o `message` contiene `notice`, `security_result.severity` se define como `INFORMATIONAL`. Si `severity` es `7`, `security_result.severity` se define como `HIGH`.
`loginID`	`principal.user.userid`	Si `loginID` no está vacío, se asigna a `user`. Por último, si `user` no está vacío, no es `-` y no contiene `LDAP`, se asigna a `principal.user.userid`.
`method`	`network.http.method`	Si `requestMethod` no está vacío, se asigna a `http_method`. De lo contrario, si `method` no está vacío, se asigna a `http_method`. Por último, `http_method` se asigna a `network.http.method`.
`NatRuleId`	`security_result.detection_fields.value`	Si `NatRuleId` no está vacío, se asigna a `security_result.detection_fields.value` con la clave `NatRuleId`.
`out`	`network.sent_bytes`	Si `out` no está vacío, se asigna a `bytes_out`. Por último, `bytes_out` se asigna a `network.sent_bytes`.
`pid`	`target.process.pid`	Si `pid` no está vacío, se asigna a `target.process.pid`.
`policy`	`target_role.description`	Si `Policy` no está vacío, se asigna a `policy`. Si `policy` no está vacío y no es `-`, se asigna a `target_role.description`.
`Policy`	`target_role.description`	Si `Policy` no está vacío, se asigna a `policy`. Si `policy` no está vacío y no es `-`, se asigna a `target_role.description`.
`product_event`	`metadata.product_event_type`	Si `product` no está vacío, se asigna a `product_event`. Si `product_event` y `deviceFacility` no están vacíos, se concatenan con `-` y se asignan a `metadata.product_event_type`. De lo contrario, `product_event` se asigna a `metadata.product_event_type`.
`proxyStatus-code`	`network.http.response_code`	Si `http_response` está vacío, `0` o `-`, y `http_proxy_status_code` está vacío y `proxyStatus-code` no está vacío, se asigna a `network.http.response_code`.
`refererUrl`	`network.http.referral_url`	Si `refererUrl` no está vacío y no es `-`, se asigna a `network.http.referral_url`.
`requestClientApplication`	`network.http.user_agent`	Si `requestMethod` no está vacío, se asigna a `http_user_agent`. Por último, `http_user_agent` se asigna a `network.http.user_agent`.
`requestMethod`	`network.http.method`	Si `requestMethod` no está vacío, se asigna a `http_method`. Por último, `http_method` se asigna a `network.http.method`.
`role`	`target_role.name`	Si `level` no está vacío y `role` está vacío, se asigna a `role`. Por último, `role` se asigna a `target_role.name`.
`RuleID`	`security_result.rule_id`	Si `RuleID` no está vacío, se asigna a `security_result.rule_id`.
`serverStatus-code`	`network.http.response_code`	Si `http_response` está vacío, `0` o `-`, y `http_proxy_status_code` está vacío y `proxyStatus-code` no está vacío, se asigna a `network.http.response_code`.
`severity`	`security_result.severity`	Si `severity` es `1` o `log_level` contiene `info` o `message` contiene `notice`, `security_result.severity` se define como `INFORMATIONAL`. Si `severity` es `7`, `security_result.severity` se define como `HIGH`.
`spt`	`principal.port`	Si `spt` no está vacío, se asigna a `src_port`. Por último, `src_port` se asigna a `principal.port`.
`src`	`principal.ip`	Si `src_host` no está vacío, se asigna a `source_ip_temp`. Si `source_ip_temp` es una dirección IP válida y `src` está vacío, se asigna a `src`. Si `host` no está vacío, se asigna a `src`. Por último, `src` se asigna a `principal.ip`.
`src_host`	`principal.hostname`	Si `src_host` no está vacío, se asigna a `source_ip_temp`. Si `source_ip_temp` no es una dirección IP válida, se asigna a `principal.hostname`. Si `source_ip_temp` es una dirección IP válida y `src` está vacío, se asigna a `src`. Por último, `src` se asigna a `principal.ip`.
`src_port`	`principal.port`	Si `src_port` no está vacío, se asigna a `principal.port`.
`suser`	`principal.user.userid`	Si `loginID` no está vacío, se asigna a `user`. Si `suser` no está vacío, se asigna a `user`. Por último, si `user` no está vacío, no es `-` y no contiene `LDAP`, se asigna a `principal.user.userid`.
`url`	`target.url`	Si `url` no está vacío, se asigna a `target.url`.
`user`	`principal.user.userid`	Si `loginID` no está vacío, se asigna a `user`. Si `suser` no está vacío, se asigna a `user`. De lo contrario, si `usrName` no está vacío, se asigna a `user`. Por último, si `user` no está vacío, no es `-` y no contiene `LDAP`, se asigna a `principal.user.userid`.
`usrName`	`principal.user.userid`	Si `loginID` no está vacío, se asigna a `user`. Si `suser` no está vacío, se asigna a `user`. De lo contrario, si `usrName` no está vacío, se asigna a `user`. Por último, si `user` no está vacío, no es `-` y no contiene `LDAP`, se asigna a `principal.user.userid`.
`when`	`metadata.event_timestamp`	Si `when` no está vacío, se analiza y se asigna a `metadata.event_timestamp`.
N/A	`metadata.log_type`	El valor `FORCEPOINT_WEBPROXY` está codificado en `metadata.log_type`.
N/A	`metadata.product_name`	El valor `Forcepoint Webproxy` está codificado en `metadata.product_name`.
N/A	`metadata.vendor_name`	El valor `Forcepoint` está codificado en `metadata.vendor_name`.
N/A	`network.application_protocol`	Si `dst_port` es `80`, `network.application_protocol` se define como `HTTP`. Si `dst_port` es `443`, `network.application_protocol` se define como `HTTPS`.
N/A	`principal.user.group_identifiers`	Si `user` no está vacío, no es `-` y contiene `LDAP`, se extrae la parte de la unidad organizativa de la cadena de usuario y se asigna a `principal.user.group_identifiers`.
N/A	`principal.user.user_display_name`	Si `user` no está vacío, no es `-` y contiene `LDAP`, se extrae la parte del nombre de usuario de la cadena de usuario y se asigna a `principal.user.user_display_name`.
N/A	`security_result.action`	Si `action_msg`, `action` o `act` no están vacíos, `sec_action` se asigna a `ALLOW` o `BLOCK` en función de sus valores. Por último, `sec_action` se asigna a `security_result.action`.
N/A	`security_result.detection_fields.key`	El valor `Disposition Number` se codifica de forma fija en `security_result.detection_fields.key` al asignar `disposition` o `cn1`. El valor `NatRuleId` se codifica de forma fija en `security_result.detection_fields.key` al asignar `NatRuleId`. El valor `Category Number` se codifica de forma fija en `security_result.detection_fields.key` al asignar `category_no`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.