Recopila registros de Forcepoint Web Security

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Forcepoint Web Security a Google Security Operations con Bindplane.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Un host de Windows 2016 o posterior, o Linux con systemd para el agente de Bindplane
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso con privilegios a la consola de administración de Forcepoint Web Security o Forcepoint Security Manager
  • Conectividad de red entre Forcepoint Web Security y el host del agente de Bindplane
  • Forcepoint Web Security versión 7.8 o posterior (recomendado para la compatibilidad con el formato CEF)

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Puedes configurar el agente de Bindplane para que reciba mensajes de syslog a través de TCP o UDP. Elige el protocolo que mejor se adapte a tu entorno y a los requisitos de la red.

Elige tu protocolo

  • TCP (recomendado para la confiabilidad): Proporciona entrega y es adecuado para la mayoría de los entornos. Usa TCP cuando la entrega confiable de registros sea fundamental y quieras asegurarte de que no se pierdan registros debido a problemas de red.
  • UDP (recomendado para el rendimiento): Ofrece una latencia más baja y menos sobrecarga. Usa UDP cuando se requiera una alta capacidad de procesamiento y se acepte la pérdida ocasional de registros.

Configura el agente de BindPlane

  1. Accede al archivo de configuración:

    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml con la configuración del protocolo que elegiste:

    • Opción A: Configuración de TCP (recomendada)

      receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

    • Opción B: Configuración de UDP

      receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

      • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura (el valor predeterminado es 0.0.0.0:514).

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

  • Para verificar que el agente se esté ejecutando en Linux, ejecuta el siguiente comando:

    sudo systemctl status observiq-otel-collector

  • Para verificar que el agente se esté ejecutando en Windows, ejecuta el siguiente comando:

    sc query observiq-otel-collector

Configura el reenvío de Syslog en Forcepoint Web Security

Configura Forcepoint Web Security para que reenvíe registros al agente de BindPlane en formato CEF (formato de evento común).

Uso de Forcepoint Security Manager

  1. Accede a Forcepoint Security Manager con credenciales de administrador.
  2. Ve a Configuración > Registro.
  3. En el panel de navegación de la izquierda, selecciona Servidores de registro.
  4. Haz clic en Agregar para crear una nueva configuración del servidor de registros.
  5. Proporciona los siguientes detalles de configuración:
    • Tipo de servidor: Selecciona Servidor Syslog o Servidor CEF.
    • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google Security Operations Bindplane CEF).
    • Host: Ingresa la dirección IP o el nombre de host del agente de Bindplane.
    • Puerto: Ingresa el número de puerto del agente de Bindplane (por ejemplo, 514).
    • Protocolo: Selecciona el protocolo que coincida con tu configuración de Bindplane:
      • Selecciona TCP si configuraste el receptor tcplog en Bindplane (recomendado).
      • Selecciona UDP si configuraste el receptor udplog en Bindplane.
    • Formato: Selecciona CEF (formato de evento común).
    • Facility: Selecciona Local0 (o cualquier otra instalación disponible).
    • Gravedad: Selecciona Informativo (para capturar todos los niveles de registro).
  6. En Log Categories o Event Types, selecciona los eventos que deseas reenviar:
    • Registros de acceso web (registros de transacciones)
    • Eventos de seguridad (detecciones de amenazas)
    • Authentication Events (eventos de autenticación; acceso o cierre de sesión del usuario)
    • Eventos del sistema (cambios en el sistema y la configuración)
    • También puedes seleccionar Todos los eventos para reenviar todos los tipos de registros disponibles.
  7. Opcional: Configura parámetros adicionales:
    • Tamaño del lote: Establece 1 para el reenvío en tiempo real o un valor más alto para el procesamiento por lotes.
    • Formato del mensaje: Asegúrate de que esté seleccionado el formato CEF.
    • Include User Information: Habilita esta opción para incluir la identidad del usuario en los registros.
  8. Haz clic en Probar conexión para verificar la conectividad con el agente de BindPlane.
    • Debería aparecer un mensaje de prueba en los registros del agente de Bindplane.
    • Si la prueba falla, verifica la conectividad de red y las reglas de firewall.
  9. Haz clic en Guardar para aplicar la configuración.
  10. Haz clic en Deploy para enviar la configuración a todas las puertas de enlace de Forcepoint Web Security.

Uso del dispositivo Forcepoint Web Security (configuración directa)

Si realizas la configuración directamente en el dispositivo, haz lo siguiente:

  1. Accede a la interfaz de administración del dispositivo de seguridad web de Forcepoint.
  2. Ve a System > Log Server.
  3. Haz clic en Agregar o Editar para crear o modificar un servidor de registro.
  4. Proporciona los siguientes detalles de configuración:
    • Dirección del servidor: Ingresa la dirección IP del agente de BindPlane.
    • Puerto: Ingresa 514 (o tu puerto personalizado).
    • Protocolo: Selecciona TCP o UDP para que coincida con la configuración de Bindplane.
    • Formato: Selecciona CEF o Formato de evento común.
    • Facility: Selecciona Local0.
  5. En Tipos de registros, selecciona los registros que deseas reenviar:
    • Registros de acceso
    • Registros de seguridad
    • Registros de administrador
  6. Haz clic en Aplicar o Guardar.
  7. Si usas varios electrodomésticos, repite esta configuración en cada uno de ellos.

Verificación del formato de CEF

  • Forcepoint Web Security envía registros en formato CEF con la siguiente estructura:

    CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

    • Ejemplo de registro de CEF:

       CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

El analizador de Google SecOps espera el formato CEF y extraerá los siguientes campos clave:

  • src: Dirección IP de origen
  • dst: Dirección IP de destino
  • spt: Puerto de origen
  • dpt: Puerto de destino
  • requestMethod: Método HTTP
  • request o url: URL solicitada
  • cs1: Acción (permitir o bloquear)
  • cs2: Categoría de URL
  • suser: Nombre de usuario

Verifica que se estén transfiriendo los registros

Después de la configuración, verifica que los registros fluyan de Forcepoint Web Security a Google SecOps:

  1. En la consola de Forcepoint, verifica que se envíen los registros:

    • Ve a Configuración > Logging > Log Servers.
    • Verifica la columna Estado de tu servidor configurado. Debería mostrar Activo o Conectado.
    • Consulta las Estadísticas para ver la cantidad de registros enviados.

  2. En el host del agente de BindPlane, verifica los registros del agente en busca de mensajes syslog entrantes:

    • Linux:

       sudo journalctl -u observiq-otel-collector -f

      • Busca entradas de registro que contengan mensajes en formato CEF:

           CEF:0|Forcepoint|Web Security|...

    • Windows:

      1. Selecciona el Visualizador de eventos de Windows en Registros de aplicaciones y servicios > observIQ.

      2. En Google SecOps, verifica que aparezcan los registros:

        • Ve a Search > UDM Search.
        • Usa la siguiente consulta:
        metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
        • Ajusta el intervalo de tiempo a las horas recientes (por ejemplo, Última hora).
        • Verifica que los eventos aparezcan en los resultados.

      3. Verifica que los campos específicos se analicen correctamente:

        metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""

      4. Ve a Configuración de SIEM > Agentes de recopilación para ver las estadísticas de transferencia:

        • Selecciona el recuento de Eventos recibidos.
        • Verifica que la marca de tiempo de Last succeeded on sea reciente.

Soluciona problemas

No aparecen registros en Google SecOps

Síntomas: El agente de Bindplane se está ejecutando, pero no aparecen registros en Google SecOps.

Causas posibles:

  1. Problemas de conectividad de red entre el agente de Forcepoint y Bindplane.
  2. El firewall bloquea el puerto de syslog.
  3. Incompatibilidad de protocolos (TCP configurado en Bindplane, pero UDP configurado en Forcepoint, o viceversa)
  4. La dirección IP o el puerto del agente de Bindplane son incorrectos en la configuración de Forcepoint.
  5. Se configuró un extremo regional incorrecto en BindPlane.
  6. El formato CEF no está habilitado en Forcepoint.

Solución:

  1. Verifica la conectividad de red:

    # From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

  2. Verifica las reglas de firewall en el host de Bindplane:

    # Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

  3. Verifica la coincidencia del protocolo:

    • Verifica que Bindplane config.yaml sea tcplog o udplog.
    • Verifica la configuración del servidor de registro de Forcepoint para que coincida con el protocolo.

  4. Verifica que el formato CEF esté habilitado:

    • En Forcepoint Security Manager, ve a Settings > Logging > Log Servers.
    • Verifica que Formato esté establecido en CEF o Formato de evento común.

  5. Verifica el extremo regional:

  6. Verifica si hay errores en los registros del agente de Bindplane:

    sudo journalctl -u observiq-otel-collector -n 100 --no-pager

    Busca mensajes de error como los siguientes:

    • connection refused: Problema de red o firewall
    • authentication failed: Problema con la credencial
    • invalid endpoint: Problema con el extremo regional

Errores de incompatibilidad de protocolos

Síntomas: No se reciben registros, se producen errores de conexión en la prueba de Forcepoint o se muestran errores Connection refused en los registros de Bindplane.

Solución:

  1. Asegúrate de que el protocolo configurado en Bindplane (tcplog o udplog) coincida con el protocolo configurado en Forcepoint (TCP o UDP).

  2. Si usas TCP y tienes problemas de conexión, verifica que el agente de Bindplane esté escuchando:

    # Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

  3. Si el puerto no está en modo de escucha, reinicia el agente de Bindplane.

Errores de autenticación

Síntomas: Los registros del agente de Bindplane muestran errores de autenticación en Google SecOps.

Causas posibles:

  1. El ID de cliente es incorrecto.
  2. El archivo de autenticación de transferencia no es válido o venció.
  3. La ruta de acceso al archivo de autenticación de la transferencia no es correcta.
  4. El extremo regional es incorrecto.

Solución:

  1. Verifica que el ID del cliente en config.yaml coincida con el ID de Configuración de SIEM > Perfil.
  2. Vuelve a descargar el archivo de autenticación de la transferencia desde Configuración de SIEM > Agentes de recopilación.
  3. Verifica que la ruta de config.yaml apunte a la ubicación correcta.
  4. Verifica que el extremo regional coincida con la región de tu instancia de Google SecOps.

  5. Asegúrate de que el agente de Bindplane tenga permisos de lectura en el archivo de autenticación:

    sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

Aparecen registros, pero no se analizan los campos

Síntomas: Los registros aparecen en Google SecOps, pero los campos como principal.ip y target.url están vacíos.

Causas posibles:

  1. Los registros no están en formato CEF.
  2. El formato CEF no es válido o no es estándar.
  3. No coincide el tipo de registro en la configuración de Bindplane.

Solución:

  1. Verifica el formato CEF en los registros sin procesar:

    • En Google SecOps, ve a Search > Raw Log Search.
    • Busca registros recientes de Forcepoint.
    • Verifica que los registros comiencen con CEF:0|Forcepoint|Web Security|.

  2. Si los registros no están en formato CEF, haz lo siguiente:

    • En Forcepoint, cambia Format a CEF o Common Event Format.
    • Vuelve a implementar la configuración.

  3. Verifica el tipo de registro en Bindplane config.yaml:

    • Asegúrate de que log_type: 'FORCEPOINT_PROXY' esté configurado correctamente.

  4. Verifica si hay variaciones en los nombres de los campos de CEF:

    • Es posible que algunas versiones de Forcepoint usen nombres de campos de CEF diferentes.
    • Verifica que los nombres de los campos coincidan con las extensiones de CEF esperadas en la tabla de asignación del UDM.

Latencia alta o retrasos en los registros

Síntomas: Los registros aparecen en Google SecOps con una demora significativa (más de 5 minutos).

Causas posibles:

  1. Latencia de red entre Forcepoint y el agente de Bindplane
  2. Restricciones de recursos del agente de Bindplane (CPU/memoria).
  3. El procesamiento por lotes está habilitado en Forcepoint.
  4. Es la lista de tareas pendientes de transferencia de datos de Google SecOps.

Solución:

  1. Verifica la latencia de la red:

    ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

  2. Verifica el uso de recursos del agente de Bindplane:

    top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

  3. En Forcepoint, ajusta la configuración por lotes:

    • Ve a Configuración > Logging > Log Servers.
    • Establece el Tamaño del lote en 1 para el reenvío en tiempo real.
    • También puedes reducir el intervalo de lotes para enviar mensajes con mayor frecuencia.

  4. Si los recursos son limitados, considera escalar el host del agente de Bindplane (más CPU o memoria).

  5. Si usas UDP, verifica que la infraestructura de red admita el rendimiento requerido sin pérdida de paquetes.

Falla la conexión de prueba de Forcepoint

Síntomas: Cuando se hace clic en Probar conexión en Forcepoint, la prueba falla.

Solución:

  1. Verifica que el agente de Bindplane esté en ejecución:

    sudo systemctl status observiq-otel-collector

  2. Verifica que el agente de Bindplane esté escuchando en el puerto configurado:

    sudo netstat -tuln | grep 514

  3. Inhabilita temporalmente el firewall para realizar pruebas:

    # Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

  4. Verifica los registros del agente de Bindplane durante la prueba:

    sudo journalctl -u observiq-otel-collector -f
    • Deberías ver un intento de conexión entrante.

  5. Si la prueba sigue fallando, verifica que la dirección IP y el puerto sean correctos en la configuración de Forcepoint.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
action security_result.summary Si action_msg no está vacío, se asigna a security_result.summary. De lo contrario, si action no está vacío, se asigna a security_result.summary. De lo contrario, si act no está vacío, se asigna a security_result.summary.
action_msg security_result.summary Si action_msg no está vacío, se asigna a security_result.summary. De lo contrario, si action no está vacío, se asigna a security_result.summary. De lo contrario, si act no está vacío, se asigna a security_result.summary.
app target.application Si destinationServiceName no está vacío, se asigna a app_name. De lo contrario, si app no está vacío y no contiene http o HTTP, se asigna a app_name. Por último, app_name se asigna a target.application.
bytes_in network.received_bytes Si in no está vacío, se asigna a bytes_in. Por último, bytes_in se asigna a network.received_bytes.
bytes_out network.sent_bytes Si out no está vacío, se asigna a bytes_out. Por último, bytes_out se asigna a network.sent_bytes.
cat security_result.category_details Si cat no está vacío, se asigna a category. Por último, category se asigna a security_result.category_details.
category_no security_result.detection_fields.value Si category_no no está vacío, se asigna a security_result.detection_fields.value con la clave Category Number.
cn1 security_result.detection_fields.value Si cn1 no está vacío, se asigna a security_result.detection_fields.value con la clave Disposition Number.
ContentType target.file.mime_type Si contentType no está vacío, se asigna a ContentType. Por último, ContentType se asigna a target.file.mime_type.
cs1 target_role.description cs1 se asigna a target_role.description.
cs2 security_result.category_details Si cs2 no está vacío y no es 0, se asigna a security_result.category_details con el prefijo Dynamic Category:.
cs3 target.file.mime_type cs3 se asigna a target.file.mime_type.
description metadata.description Si description no está vacío, se asigna a metadata.description.
destinationServiceName target.application Si destinationServiceName no está vacío, se asigna a app_name. Por último, app_name se asigna a target.application.
deviceFacility metadata.product_event_type Si product_event y deviceFacility no están vacíos, se concatenan con - y se asignan a metadata.product_event_type. De lo contrario, product_event se asigna a metadata.product_event_type.
disposition security_result.detection_fields.value Si disposition no está vacío, se asigna a security_result.detection_fields.value con la clave Disposition Number.
dst target.ip Si dst no está vacío y dvchost está vacío, se asigna a dst_ip. Por último, dst_ip se asigna a target.ip.
dst_host target.hostname Si dst no está vacío y dvchost está vacío, se asigna a dst_host. Por último, dst_host se asigna a target.hostname.
dst_ip target.ip Si dst no está vacío y dvchost está vacío, se asigna a dst_ip. Por último, dst_ip se asigna a target.ip.
dst_port target.port Si dst no está vacío y dvchost está vacío, se asigna a dst_port. Por último, dst_port se asigna a target.port.
duration network.session_duration.seconds Si duration no está vacío y no es 0, se asigna a network.session_duration.seconds.
dvchost intermediary.ip Si dvchost no está vacío, se asigna a int_ip. Por último, int_ip se asigna a intermediary.ip si es una dirección IP válida; de lo contrario, se asigna a intermediary.hostname.
file_path target.file.full_path Si file_path no está vacío, se asigna a target.file.full_path.
host principal.ip Si host no está vacío, se asigna a src. Por último, src se asigna a principal.ip.
http_method network.http.method Si requestMethod no está vacío, se asigna a http_method. De lo contrario, si method no está vacío, se asigna a http_method. Por último, http_method se asigna a network.http.method.
http_proxy_status_code network.http.response_code Si http_response está vacío, es 0 o -, y http_proxy_status_code no está vacío, se asigna a network.http.response_code.
http_response network.http.response_code Si http_response no está vacío, no es 0 ni -, se asigna a network.http.response_code.
http_user_agent network.http.user_agent Si http_user_agent no está vacío y no es -, se asigna a network.http.user_agent.
in network.received_bytes Si in no está vacío, se asigna a bytes_in. Por último, bytes_in se asigna a network.received_bytes.
int_host intermediary.hostname Si int_ip no está vacío y int_host no está vacío y es diferente de int_ip, se asigna a intermediary.hostname.
int_ip intermediary.ip Si dvchost no está vacío, se asigna a int_ip. Por último, int_ip se asigna a intermediary.ip si es una dirección IP válida; de lo contrario, se asigna a intermediary.hostname.
level target_role.name Si level no está vacío y role está vacío, se asigna a role. Por último, role se asigna a target_role.name.
log_level security_result.severity Si severity es 1 o log_level contiene info o message contiene notice, security_result.severity se establece en INFORMATIONAL. Si severity es 7, security_result.severity se establece en HIGH.
loginID principal.user.userid Si loginID no está vacío, se asigna a user. Por último, si user no está vacío, no es - y no contiene LDAP, se asigna a principal.user.userid.
method network.http.method Si requestMethod no está vacío, se asigna a http_method. De lo contrario, si method no está vacío, se asigna a http_method. Por último, http_method se asigna a network.http.method.
NatRuleId security_result.detection_fields.value Si NatRuleId no está vacío, se asigna a security_result.detection_fields.value con la clave NatRuleId.
out network.sent_bytes Si out no está vacío, se asigna a bytes_out. Por último, bytes_out se asigna a network.sent_bytes.
pid target.process.pid Si pid no está vacío, se asigna a target.process.pid.
policy target_role.description Si Policy no está vacío, se asigna a policy. Si policy no está vacío y no es -, se asigna a target_role.description.
Policy target_role.description Si Policy no está vacío, se asigna a policy. Si policy no está vacío y no es -, se asigna a target_role.description.
product_event metadata.product_event_type Si product no está vacío, se asigna a product_event. Si product_event y deviceFacility no están vacíos, se concatenan con - y se asignan a metadata.product_event_type. De lo contrario, product_event se asigna a metadata.product_event_type.
proxyStatus-code network.http.response_code Si http_response está vacío, es 0 o -, y http_proxy_status_code está vacío y proxyStatus-code no está vacío, se asigna a network.http.response_code.
refererUrl network.http.referral_url Si refererUrl no está vacío y no es -, se asigna a network.http.referral_url.
requestClientApplication network.http.user_agent Si requestMethod no está vacío, se asigna a http_user_agent. Por último, http_user_agent se asigna a network.http.user_agent.
requestMethod network.http.method Si requestMethod no está vacío, se asigna a http_method. Por último, http_method se asigna a network.http.method.
role target_role.name Si level no está vacío y role está vacío, se asigna a role. Por último, role se asigna a target_role.name.
RuleID security_result.rule_id Si RuleID no está vacío, se asigna a security_result.rule_id.
serverStatus-code network.http.response_code Si http_response está vacío, es 0 o -, y http_proxy_status_code está vacío y proxyStatus-code no está vacío, se asigna a network.http.response_code.
severity security_result.severity Si severity es 1 o log_level contiene info o message contiene notice, security_result.severity se establece en INFORMATIONAL. Si severity es 7, security_result.severity se establece en HIGH.
spt principal.port Si spt no está vacío, se asigna a src_port. Por último, src_port se asigna a principal.port.
src principal.ip Si src_host no está vacío, se asigna a source_ip_temp. Si source_ip_temp es una dirección IP válida y src está vacío, se asigna a src. Si host no está vacío, se asigna a src. Por último, src se asigna a principal.ip.
src_host principal.hostname Si src_host no está vacío, se asigna a source_ip_temp. Si source_ip_temp no es una dirección IP válida, se asigna a principal.hostname. Si source_ip_temp es una dirección IP válida y src está vacío, se asigna a src. Por último, src se asigna a principal.ip.
src_port principal.port Si src_port no está vacío, se asigna a principal.port.
suser principal.user.userid Si loginID no está vacío, se asigna a user. Si suser no está vacío, se asigna a user. Por último, si user no está vacío, no es - y no contiene LDAP, se asigna a principal.user.userid.
url target.url Si url no está vacío, se asigna a target.url.
user principal.user.userid Si loginID no está vacío, se asigna a user. Si suser no está vacío, se asigna a user. De lo contrario, si usrName no está vacío, se asigna a user. Por último, si user no está vacío, no es - y no contiene LDAP, se asigna a principal.user.userid.
usrName principal.user.userid Si loginID no está vacío, se asigna a user. Si suser no está vacío, se asigna a user. De lo contrario, si usrName no está vacío, se asigna a user. Por último, si user no está vacío, no es - y no contiene LDAP, se asigna a principal.user.userid.
when metadata.event_timestamp Si when no está vacío, se analiza y se asigna a metadata.event_timestamp.
N/A metadata.log_type El valor FORCEPOINT_WEBPROXY está codificado de forma fija en metadata.log_type.
N/A metadata.product_name El valor Forcepoint Webproxy está codificado de forma fija en metadata.product_name.
N/A metadata.vendor_name El valor Forcepoint está codificado de forma fija en metadata.vendor_name.
N/A network.application_protocol Si dst_port es 80, network.application_protocol se establece en HTTP. Si dst_port es 443, network.application_protocol se establece en HTTPS.
N/A principal.user.group_identifiers Si user no está vacío, no es - y contiene LDAP, se extrae la parte de la UO de la cadena del usuario y se asigna a principal.user.group_identifiers.
N/A principal.user.user_display_name Si user no está vacío, no es - y contiene LDAP, se extrae la parte del nombre de usuario de la cadena del usuario y se asigna a principal.user.user_display_name.
N/A security_result.action Si action_msg, action o act no están vacíos, sec_action se establece en ALLOW o BLOCK según sus valores. Por último, sec_action se asigna a security_result.action.
N/A security_result.detection_fields.key El valor Disposition Number está codificado de forma rígida en security_result.detection_fields.key cuando se asigna disposition o cn1. El valor NatRuleId se codifica de forma fija en security_result.detection_fields.key cuando se asigna NatRuleId. El valor Category Number se codifica de forma fija en security_result.detection_fields.key cuando se asigna category_no.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.