Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Forcepoint Web Security

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Forcepoint Web Security dans Google Security Operations à l'aide de l'agent Bindplane.

Forcepoint Web Security est un proxy Web et une passerelle de sécurité qui génèrent des messages syslog au format CEF (Common Event Format) pour l'accès Web, les événements de sécurité, l'authentification et l'application des règles. L'analyseur extrait les champs des journaux au format CEF et syslog, et les mappe au modèle UDM (Unified Data Model).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et Forcepoint Web Security
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès administrateur à l'interface de gestion de Forcepoint Security Manager ou de l'appliance

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Vous pouvez configurer l'agent Bindplane pour qu'il reçoive des messages syslog via TCP (recommandé) ou UDP.

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration du protocole de votre choix :

Option A : Configuration TCP (recommandée)

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/forcepoint_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORCEPOINT_WEBPROXY
        raw_log_field: body

service:
    pipelines:
        logs/forcepoint_tcp_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/forcepoint_webproxy

Option B : Configuration UDP

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/forcepoint_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORCEPOINT_WEBPROXY
        raw_log_field: body

service:
    pipelines:
        logs/forcepoint_udp_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/forcepoint_webproxy

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non racine).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog sur Forcepoint Web Security

Configurez Forcepoint Web Security pour qu'il transfère les journaux à l'agent Bindplane au format CEF (Common Event Format).

Utiliser Forcepoint Security Manager

Connectez-vous à Forcepoint Security Manager avec des identifiants administrateur.
Accédez à Paramètres > Journalisation.
Dans le panneau de navigation de gauche, sélectionnez Serveurs de journaux.
Cliquez sur Ajouter pour créer une configuration de serveur de journaux.
Fournissez les informations de configuration suivantes :
- Type de serveur : sélectionnez Serveur Syslog ou Serveur CEF.
- Nom : saisissez un nom descriptif (par exemple, Google Security Operations Bindplane CEF).
- Hôte : saisissez l'adresse IP ou le nom d'hôte de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514).
- Protocole : sélectionnez le protocole correspondant à votre configuration Bindplane :
  - Sélectionnez TCP si vous avez configuré le récepteur tcplog dans Bindplane (recommandé).
  - Sélectionnez UDP si vous avez configuré le récepteur udplog dans Bindplane.
- Format : sélectionnez CEF (Common Event Format).
- Site : sélectionnez Local0 (ou un autre site disponible).
- Gravité : sélectionnez Informationnel (pour capturer tous les niveaux de journalisation).
Sous Catégories de journaux ou Types d'événements, sélectionnez les événements à transférer :
- Journaux d'accès Web (journaux des transactions)
- Événements de sécurité (détections de menaces)
- Événements d'authentification (connexion/déconnexion des utilisateurs)
- Événements système (modifications du système et de la configuration)
- Vous pouvez également sélectionner Tous les événements pour transférer tous les types de journaux disponibles.
Facultatif : Configurez des paramètres supplémentaires :
- Taille du lot : définissez la valeur sur 1 pour le transfert en temps réel ou sur une valeur supérieure pour le traitement par lot.
- Format du message : assurez-vous que le format CEF est sélectionné.
- Inclure les informations sur les utilisateurs : activez cette option pour inclure l'identité des utilisateurs dans les journaux.
Cliquez sur Tester la connexion pour vérifier la connectivité à l'agent Bindplane.
Cliquez sur Enregistrer pour appliquer la configuration.
Cliquez sur Deploy (Déployer) pour transférer la configuration à toutes les passerelles Forcepoint Web Security.

Utiliser Forcepoint Web Security Appliance (configuration directe)

Si vous configurez directement sur l'appliance :

Connectez-vous à l'interface de gestion de Forcepoint Web Security Appliance.
Accédez à Système> Serveur de journaux.
Cliquez sur Ajouter ou Modifier pour créer ou modifier un serveur de journaux.
Fournissez les informations de configuration suivantes :
- Adresse du serveur : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez 514 (ou votre port personnalisé).
- Protocole : sélectionnez TCP ou UDP pour correspondre à votre configuration Bindplane.
- Format : sélectionnez CEF ou Common Event Format.
- Établissement : sélectionnez Local0.
Sous Types de journaux, sélectionnez les journaux à transférer :
- Journaux d'accès
- Journaux de sécurité
- Journaux d'administration
Cliquez sur Appliquer ou sur Enregistrer.
Si vous utilisez plusieurs appareils, répétez cette configuration sur chacun d'eux.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`action`	`security_result.summary`	Si `action_msg` n'est pas vide, il est mappé à `security_result.summary`. Sinon, si `action` n'est pas vide, il est mappé sur `security_result.summary`. Sinon, si `act` n'est pas vide, il est mappé sur `security_result.summary`.
`action_msg`	`security_result.summary`	Si `action_msg` n'est pas vide, il est mappé à `security_result.summary`. Sinon, si `action` n'est pas vide, il est mappé sur `security_result.summary`. Sinon, si `act` n'est pas vide, il est mappé sur `security_result.summary`.
`app`	`target.application`	Si `destinationServiceName` n'est pas vide, il est mappé à `app_name`. Sinon, si `app` n'est pas vide et ne contient pas http ni HTTP, il est mappé sur `app_name`. Enfin, `app_name` est mappé sur `target.application`.
`bytes_in`	`network.received_bytes`	Si `in` n'est pas vide, il est mappé à `bytes_in`. Enfin, `bytes_in` est mappé sur `network.received_bytes`.
`bytes_out`	`network.sent_bytes`	Si `out` n'est pas vide, il est mappé à `bytes_out`. Enfin, `bytes_out` est mappé sur `network.sent_bytes`.
`cat`	`security_result.category_details`	Si `cat` n'est pas vide, il est mappé à `category`. Enfin, `category` est mappé sur `security_result.category_details`.
`category_no`	`security_result.detection_fields.value`	Si `category_no` n'est pas vide, il est mappé à `security_result.detection_fields.value` avec la clé `Category Number`.
`cn1`	`security_result.detection_fields.value`	Si `cn1` n'est pas vide, il est mappé à `security_result.detection_fields.value` avec la clé `Disposition Number`.
`ContentType`	`target.file.mime_type`	Si `contentType` n'est pas vide, il est mappé à `ContentType`. Enfin, `ContentType` est mappé sur `target.file.mime_type`.
`cs1`	`target_role.description`	`cs1` est mappé sur `target_role.description`.
`cs2`	`security_result.category_details`	Si `cs2` n'est pas vide et n'est pas `0`, il est mappé sur `security_result.category_details` avec le préfixe `Dynamic Category:`.
`cs3`	`target.file.mime_type`	`cs3` est mappé sur `target.file.mime_type`.
`description`	`metadata.description`	Si `description` n'est pas vide, il est mappé à `metadata.description`.
`destinationServiceName`	`target.application`	Si `destinationServiceName` n'est pas vide, il est mappé à `app_name`. Enfin, `app_name` est mappé sur `target.application`.
`deviceFacility`	`metadata.product_event_type`	Si `product_event` et `deviceFacility` ne sont pas vides, ils sont concaténés avec `-` et mappés sur `metadata.product_event_type`. Sinon, `product_event` est mappé sur `metadata.product_event_type`.
`disposition`	`security_result.detection_fields.value`	Si `disposition` n'est pas vide, il est mappé à `security_result.detection_fields.value` avec la clé `Disposition Number`.
`dst`	`target.ip`	Si `dst` n'est pas vide et que `dvchost` l'est, il est mappé à `dst_ip`. Enfin, `dst_ip` est mappé sur `target.ip`.
`dst_host`	`target.hostname`	Si `dst` n'est pas vide et que `dvchost` l'est, il est mappé à `dst_host`. Enfin, `dst_host` est mappé sur `target.hostname`.
`dst_ip`	`target.ip`	Si `dst` n'est pas vide et que `dvchost` l'est, il est mappé à `dst_ip`. Enfin, `dst_ip` est mappé sur `target.ip`.
`dst_port`	`target.port`	Si `dst` n'est pas vide et que `dvchost` l'est, il est mappé à `dst_port`. Enfin, `dst_port` est mappé sur `target.port`.
`duration`	`network.session_duration.seconds`	Si `duration` n'est pas vide et n'est pas `0`, il est mappé sur `network.session_duration.seconds`.
`dvchost`	`intermediary.ip`	Si `dvchost` n'est pas vide, il est mappé à `int_ip`. Enfin, `int_ip` est mappé sur `intermediary.ip` s'il s'agit d'une adresse IP valide, sinon il est mappé sur `intermediary.hostname`.
`file_path`	`target.file.full_path`	Si `file_path` n'est pas vide, il est mappé à `target.file.full_path`.
`host`	`principal.ip`	Si `host` n'est pas vide, il est mappé à `src`. Enfin, `src` est mappé sur `principal.ip`.
`http_method`	`network.http.method`	Si `requestMethod` n'est pas vide, il est mappé à `http_method`. Sinon, si `method` n'est pas vide, il est mappé sur `http_method`. Enfin, `http_method` est mappé sur `network.http.method`.
`http_proxy_status_code`	`network.http.response_code`	Si `http_response` est vide ou défini sur `0` ou `-`, et que `http_proxy_status_code` n'est pas vide, il est mappé sur `network.http.response_code`.
`http_response`	`network.http.response_code`	Si `http_response` n'est pas vide, ni `0`, ni `-`, il est mappé sur `network.http.response_code`.
`http_user_agent`	`network.http.user_agent`	Si `http_user_agent` n'est pas vide et n'est pas `-`, il est mappé sur `network.http.user_agent`.
`in`	`network.received_bytes`	Si `in` n'est pas vide, il est mappé à `bytes_in`. Enfin, `bytes_in` est mappé sur `network.received_bytes`.
`int_host`	`intermediary.hostname`	Si `int_ip` n'est pas vide et que `int_host` n'est pas vide et est différent de `int_ip`, il est mappé sur `intermediary.hostname`.
`int_ip`	`intermediary.ip`	Si `dvchost` n'est pas vide, il est mappé à `int_ip`. Enfin, `int_ip` est mappé sur `intermediary.ip` s'il s'agit d'une adresse IP valide, sinon il est mappé sur `intermediary.hostname`.
`level`	`target_role.name`	Si `level` n'est pas vide et que `role` l'est, il est mappé à `role`. Enfin, `role` est mappé sur `target_role.name`.
`log_level`	`security_result.severity`	Si `severity` est défini sur `1`, ou si `log_level` contient `info`, ou si `message` contient `notice`, `security_result.severity` est défini sur `INFORMATIONAL`. Si `severity` est défini sur `7`, `security_result.severity` est défini sur `HIGH`.
`loginID`	`principal.user.userid`	Si `loginID` n'est pas vide, il est mappé à `user`. Enfin, si `user` n'est pas vide, n'est pas `-` et ne contient pas `LDAP`, il est mappé sur `principal.user.userid`.
`method`	`network.http.method`	Si `requestMethod` n'est pas vide, il est mappé à `http_method`. Sinon, si `method` n'est pas vide, il est mappé sur `http_method`. Enfin, `http_method` est mappé sur `network.http.method`.
`NatRuleId`	`security_result.detection_fields.value`	Si `NatRuleId` n'est pas vide, il est mappé à `security_result.detection_fields.value` avec la clé `NatRuleId`.
`out`	`network.sent_bytes`	Si `out` n'est pas vide, il est mappé à `bytes_out`. Enfin, `bytes_out` est mappé sur `network.sent_bytes`.
`pid`	`target.process.pid`	Si `pid` n'est pas vide, il est mappé à `target.process.pid`.
`policy`	`target_role.description`	Si `Policy` n'est pas vide, il est mappé à `policy`. Si `policy` n'est pas vide et n'est pas `-`, il est mappé sur `target_role.description`.
`Policy`	`target_role.description`	Si `Policy` n'est pas vide, il est mappé à `policy`. Si `policy` n'est pas vide et n'est pas `-`, il est mappé sur `target_role.description`.
`product_event`	`metadata.product_event_type`	Si `product` n'est pas vide, il est mappé à `product_event`. Si `product_event` et `deviceFacility` ne sont pas vides, ils sont concaténés avec `-` et mappés sur `metadata.product_event_type`. Sinon, `product_event` est mappé sur `metadata.product_event_type`.
`proxyStatus-code`	`network.http.response_code`	Si `http_response` est vide ou défini sur `0` ou `-`, et que `http_proxy_status_code` est vide et `proxyStatus-code` n'est pas vide, il est mappé sur `network.http.response_code`.
`refererUrl`	`network.http.referral_url`	Si `refererUrl` n'est pas vide et n'est pas `-`, il est mappé sur `network.http.referral_url`.
`requestClientApplication`	`network.http.user_agent`	Si `requestMethod` n'est pas vide, il est mappé à `http_user_agent`. Enfin, `http_user_agent` est mappé sur `network.http.user_agent`.
`requestMethod`	`network.http.method`	Si `requestMethod` n'est pas vide, il est mappé à `http_method`. Enfin, `http_method` est mappé sur `network.http.method`.
`role`	`target_role.name`	Si `level` n'est pas vide et que `role` l'est, il est mappé à `role`. Enfin, `role` est mappé sur `target_role.name`.
`RuleID`	`security_result.rule_id`	Si `RuleID` n'est pas vide, il est mappé à `security_result.rule_id`.
`serverStatus-code`	`network.http.response_code`	Si `http_response` est vide ou défini sur `0` ou `-`, et que `http_proxy_status_code` est vide et `proxyStatus-code` n'est pas vide, il est mappé sur `network.http.response_code`.
`severity`	`security_result.severity`	Si `severity` est défini sur `1`, ou si `log_level` contient `info`, ou si `message` contient `notice`, `security_result.severity` est défini sur `INFORMATIONAL`. Si `severity` est défini sur `7`, `security_result.severity` est défini sur `HIGH`.
`spt`	`principal.port`	Si `spt` n'est pas vide, il est mappé à `src_port`. Enfin, `src_port` est mappé sur `principal.port`.
`src`	`principal.ip`	Si `src_host` n'est pas vide, il est mappé à `source_ip_temp`. Si `source_ip_temp` est une adresse IP valide et que `src` est vide, elle est mappée sur `src`. Si `host` n'est pas vide, il est mappé à `src`. Enfin, `src` est mappé sur `principal.ip`.
`src_host`	`principal.hostname`	Si `src_host` n'est pas vide, il est mappé à `source_ip_temp`. Si `source_ip_temp` n'est pas une adresse IP valide, elle est mappée sur `principal.hostname`. Si `source_ip_temp` est une adresse IP valide et que `src` est vide, elle est mappée sur `src`. Enfin, `src` est mappé sur `principal.ip`.
`src_port`	`principal.port`	Si `src_port` n'est pas vide, il est mappé à `principal.port`.
`suser`	`principal.user.userid`	Si `loginID` n'est pas vide, il est mappé à `user`. Si `suser` n'est pas vide, il est mappé à `user`. Enfin, si `user` n'est pas vide, n'est pas `-` et ne contient pas `LDAP`, il est mappé sur `principal.user.userid`.
`url`	`target.url`	Si `url` n'est pas vide, il est mappé à `target.url`.
`user`	`principal.user.userid`	Si `loginID` n'est pas vide, il est mappé à `user`. Si `suser` n'est pas vide, il est mappé à `user`. Sinon, si `usrName` n'est pas vide, il est mappé sur `user`. Enfin, si `user` n'est pas vide, n'est pas `-` et ne contient pas `LDAP`, il est mappé sur `principal.user.userid`.
`usrName`	`principal.user.userid`	Si `loginID` n'est pas vide, il est mappé à `user`. Si `suser` n'est pas vide, il est mappé à `user`. Sinon, si `usrName` n'est pas vide, il est mappé sur `user`. Enfin, si `user` n'est pas vide, n'est pas `-` et ne contient pas `LDAP`, il est mappé sur `principal.user.userid`.
`when`	`metadata.event_timestamp`	Si `when` n'est pas vide, il est analysé et mappé à `metadata.event_timestamp`.
N/A	`metadata.log_type`	La valeur `FORCEPOINT_WEBPROXY` est codée en dur dans `metadata.log_type`.
N/A	`metadata.product_name`	La valeur `Forcepoint Webproxy` est codée en dur dans `metadata.product_name`.
N/A	`metadata.vendor_name`	La valeur `Forcepoint` est codée en dur dans `metadata.vendor_name`.
N/A	`network.application_protocol`	Si `dst_port` est défini sur `80`, `network.application_protocol` est défini sur `HTTP`. Si `dst_port` est défini sur `443`, `network.application_protocol` est défini sur `HTTPS`.
N/A	`principal.user.group_identifiers`	Si `user` n'est pas vide, n'est pas `-` et contient `LDAP`, la partie OU de la chaîne utilisateur est extraite et mappée à `principal.user.group_identifiers`.
N/A	`principal.user.user_display_name`	Si `user` n'est pas vide, n'est pas `-` et contient `LDAP`, la partie nom d'utilisateur de la chaîne utilisateur est extraite et mappée à `principal.user.user_display_name`.
N/A	`security_result.action`	Si `action_msg`, `action` ou `act` ne sont pas vides, `sec_action` est défini sur `ALLOW` ou `BLOCK` en fonction de leurs valeurs. Enfin, `sec_action` est mappé sur `security_result.action`.
N/A	`security_result.detection_fields.key`	La valeur `Disposition Number` est codée en dur dans `security_result.detection_fields.key` lors du mappage de `disposition` ou `cn1`. La valeur `NatRuleId` est codée en dur dans `security_result.detection_fields.key` lors du mappage de `NatRuleId`. La valeur `Category Number` est codée en dur dans `security_result.detection_fields.key` lors du mappage de `category_no`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.