Recolha registos do Forcepoint Web Security

Suportado em:

Este documento explica como carregar registos do Forcepoint Web Security para o Google Security Operations através do Bindplane.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Um anfitrião Windows 2016 ou posterior, ou Linux com systemd para o agente Bindplane
  • Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
  • Acesso privilegiado à consola de gestão do Forcepoint Web Security ou ao Forcepoint Security Manager
  • Conetividade de rede entre o Forcepoint Web Security e o anfitrião do agente do Bindplane
  • Forcepoint Web Security versão 7.8 ou posterior (recomendado para suporte do formato CEF)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Pode configurar o agente do Bindplane para receber mensagens syslog através de TCP ou UDP. Escolha o protocolo que melhor se adapta aos requisitos do seu ambiente e rede.

Escolha o seu protocolo

  • TCP (recomendado para fiabilidade): oferece fornecimento e é adequado para a maioria dos ambientes. Use TCP quando a entrega fiável de registos for fundamental e quiser garantir que não se perdem registos devido a problemas de rede.
  • UDP (recomendado para o desempenho): oferece uma latência mais baixa e menos sobrecarga. Use UDP quando for necessário um débito elevado e a perda ocasional de registos for aceitável.

Configure o agente do Bindplane

  1. Aceda ao ficheiro de configuração:

    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml com a configuração do protocolo escolhido:

    • Opção A: configuração TCP (recomendada)

      receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

    • Opção B: configuração de UDP

      receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

      • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura (a predefinição é 0.0.0.0:514).

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

  • Para verificar se o agente está em execução no Linux, execute o seguinte comando:

    sudo systemctl status observiq-otel-collector

  • Para verificar se o agente está em execução no Windows, execute o seguinte comando:

    sc query observiq-otel-collector

Configure o encaminhamento de Syslog no Forcepoint Web Security

Configure o Forcepoint Web Security para encaminhar registos para o agente Bindplane no formato CEF (Common Event Format).

Usar o Forcepoint Security Manager

  1. Inicie sessão no Forcepoint Security Manager com credenciais administrativas.
  2. Aceda a Definições > Registo.
  3. Na navegação do lado esquerdo, selecione Servidores de registo.
  4. Clique em Adicionar para criar uma nova configuração do servidor de registo.
  5. Forneça os seguintes detalhes de configuração:
    • Tipo de servidor: selecione Servidor Syslog ou Servidor CEF.
    • Nome: introduza um nome descritivo (por exemplo, Google Security Operations Bindplane CEF).
    • Anfitrião: introduza o endereço IP ou o nome de anfitrião do agente do Bindplane.
    • Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514).
    • Protocolo: selecione o protocolo que corresponde à sua configuração do Bindplane:
      • Se configurou o recetor tcplog no Bindplane (recomendado), selecione TCP.
      • Se configurou o recetor udplog no Bindplane, selecione UDP.
    • Formato: selecione CEF (formato de evento comum).
    • Instalação: selecione Local0 (ou outra instalação disponível).
    • Gravidade: selecione Informacional (para capturar todos os níveis de registo).
  6. Em Categorias de registo ou Tipos de eventos, selecione os eventos a encaminhar:
    • Registos de acesso à Web (registos de transações)
    • Eventos de segurança (deteções de ameaças)
    • Eventos de autenticação (início/fim de sessão do utilizador)
    • Eventos do sistema (alterações do sistema e de configuração)
    • Em alternativa, selecione Todos os eventos para encaminhar todos os tipos de registos disponíveis.
  7. Opcional: configure definições adicionais:
    • Tamanho do lote: defina como 1 para encaminhamento em tempo real ou um valor superior para processamento em lote.
    • Formato da mensagem: certifique-se de que o formato CEF está selecionado.
    • Incluir informações do utilizador: ative esta opção para incluir a identidade do utilizador nos registos.
  8. Clique em Testar ligação para verificar a conetividade ao agente do Bindplane.
    • Deve aparecer uma mensagem de teste nos registos do agente Bindplane.
    • Se o teste falhar, valide a conetividade de rede e as regras da firewall.
  9. Clique em Guardar para aplicar a configuração.
  10. Clique em Implementar para enviar a configuração para todos os gateways de segurança Web da Forcepoint.

Usar o dispositivo de segurança Web da Forcepoint (configuração direta)

Se estiver a configurar diretamente no dispositivo:

  1. Inicie sessão na interface de gestão do Forcepoint Web Security Appliance.
  2. Aceda a Sistema > Servidor de registo.
  3. Clique em Adicionar ou Editar para criar ou modificar um servidor de registo.
  4. Forneça os seguintes detalhes de configuração:
    • Endereço do servidor: introduza o endereço IP do agente Bindplane.
    • Porta: introduza 514 (ou a sua porta personalizada).
    • Protocolo: selecione TCP ou UDP para corresponder à sua configuração do Bindplane.
    • Formato: selecione CEF ou Formato de evento comum.
    • Instalação: selecione Local0.
  5. Em Tipos de registos, selecione os registos a encaminhar:
    • Registos de acesso
    • Registos de segurança
    • Registos de administrador
  6. Clique em Aplicar ou Guardar.
  7. Se usar vários eletrodomésticos, repita esta configuração em cada um deles.

Validação do formato CEF

  • O Forcepoint Web Security envia registos no formato CEF com a seguinte estrutura:

    CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

    • Exemplo de registo CEF:

       CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

O analisador do Google SecOps espera o formato CEF e extrai os seguintes campos chave:

  • src - Endereço IP de origem
  • dst – Endereço IP de destino
  • spt - Porta de origem
  • dpt – Porta de destino
  • requestMethod – Método HTTP
  • request ou url: URL pedido
  • cs1 – Ação (permitir/bloquear)
  • cs2 – Categoria do URL
  • suser - Nome de utilizador

Verifique se os registos estão a ser carregados

Após a configuração, verifique se os registos estão a fluir do Forcepoint Web Security para o Google SecOps:

  1. Na consola do Forcepoint, verifique se os registos estão a ser enviados:

    • Aceda a Definições > Registo > Servidores de registo.
    • Verifique a coluna Estado do servidor configurado. Deve apresentar Ativo ou Ligado.
    • Veja Estatísticas para ver o número de registos enviados.

  2. No anfitrião do agente do Bindplane, verifique os registos do agente para mensagens syslog recebidas:

    • Linux:

       sudo journalctl -u observiq-otel-collector -f

      • Procure entradas de registo que contenham mensagens no formato CEF:

           CEF:0|Forcepoint|Web Security|...

    • Windows:

      1. Selecione o Visualizador de Eventos do Windows em Registos de aplicações e serviços > observIQ.

      2. No Google SecOps, verifique se os registos estão a ser apresentados:

        • Aceda a Pesquisa > Pesquisa UDM.
        • Use a seguinte consulta:
        metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
        • Ajuste o intervalo de tempo para horas recentes (por exemplo, Última hora).
        • Verifique se os eventos aparecem nos resultados.

      3. Verifique se os campos específicos estão a ser analisados corretamente:

        metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""

      4. Aceda a Definições do SIEM > Agentes de recolha para ver as estatísticas de carregamento:

        • Selecione a contagem de Eventos recebidos.
        • Verifique se a data/hora Última atualização a é recente.

Resolução de problemas

Não são apresentados registos no Google SecOps

Sintomas: o agente Bindplane está em execução, mas não aparecem registos no Google SecOps.

Causas possíveis:

  1. Problemas de conetividade de rede entre o Forcepoint e o agente do Bindplane.
  2. A firewall está a bloquear a porta syslog.
  3. Incompatibilidade de protocolos (TCP configurado no Bindplane, mas UDP configurado no Forcepoint ou vice-versa).
  4. Endereço IP ou porta do agente Bindplane incorretos na configuração do Forcepoint.
  5. Ponto final regional incorreto configurado no Bindplane.
  6. O formato CEF não está ativado no Forcepoint.

Solução:

  1. Valide a conetividade de rede:

    # From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

  2. Verifique as regras de firewall no anfitrião do Bindplane:

    # Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

  3. Valide a correspondência do protocolo:

    • Verifique o Bindplane config.yaml para tcplog ou udplog.
    • Verifique a configuração do servidor de registo do Forcepoint para o protocolo correspondente.

  4. Verifique se o formato CEF está ativado:

    • No Forcepoint Security Manager, aceda a Settings > Logging > Log Servers.
    • Verifique se o formato está definido como CEF ou formato de evento comum.

  5. Valide o ponto final regional:

  6. Verifique se existem erros nos registos do agente Bindplane:

    sudo journalctl -u observiq-otel-collector -n 100 --no-pager

    Procure mensagens de erro como:

    • connection refused – Problema de rede/firewall
    • authentication failed – Problema de credenciais
    • invalid endpoint – Problema de ponto final regional

Erros de incompatibilidade de protocolos

Sintomas: os registos não são recebidos, ocorrem erros de ligação no teste do Forcepoint ou erros Connection refused nos registos do Bindplane.

Solução:

  1. Certifique-se de que o protocolo configurado no Bindplane (tcplog ou udplog) corresponde ao protocolo configurado no Forcepoint (TCP ou UDP).

  2. Se estiver a usar o TCP e tiver problemas de ligação, verifique se o agente do Bindplane está a ouvir:

    # Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

  3. Se a porta não estiver a ouvir, reinicie o agente do Bindplane.

Erros de autenticação

Sintomas: os registos do agente Bindplane mostram erros de autenticação no Google SecOps.

Causas possíveis:

  1. ID de cliente incorreto.
  2. Ficheiro de autenticação de carregamento inválido ou expirado.
  3. Caminho incorreto para o ficheiro de autenticação de carregamento.
  4. Ponto final regional incorreto.

Solução:

  1. Verifique se o ID do cliente em config.yaml corresponde ao ID em Definições do SIEM > Perfil.
  2. Volte a transferir o ficheiro de autenticação de carregamento a partir de Definições do SIEM > Agentes de recolha.
  3. Verifique se o caminho em config.yaml aponta para a localização correta.
  4. Verifique se o ponto final regional corresponde à região da sua instância do Google SecOps.

  5. Certifique-se de que o agente do Bindplane tem autorizações de leitura no ficheiro de autenticação:

    sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

Os registos são apresentados, mas os campos não são analisados

Sintomas: os registos aparecem no Google SecOps, mas os campos, como principal.ip e target.url, estão vazios.

Causas possíveis:

  1. Os registos não estão no formato CEF.
  2. O formato CEF tem um formato incorreto ou não é padrão.
  3. Falta de correspondência do tipo de registo na configuração do Bindplane.

Solução:

  1. Valide o formato CEF nos registos não processados:

    • No Google SecOps, aceda a Pesquisa > Pesquisa de registos não processados.
    • Pesquise registos recentes do Forcepoint.
    • Verifique se os registos começam com CEF:0|Forcepoint|Web Security|.

  2. Se os registos não estiverem no formato CEF:

    • No Forcepoint, altere o Formato para CEF ou Formato de evento comum.
    • Volte a implementar a configuração.

  3. Valide o tipo de registo no Bindplane config.yaml:

    • Certifique-se de que log_type: 'FORCEPOINT_PROXY' está definido corretamente.

  4. Verifique se existem variações nos nomes dos campos CEF:

    • Algumas versões do Forcepoint podem usar nomes de campos CEF diferentes.
    • Verifique se os nomes dos campos correspondem às extensões CEF esperadas na tabela de mapeamento do UDM.

Latência elevada ou atrasos nos registos

Sintomas: os registos aparecem no Google SecOps com um atraso significativo (mais de 5 minutos).

Causas possíveis:

  1. Latência de rede entre o Forcepoint e o agente do Bindplane.
  2. Restrições de recursos do agente Bindplane (CPU/memória).
  3. O processamento em lote está ativado no Forcepoint.
  4. Atraso no carregamento do Google SecOps.

Solução:

  1. Valide a latência da rede:

    ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

  2. Verifique a utilização de recursos do agente Bindplane:

    top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

  3. No Forcepoint, ajuste as definições de processamento em lote:

    • Aceda a Definições > Registo > Servidores de registo.
    • Defina o tamanho do lote como 1 para o encaminhamento em tempo real.
    • Em alternativa, reduza o intervalo de lotes para envios mais frequentes.

  4. Considere dimensionar o anfitrião do agente Bindplane (mais CPU/memória) se tiver restrições de recursos.

  5. Se usar UDP, verifique se a infraestrutura de rede suporta o débito necessário sem perda de pacotes.

A ligação de teste do Forcepoint falha

Sintomas: quando clica em Testar ligação no Forcepoint, o teste falha.

Solução:

  1. Verifique se o agente do Bindplane está em execução:

    sudo systemctl status observiq-otel-collector

  2. Verifique se o agente do Bindplane está a ouvir na porta configurada:

    sudo netstat -tuln | grep 514

  3. Desative temporariamente a firewall para testar:

    # Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

  4. Verifique os registos do agente do Bindplane durante o teste:

    sudo journalctl -u observiq-otel-collector -f
    • Deverá ver uma tentativa de ligação recebida.

  5. Se o teste continuar a falhar, verifique se o endereço IP e a porta estão corretos na configuração do Forcepoint.

Tabela de mapeamento da UDM

Campo de registo Mapeamento da UDM Lógica
action security_result.summary Se action_msg não estiver vazio, é mapeado para security_result.summary. Caso contrário, se action não estiver vazio, é mapeado para security_result.summary. Caso contrário, se act não estiver vazio, é mapeado para security_result.summary.
action_msg security_result.summary Se action_msg não estiver vazio, é mapeado para security_result.summary. Caso contrário, se action não estiver vazio, é mapeado para security_result.summary. Caso contrário, se act não estiver vazio, é mapeado para security_result.summary.
app target.application Se destinationServiceName não estiver vazio, é mapeado para app_name. Caso contrário, se app não estiver vazio e não contiver http ou HTTP, é mapeado para app_name. Por fim, app_name é mapeado para target.application.
bytes_in network.received_bytes Se in não estiver vazio, é mapeado para bytes_in. Por fim, bytes_in é mapeado para network.received_bytes.
bytes_out network.sent_bytes Se out não estiver vazio, é mapeado para bytes_out. Por fim, bytes_out é mapeado para network.sent_bytes.
cat security_result.category_details Se cat não estiver vazio, é mapeado para category. Por fim, category é mapeado para security_result.category_details.
category_no security_result.detection_fields.value Se category_no não estiver vazio, é mapeado para security_result.detection_fields.value com a chave Category Number.
cn1 security_result.detection_fields.value Se cn1 não estiver vazio, é mapeado para security_result.detection_fields.value com a chave Disposition Number.
ContentType target.file.mime_type Se contentType não estiver vazio, é mapeado para ContentType. Por fim, ContentType é mapeado para target.file.mime_type.
cs1 target_role.description cs1 está mapeado para target_role.description.
cs2 security_result.category_details Se cs2 não estiver vazio e não for 0, é mapeado para security_result.category_details com o prefixo Dynamic Category:.
cs3 target.file.mime_type cs3 está mapeado para target.file.mime_type.
description metadata.description Se description não estiver vazio, é mapeado para metadata.description.
destinationServiceName target.application Se destinationServiceName não estiver vazio, é mapeado para app_name. Por fim, app_name é mapeado para target.application.
deviceFacility metadata.product_event_type Se product_event e deviceFacility não estiverem vazios, são concatenados com - e mapeados para metadata.product_event_type. Caso contrário, product_event é mapeado para metadata.product_event_type.
disposition security_result.detection_fields.value Se disposition não estiver vazio, é mapeado para security_result.detection_fields.value com a chave Disposition Number.
dst target.ip Se dst não estiver vazio e dvchost estiver vazio, é mapeado para dst_ip. Por fim, dst_ip é mapeado para target.ip.
dst_host target.hostname Se dst não estiver vazio e dvchost estiver vazio, é mapeado para dst_host. Por fim, dst_host é mapeado para target.hostname.
dst_ip target.ip Se dst não estiver vazio e dvchost estiver vazio, é mapeado para dst_ip. Por fim, dst_ip é mapeado para target.ip.
dst_port target.port Se dst não estiver vazio e dvchost estiver vazio, é mapeado para dst_port. Por fim, dst_port é mapeado para target.port.
duration network.session_duration.seconds Se duration não estiver vazio e não for 0, é mapeado para network.session_duration.seconds.
dvchost intermediary.ip Se dvchost não estiver vazio, é mapeado para int_ip. Por fim, int_ip é mapeado para intermediary.ip se for um endereço IP válido. Caso contrário, é mapeado para intermediary.hostname.
file_path target.file.full_path Se file_path não estiver vazio, é mapeado para target.file.full_path.
host principal.ip Se host não estiver vazio, é mapeado para src. Por fim, src é mapeado para principal.ip.
http_method network.http.method Se requestMethod não estiver vazio, é mapeado para http_method. Caso contrário, se method não estiver vazio, é mapeado para http_method. Por fim, http_method é mapeado para network.http.method.
http_proxy_status_code network.http.response_code Se http_response estiver vazio ou for 0 ou -, e http_proxy_status_code não estiver vazio, é mapeado para network.http.response_code.
http_response network.http.response_code Se http_response não estiver vazio, não for 0 nem -, é mapeado para network.http.response_code.
http_user_agent network.http.user_agent Se http_user_agent não estiver vazio e não for -, é mapeado para network.http.user_agent.
in network.received_bytes Se in não estiver vazio, é mapeado para bytes_in. Por fim, bytes_in é mapeado para network.received_bytes.
int_host intermediary.hostname Se int_ip não estiver vazio e int_host não estiver vazio e for diferente de int_ip, é mapeado para intermediary.hostname.
int_ip intermediary.ip Se dvchost não estiver vazio, é mapeado para int_ip. Por fim, int_ip é mapeado para intermediary.ip se for um endereço IP válido. Caso contrário, é mapeado para intermediary.hostname.
level target_role.name Se level não estiver vazio e role estiver vazio, é mapeado para role. Por fim, role é mapeado para target_role.name.
log_level security_result.severity Se severity for 1 ou log_level contiver info ou message contiver notice, security_result.severity é definido como INFORMATIONAL. Se severity for 7, security_result.severity é definido como HIGH.
loginID principal.user.userid Se loginID não estiver vazio, é mapeado para user. Por fim, se user não estiver vazio, não for - e não contiver LDAP, é mapeado para principal.user.userid.
method network.http.method Se requestMethod não estiver vazio, é mapeado para http_method. Caso contrário, se method não estiver vazio, é mapeado para http_method. Por fim, http_method é mapeado para network.http.method.
NatRuleId security_result.detection_fields.value Se NatRuleId não estiver vazio, é mapeado para security_result.detection_fields.value com a chave NatRuleId.
out network.sent_bytes Se out não estiver vazio, é mapeado para bytes_out. Por fim, bytes_out é mapeado para network.sent_bytes.
pid target.process.pid Se pid não estiver vazio, é mapeado para target.process.pid.
policy target_role.description Se Policy não estiver vazio, é mapeado para policy. Se policy não estiver vazio e não for -, é mapeado para target_role.description.
Policy target_role.description Se Policy não estiver vazio, é mapeado para policy. Se policy não estiver vazio e não for -, é mapeado para target_role.description.
product_event metadata.product_event_type Se product não estiver vazio, é mapeado para product_event. Se product_event e deviceFacility não estiverem vazios, são concatenados com - e mapeados para metadata.product_event_type. Caso contrário, product_event é mapeado para metadata.product_event_type.
proxyStatus-code network.http.response_code Se http_response estiver vazio ou for 0 ou -, e http_proxy_status_code estiver vazio e proxyStatus-code não estiver vazio, é mapeado para network.http.response_code.
refererUrl network.http.referral_url Se refererUrl não estiver vazio e não for -, é mapeado para network.http.referral_url.
requestClientApplication network.http.user_agent Se requestMethod não estiver vazio, é mapeado para http_user_agent. Por fim, http_user_agent é mapeado para network.http.user_agent.
requestMethod network.http.method Se requestMethod não estiver vazio, é mapeado para http_method. Por fim, http_method é mapeado para network.http.method.
role target_role.name Se level não estiver vazio e role estiver vazio, é mapeado para role. Por fim, role é mapeado para target_role.name.
RuleID security_result.rule_id Se RuleID não estiver vazio, é mapeado para security_result.rule_id.
serverStatus-code network.http.response_code Se http_response estiver vazio ou for 0 ou -, e http_proxy_status_code estiver vazio e proxyStatus-code não estiver vazio, é mapeado para network.http.response_code.
severity security_result.severity Se severity for 1 ou log_level contiver info ou message contiver notice, security_result.severity é definido como INFORMATIONAL. Se severity for 7, security_result.severity é definido como HIGH.
spt principal.port Se spt não estiver vazio, é mapeado para src_port. Por fim, src_port é mapeado para principal.port.
src principal.ip Se src_host não estiver vazio, é mapeado para source_ip_temp. Se source_ip_temp for um endereço IP válido e src estiver vazio, é mapeado para src. Se host não estiver vazio, é mapeado para src. Por fim, src é mapeado para principal.ip.
src_host principal.hostname Se src_host não estiver vazio, é mapeado para source_ip_temp. Se source_ip_temp não for um endereço IP válido, é mapeado para principal.hostname. Se source_ip_temp for um endereço IP válido e src estiver vazio, é mapeado para src. Por fim, src é mapeado para principal.ip.
src_port principal.port Se src_port não estiver vazio, é mapeado para principal.port.
suser principal.user.userid Se loginID não estiver vazio, é mapeado para user. Se suser não estiver vazio, é mapeado para user. Por fim, se user não estiver vazio, não for - e não contiver LDAP, é mapeado para principal.user.userid.
url target.url Se url não estiver vazio, é mapeado para target.url.
user principal.user.userid Se loginID não estiver vazio, é mapeado para user. Se suser não estiver vazio, é mapeado para user. Caso contrário, se usrName não estiver vazio, é mapeado para user. Por fim, se user não estiver vazio, não for - e não contiver LDAP, é mapeado para principal.user.userid.
usrName principal.user.userid Se loginID não estiver vazio, é mapeado para user. Se suser não estiver vazio, é mapeado para user. Caso contrário, se usrName não estiver vazio, é mapeado para user. Por fim, se user não estiver vazio, não for - e não contiver LDAP, é mapeado para principal.user.userid.
when metadata.event_timestamp Se when não estiver vazio, é analisado e mapeado para metadata.event_timestamp.
N/A metadata.log_type O valor FORCEPOINT_WEBPROXY está codificado em metadata.log_type.
N/A metadata.product_name O valor Forcepoint Webproxy está codificado em metadata.product_name.
N/A metadata.vendor_name O valor Forcepoint está codificado em metadata.vendor_name.
N/A network.application_protocol Se dst_port for 80, network.application_protocol é definido como HTTP. Se dst_port for 443, network.application_protocol é definido como HTTPS.
N/A principal.user.group_identifiers Se user não estiver vazio, não for - e contiver LDAP, a parte da UO da string do utilizador é extraída e mapeada para principal.user.group_identifiers.
N/A principal.user.user_display_name Se user não estiver vazio, não for - e contiver LDAP, a parte do nome de utilizador da string do utilizador é extraída e mapeada para principal.user.user_display_name.
N/A security_result.action Se action_msg, action ou act não estiverem vazios, sec_action é definido como ALLOW ou BLOCK com base nos respetivos valores. Por fim, sec_action é mapeado para security_result.action.
N/A security_result.detection_fields.key O valor Disposition Number está codificado em security_result.detection_fields.key quando mapeia disposition ou cn1. O valor NatRuleId está codificado em security_result.detection_fields.key quando mapeia NatRuleId. O valor Category Number está codificado em security_result.detection_fields.key quando mapeia category_no.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.