Raccogliere i log di Forcepoint DLP
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log di Forcepoint Data Loss Prevention (DLP) utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore con l'etichetta di importazione FORCEPOINT_DLP.
Configurare Forcepoint DLP
- Accedi alla console di Forcepoint Security Manager.
- Nella sezione Azioni aggiuntive, seleziona la casella di controllo Invia messaggio syslog.
- Nel modulo Sicurezza dei dati, seleziona Impostazioni > Generali > Risoluzione.
- Nella sezione Impostazioni Syslog, specifica quanto segue:
- Nel campo Indirizzo IP o nome host, inserisci l'indirizzo IP o il nome host del forwarder di Google Security Operations.
- Nel campo Porta, inserisci il numero della porta.
- Deseleziona la casella di controllo Utilizza il servizio syslog per questi messaggi.
- Per inviare al server syslog un messaggio di prova di verifica, fai clic su Verifica connessione.
- Per salvare le modifiche, fai clic su Ok.
Configura il forwarder di Google Security Operations per importare i log DLP di Forcepoint
- Vai a Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Digita un nome nel campo Nome del raccoglitore.
- Seleziona Forcepoint DLP come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il collector e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e che ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo analizzatore sintattico estrae coppie chiave-valore dai log in formato CEF di Forcepoint DLP, normalizzandoli e mappandoli all'UDM. Gestisce vari campi CEF, tra cui mittente, destinatario, azioni e gravità, arricchendo l'UDM con dettagli come informazioni utente, file interessati e risultati di sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| agire | security_result.description | Se actionPerformed è vuoto, il valore di act viene assegnato a security_result.description. |
| actionID | metadata.product_log_id | Il valore di actionID viene assegnato a metadata.product_log_id. |
| actionPerformed | security_result.description | Il valore di actionPerformed viene assegnato a security_result.description. |
| principal.user.userid | Il valore di administrator viene assegnato a principal.user.userid. |
|
| analyzedBy | additional.fields.key | La stringa "analyzedBy" è assegnata a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | Il valore di analyzedBy viene assegnato a additional.fields.value.string_value. |
| gatto | security_result.category_details | I valori di cat vengono uniti al campo security_result.category_details sotto forma di elenco. |
| destinationHosts | target.hostname | Il valore di destinationHosts viene assegnato a target.hostname. |
| destinationHosts | target.asset.hostname | Il valore di destinationHosts viene assegnato a target.asset.hostname. |
| dettagli | security_result.description | Se sia actionPerformed sia act sono vuoti, il valore di details viene assegnato a security_result.description. |
| duser | target.user.userid | Il valore di duser viene utilizzato per compilare target.user.userid. Più valori separati da "; " vengono suddivisi e assegnati come singoli indirizzi email se corrispondono all'espressione regolare dell'email, altrimenti vengono trattati come ID utente. |
| eventId | metadata.product_log_id | Se actionID è vuoto, il valore di eventId viene assegnato a metadata.product_log_id. |
| fname | target.file.full_path | Il valore di fname viene assegnato a target.file.full_path. |
| logTime | metadata.event_timestamp | Il valore di logTime viene analizzato e utilizzato per compilare metadata.event_timestamp. |
| loginName | principal.user.user_display_name | Il valore di loginName viene assegnato a principal.user.user_display_name. |
| msg | metadata.description | Il valore di msg viene assegnato a metadata.description. |
| productVersion | additional.fields.key | La stringa "productVersion" è assegnata a additional.fields.key. |
| productVersion | additional.fields.value.string_value | Il valore di productVersion viene assegnato a additional.fields.value.string_value. |
| ruolo | principal.user.attribute.roles.name | Il valore di role viene assegnato a principal.user.attribute.roles.name. |
| severityType | security_result.severity | Il valore di severityType è mappato a security_result.severity. "high" corrisponde a "HIGH", "med" a "MEDIUM" e "low" a "LOW" (senza distinzione tra maiuscole e minuscole). |
| sourceHost | principal.hostname | Il valore di sourceHost viene assegnato a principal.hostname. |
| sourceHost | principal.asset.hostname | Il valore di sourceHost viene assegnato a principal.asset.hostname. |
| sourceIp | principal.ip | Il valore di sourceIp viene aggiunto al campo principal.ip. |
| sourceIp | principal.asset.ip | Il valore di sourceIp viene aggiunto al campo principal.asset.ip. |
| sourceServiceName | principal.application | Il valore di sourceServiceName viene assegnato a principal.application. |
| suser | principal.user.userid | Se administrator è vuoto, il valore di suser viene assegnato a principal.user.userid. |
| timestamp | metadata.event_timestamp | Il valore di timestamp viene utilizzato per compilare metadata.event_timestamp. |
| argomento | security_result.rule_name | Il valore di topic viene assegnato a security_result.rule_name dopo la rimozione delle virgole. Hardcoded su "FORCEPOINT_DLP". Hardcoded su "Forcepoint". Estratto dal messaggio CEF. Può essere "Forcepoint DLP" o "Forcepoint DLP Audit". Estratto dal messaggio CEF. Concatenazione di device_event_class_id e event_name, formattata come "[device_event_class_id] - event_name". Inizializzato su "GENERIC_EVENT". Modificato in "USER_UNCATEGORIZED" se is_principal_user_present è "true". |
Modifiche
2024-05-20
- "Fname" è stato mappato a "target.file.full_path".
- "destinationHosts" è stato mappato a "target.hostname" e "target.asset.hostname".
- "productVersion" e "analyzedBy" sono stati mappati a "additional.fields".
2024-03-25
- Correzione di bug:
- È stato aggiunto il supporto per i nuovi log di formato.
- "timeStamp" è stato mappato a "metadata.event_timestamp".
- "act" è stato mappato a "security_result.description".
- "cat" è stato mappato a "security_result.category_details".
- "severityType" è stato mappato a "security_result.severity".
- "msg" è stato mappato a "metadata.description".
- "eventId" è stato mappato a "metadata.product_log_id".
- "sourceServiceName" è stato mappato a "principal.application".
- "sourceHost" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "sourceIp" è stato mappato a "principal.ip" e "principal.asset.ip".
- "suser" è stato mappato a "principal.user.userid".
- "loginName" è stato mappato a "principal.user.user_display_name".
2022-11-07
- Analizzatore sintattico appena creato.