Forcepoint-DLP-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Forcepoint Data Loss Prevention-Protokolle (DLP) mit einem Google Security Operations-Weiterleiter erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel FORCEPOINT_DLP.

Forcepoint DLP konfigurieren

  1. Melden Sie sich in der Forcepoint Security Manager-Konsole an.
  2. Klicken Sie im Bereich Zusätzliche Aktionen das Kästchen Syslog-Nachricht senden an.
  3. Wählen Sie im Modul Datensicherheit die Option Einstellungen > Allgemein > Abhilfe aus.
  4. Geben Sie im Bereich Syslog-Einstellungen Folgendes an:
    • Geben Sie im Feld IP-Adresse oder Hostname die IP-Adresse oder den Hostnamen des Google Security Operations-Weiterleiters ein.
    • Geben Sie im Feld Port die Portnummer ein.
    • Entfernen Sie das Häkchen aus dem Kästchen Syslog-Funktion für diese Nachrichten verwenden.
  5. Klicken Sie auf Verbindung testen, um dem syslog-Server eine Bestätigungstestnachricht zu senden.
  6. Klicken Sie auf Ok, um die Änderungen zu speichern.

Google Security Operations-Weiterleiter für die Aufnahme von Forcepoint-DLP-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
  2. Klicken Sie auf Neuen Weiterleiter hinzufügen.
  3. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  4. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Datensammlers einen Namen ein.
  6. Wählen Sie Forcepoint DLP als Logtyp aus.
  7. Wählen Sie Syslog als Typ des Collectors aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, mit dem der Collector nach syslog-Daten sucht.
    • Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, an dem sich der Collector befindet und auf syslog-Daten wartet.
    • Port: Gibt den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu den Google Security Operations-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser extrahiert Schlüssel/Wert-Paare aus CEF-formatierten Logs von Forcepoint DLP, normalisiert sie und ordnet sie dem UDM zu. Es verarbeitet verschiedene CEF-Felder, darunter Absender, Empfänger, Aktionen und Schweregrad, und ergänzt die UDM um Details wie Nutzerinformationen, betroffene Dateien und Sicherheitsergebnisse.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
handeln security_result.description Wenn actionPerformed leer ist, wird security_result.description der Wert von act zugewiesen.
actionID metadata.product_log_id Der Wert von actionID wird metadata.product_log_id zugewiesen.
actionPerformed security_result.description Der Wert von actionPerformed wird security_result.description zugewiesen.
Administrator principal.user.userid Der Wert von administrator wird principal.user.userid zugewiesen.
analyzedBy additional.fields.key Der String „analyzedBy“ ist additional.fields.key zugewiesen.
analyzedBy additional.fields.value.string_value Der Wert von analyzedBy wird additional.fields.value.string_value zugewiesen.
Katze security_result.category_details Die Werte von cat werden als Liste in das Feld security_result.category_details zusammengeführt.
destinationHosts target.hostname Der Wert von destinationHosts wird target.hostname zugewiesen.
destinationHosts target.asset.hostname Der Wert von destinationHosts wird target.asset.hostname zugewiesen.
Details security_result.description Wenn sowohl actionPerformed als auch act leer sind, wird security_result.description der Wert von details zugewiesen.
duser target.user.userid Der Wert von duser wird verwendet, um target.user.userid zu füllen. Mehrere durch „;“ getrennte Werte werden aufgeteilt und als einzelne E-Mail-Adressen zugewiesen, wenn sie mit dem E-Mail-Regex übereinstimmen. Andernfalls werden sie als User-IDs behandelt.
eventId metadata.product_log_id Wenn actionID leer ist, wird metadata.product_log_id der Wert von eventId zugewiesen.
fname target.file.full_path Der Wert von fname wird target.file.full_path zugewiesen.
logTime metadata.event_timestamp Der Wert von logTime wird analysiert und zum Ausfüllen von metadata.event_timestamp verwendet.
loginName principal.user.user_display_name Der Wert von loginName wird principal.user.user_display_name zugewiesen.
msg metadata.description Der Wert von msg wird metadata.description zugewiesen.
productVersion additional.fields.key Der String „productVersion“ ist additional.fields.key zugewiesen.
productVersion additional.fields.value.string_value Der Wert von productVersion wird additional.fields.value.string_value zugewiesen.
Rolle principal.user.attribute.roles.name Der Wert von role wird principal.user.attribute.roles.name zugewiesen.
severityType security_result.severity Der Wert severityType wird security_result.severity zugeordnet. „high“ wird in „HIGH“, „med“ in „MEDIUM“ und „low“ in „LOW“ umgewandelt (ohne Berücksichtigung der Groß- und Kleinschreibung).
sourceHost principal.hostname Der Wert von sourceHost wird principal.hostname zugewiesen.
sourceHost principal.asset.hostname Der Wert von sourceHost wird principal.asset.hostname zugewiesen.
sourceIp principal.ip Der Wert von sourceIp wird dem Feld principal.ip hinzugefügt.
sourceIp principal.asset.ip Der Wert von sourceIp wird dem Feld principal.asset.ip hinzugefügt.
sourceServiceName principal.application Der Wert von sourceServiceName wird principal.application zugewiesen.
suser principal.user.userid Wenn administrator leer ist, wird principal.user.userid der Wert von suser zugewiesen.
timestamp metadata.event_timestamp Der Wert von timestamp wird verwendet, um metadata.event_timestamp zu füllen.
Thema security_result.rule_name Der Wert von topic wird security_result.rule_name zugewiesen, nachdem die Kommas entfernt wurden. Hartcodiert auf „FORCEPOINT_DLP“. Hartcodiert auf „Forcepoint“. Aus der CEF-Nachricht extrahiert. Kann „Forcepoint DLP“ oder „Forcepoint DLP Audit“ sein. Aus der CEF-Nachricht extrahiert. Verkettung von device_event_class_id und event_name im Format „[device_event_class_id] - event_name“. Wird auf „GENERIC_EVENT“ initialisiert. In „USER_UNCATEGORIZED“ geändert, wenn is_principal_user_present „wahr“ ist.

Änderungen

2024-05-20

  • „fname“ wurde mit „target.file.full_path“ verknüpft.
  • „destinationHosts“ wurde „target.hostname“ und „target.asset.hostname“ zugeordnet.
  • „productVersion“ und „analyzedBy“ wurden „additional.fields“ zugeordnet.

2024-03-25

  • Fehlerkorrektur:
  • Unterstützung für neue Protokollformate hinzugefügt.
  • „timeStamp“ wurde in „metadata.event_timestamp“ umgewandelt.
  • „act“ wurde auf „security_result.description“ zugeordnet.
  • „cat“ wurde „security_result.category_details“ zugeordnet.
  • „severityType“ wurde in „security_result.severity“ geändert.
  • „msg“ wurde auf „metadata.description“ zugeordnet.
  • „eventId“ wurde „metadata.product_log_id“ zugeordnet.
  • „sourceServiceName“ wurde auf „principal.application“ zugeordnet.
  • „sourceHost“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
  • „sourceIp“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
  • „suser“ wurde „principal.user.userid“ zugeordnet.
  • „loginName“ wurde „principal.user.user_display_name“ zugeordnet.

2022-11-07

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten