Collecter les journaux de la solution DLP Forcepoint

Compatible avec:

Ce document explique comment collecter les journaux de prévention de la perte de données (DLP) Forcepoint à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez la section Présentation de l'ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations présentées dans ce document s'appliquent à l'analyseur avec le libellé d'ingestion FORCEPOINT_DLP.

Configurer la protection contre la perte de données Forcepoint

  1. Connectez-vous à la console Forcepoint Security Manager.
  2. Dans la section Actions supplémentaires, cochez la case Envoyer un message syslog.
  3. Dans le module Sécurité des données, sélectionnez Paramètres > Général > Correction.
  4. Dans la section Syslog settings (Paramètres Syslog), spécifiez les éléments suivants :
    • Dans le champ Adresse IP ou nom d'hôte, saisissez l'adresse IP ou le nom d'hôte du forwarder Google Security Operations.
    • Dans le champ Port, saisissez le numéro de port.
    • Décochez la case Utiliser la fonctionnalité Syslog pour ces messages.
  5. Pour envoyer au serveur syslog un message de test de validation, cliquez sur Tester la connexion.
  6. Pour enregistrer vos modifications, cliquez sur OK.

Configurer le transfert Google Security Operations pour ingérer les journaux de la solution DLP Forcepoint

  1. Accédez à Paramètres du SIEM > Transferts.
  2. Cliquez sur Ajouter un forwarder.
  3. Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
  4. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez Forcepoint DLP comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations. Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur extrait des paires clé-valeur à partir des journaux au format CEF de la solution de protection des données de Forcepoint, les normalise et les mappe sur l'UDM. Il gère divers champs CEF, y compris l'expéditeur, le destinataire, les actions et la gravité, et enrichit la gestion des identités utilisateur avec des informations telles que les informations utilisateur, les fichiers concernés et les résultats de sécurité.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
agir security_result.description Si actionPerformed est vide, la valeur de act est attribuée à security_result.description.
actionID metadata.product_log_id La valeur de actionID est attribuée à metadata.product_log_id.
actionPerformed security_result.description La valeur de actionPerformed est attribuée à security_result.description.
administrateur principal.user.userid La valeur de administrator est attribuée à principal.user.userid.
analyzedBy additional.fields.key La chaîne "analyzedBy" est attribuée à additional.fields.key.
analyzedBy additional.fields.value.string_value La valeur de analyzedBy est attribuée à additional.fields.value.string_value.
cat security_result.category_details Les valeurs de cat sont fusionnées dans le champ security_result.category_details sous forme de liste.
destinationHosts target.hostname La valeur de destinationHosts est attribuée à target.hostname.
destinationHosts target.asset.hostname La valeur de destinationHosts est attribuée à target.asset.hostname.
détails security_result.description Si actionPerformed et act sont tous deux vides, la valeur de details est attribuée à security_result.description.
duser target.user.userid La valeur de duser permet de renseigner target.user.userid. Les valeurs multiples séparées par "; " sont divisées et attribuées en tant qu'adresses e-mail individuelles si elles correspondent à l'expression régulière d'adresse e-mail. Sinon, elles sont traitées comme des ID utilisateur.
eventId metadata.product_log_id Si actionID est vide, la valeur de eventId est attribuée à metadata.product_log_id.
fname target.file.full_path La valeur de fname est attribuée à target.file.full_path.
logTime metadata.event_timestamp La valeur de logTime est analysée et utilisée pour renseigner metadata.event_timestamp.
loginName principal.user.user_display_name La valeur de loginName est attribuée à principal.user.user_display_name.
Message metadata.description La valeur de msg est attribuée à metadata.description.
productVersion additional.fields.key La chaîne "productVersion" est attribuée à additional.fields.key.
productVersion additional.fields.value.string_value La valeur de productVersion est attribuée à additional.fields.value.string_value.
rôle principal.user.attribute.roles.name La valeur de role est attribuée à principal.user.attribute.roles.name.
severityType security_result.severity La valeur de severityType est mappée sur security_result.severity. "high" est mappé sur "HIGH", "med" sur "MEDIUM" et "low" sur "LOW" (sans distinction entre majuscules et minuscules).
sourceHost principal.hostname La valeur de sourceHost est attribuée à principal.hostname.
sourceHost principal.asset.hostname La valeur de sourceHost est attribuée à principal.asset.hostname.
sourceIp principal.ip La valeur sourceIp est ajoutée au champ principal.ip.
sourceIp principal.asset.ip La valeur sourceIp est ajoutée au champ principal.asset.ip.
sourceServiceName principal.application La valeur de sourceServiceName est attribuée à principal.application.
suser principal.user.userid Si administrator est vide, la valeur de suser est attribuée à principal.user.userid.
timestamp metadata.event_timestamp La valeur de timestamp permet de renseigner metadata.event_timestamp.
sujet security_result.rule_name La valeur de topic est attribuée à security_result.rule_name après la suppression des virgules. Coded en dur sur "FORCEPOINT_DLP". Code codé en dur sur "Forcepoint". Extrait du message CEF. Il peut s'agir de "Forcepoint DLP" ou de "Forcepoint DLP Audit". Extrait du message CEF. Concaténation de device_event_class_id et event_name, au format "[device_event_class_id] - event_name". Initialisé sur "GENERIC_EVENT". Modification de la valeur en "USER_UNCATEGORIZED" si is_principal_user_present est défini sur "true".

Modifications

2024-05-20

  • "fname" a été mappé sur "target.file.full_path".
  • Mappage de "destinationHosts" sur "target.hostname" et "target.asset.hostname".
  • Mappage de "productVersion" et "analyzedBy" sur "additional.fields".

2024-03-25

  • Correction de bug:
  • Ajout de la compatibilité avec les nouveaux journaux de format.
  • Mappage de "timeStamp" sur "metadata.event_timestamp".
  • Mappage de "act" sur "security_result.description".
  • Mappage de "cat" sur "security_result.category_details".
  • Mappage de "severityType" sur "security_result.severity".
  • Mappage de "msg" sur "metadata.description".
  • Mappage de "eventId" sur "metadata.product_log_id".
  • Mappage de "sourceServiceName" sur "principal.application".
  • Mappage de "sourceHost" sur "principal.hostname" et "principal.asset.hostname".
  • Mappage de "sourceIp" sur "principal.ip" et "principal.asset.ip".
  • Mappage de "suser" sur "principal.user.userid".
  • "loginName" a été mappé sur "principal.user.user_display_name".

2022-11-07

  • Analyseur créé