Mengumpulkan log DLP Forcepoint
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Forcepoint Data Loss Prevention (DLP) menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan
label transfer FORCEPOINT_DLP.
Mengonfigurasi DLP Forcepoint
- Login ke konsol Forcepoint Security Manager.
- Di bagian Tindakan tambahan, centang kotak Kirim pesan syslog.
- Di modul Keamanan data, pilih Setelan > Umum > Penyelesaian.
- Di bagian Setelan Syslog, tentukan hal berikut:
- Di kolom Alamat IP atau nama host, masukkan alamat IP atau nama host penerusan Google Security Operations.
- Di kolom Port, masukkan nomor port.
- Hapus centang pada kotak Use syslog facility for these messages.
- Untuk mengirim pesan pengujian verifikasi ke server syslog, klik Uji koneksi.
- Untuk menyimpan perubahan, klik Oke.
Mengonfigurasi penerusan Google Security Operations untuk menyerap log DLP Forcepoint
- Buka Setelan SIEM > Penerus.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Forcepoint DLP sebagai Jenis log.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protokol: menentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang forwarder Google Security Operations, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak key-value pair dari log berformat CEF Forcepoint DLP, yang menormalisasi dan memetakan key-value pair tersebut ke UDM. Fungsi ini menangani berbagai kolom CEF, termasuk pengirim, penerima, tindakan, dan tingkat keparahan, yang memperkaya UDM dengan detail seperti informasi pengguna, file yang terpengaruh, dan hasil keamanan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| tindakan | security_result.description | Jika actionPerformed kosong, nilai act akan ditetapkan ke security_result.description. |
| actionID | metadata.product_log_id | Nilai actionID ditetapkan ke metadata.product_log_id. |
| actionPerformed | security_result.description | Nilai actionPerformed ditetapkan ke security_result.description. |
| administrator | principal.user.userid | Nilai administrator ditetapkan ke principal.user.userid. |
| analyzedBy | additional.fields.key | String "analyzedBy" ditetapkan ke additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | Nilai analyzedBy ditetapkan ke additional.fields.value.string_value. |
| cat | security_result.category_details | Nilai cat digabungkan ke kolom security_result.category_details sebagai daftar. |
| destinationHosts | target.hostname | Nilai destinationHosts ditetapkan ke target.hostname. |
| destinationHosts | target.asset.hostname | Nilai destinationHosts ditetapkan ke target.asset.hostname. |
| detail | security_result.description | Jika actionPerformed dan act kosong, nilai details akan ditetapkan ke security_result.description. |
| duser | target.user.userid | Nilai duser digunakan untuk mengisi target.user.userid. Beberapa nilai yang dipisahkan dengan "; " akan dibagi dan ditetapkan sebagai alamat email individual jika cocok dengan ekspresi reguler email. Jika tidak, nilai tersebut akan diperlakukan sebagai ID pengguna. |
| eventId | metadata.product_log_id | Jika actionID kosong, nilai eventId akan ditetapkan ke metadata.product_log_id. |
| fname | target.file.full_path | Nilai fname ditetapkan ke target.file.full_path. |
| logTime | metadata.event_timestamp | Nilai logTime diuraikan dan digunakan untuk mengisi metadata.event_timestamp. |
| loginName | principal.user.user_display_name | Nilai loginName ditetapkan ke principal.user.user_display_name. |
| msg | metadata.description | Nilai msg ditetapkan ke metadata.description. |
| productVersion | additional.fields.key | String "productVersion" ditetapkan ke additional.fields.key. |
| productVersion | additional.fields.value.string_value | Nilai productVersion ditetapkan ke additional.fields.value.string_value. |
| peran | principal.user.attribute.roles.name | Nilai role ditetapkan ke principal.user.attribute.roles.name. |
| severityType | security_result.severity | Nilai severityType dipetakan ke security_result.severity. "high" dipetakan ke "HIGH", "med" dipetakan ke "MEDIUM", dan "low" dipetakan ke "LOW" (tidak peka huruf besar/kecil). |
| sourceHost | principal.hostname | Nilai sourceHost ditetapkan ke principal.hostname. |
| sourceHost | principal.asset.hostname | Nilai sourceHost ditetapkan ke principal.asset.hostname. |
| sourceIp | principal.ip | Nilai sourceIp ditambahkan ke kolom principal.ip. |
| sourceIp | principal.asset.ip | Nilai sourceIp ditambahkan ke kolom principal.asset.ip. |
| sourceServiceName | principal.application | Nilai sourceServiceName ditetapkan ke principal.application. |
| pengguna | principal.user.userid | Jika administrator kosong, nilai suser akan ditetapkan ke principal.user.userid. |
| timestamp | metadata.event_timestamp | Nilai timestamp digunakan untuk mengisi metadata.event_timestamp. |
| topic | security_result.rule_name | Nilai topic ditetapkan ke security_result.rule_name setelah koma dihapus. Di-hardcode ke "FORCEPOINT_DLP". Di-hardcode ke "Forcepoint". Diekstrak dari pesan CEF. Dapat berupa "Forcepoint DLP" atau "Forcepoint DLP Audit". Diekstrak dari pesan CEF. Penggabungan device_event_class_id dan event_name, yang diformat sebagai "[device_event_class_id] - event_name". Diinisialisasi ke "GENERIC_EVENT". Diubah menjadi "USER_UNCATEGORIZED" jika is_principal_user_present adalah "true". |
Perubahan
2024-05-20
- Memetakan "fname" ke "target.file.full_path".
- Memetakan "destinationHosts" ke "target.hostname" dan "target.asset.hostname".
- Memetakan "productVersion" dan "analyzedBy" ke "additional.fields".
2024-03-25
- Perbaikan bug:
- Menambahkan dukungan untuk log format baru.
- Memetakan "timeStamp" ke "metadata.event_timestamp".
- Memetakan "act" ke "security_result.description".
- Memetakan "cat" ke "security_result.category_details".
- Memetakan "severityType" ke "security_result.severity".
- Memetakan "msg" ke "metadata.description".
- Memetakan "eventId" ke "metadata.product_log_id".
- Memetakan "sourceServiceName" ke "principal.application".
- Memetakan "sourceHost" ke "principal.hostname" dan "principal.asset.hostname".
- Memetakan "sourceIp" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "suser" ke "principal.user.userid".
- Memetakan "loginName" ke "principal.user.user_display_name".
2022-11-07
- Parser yang Baru Dibuat.