Forcepoint DLP ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Forcepoint Data Loss Prevention(DLP)のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル FORCEPOINT_DLP が付加されたパーサーに適用されます。
Forcepoint DLP を構成する
- Forcepoint Security Manager コンソールにログインします。
- [その他のアクション] セクションで、[Syslog メッセージを送信する] チェックボックスをオンにします。
- [データ セキュリティ] モジュールで、[設定] > [全般] > [修正] を選択します。
- [Syslog の設定] セクションで、次のように指定します。
- [IP address or hostname] フィールドに、Google Security Operations 転送エージェントの IP アドレスまたはホスト名を入力します。
- [ポート] フィールドにポート番号を入力します。
- [これらのメッセージに syslog 機能を使用] チェックボックスをオフにします。
- syslog サーバーに確認テスト メッセージを送信するには、[接続をテスト] をクリックします。
- 変更を保存するには、[OK] をクリックします。
Forcepoint DLP ログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] で [Forcepoint DLP] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Forcepoint DLP CEF 形式のログから Key-Value ペアを抽出し、正規化して UDM にマッピングします。送信者、受信者、アクション、重大度など、さまざまな CEF フィールドを処理し、ユーザー情報、影響を受けるファイル、セキュリティ結果などの詳細を UDM に追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| 対処 | security_result.description | actionPerformed が空の場合、act の値が security_result.description に割り当てられます。 |
| actionID | metadata.product_log_id | actionID の値が metadata.product_log_id に割り当てられます。 |
| actionPerformed | security_result.description | actionPerformed の値が security_result.description に割り当てられます。 |
| 管理者 | principal.user.userid | administrator の値が principal.user.userid に割り当てられます。 |
| analyzedBy | additional.fields.key | 文字列「analyzedBy」が additional.fields.key に割り当てられます。 |
| analyzedBy | additional.fields.value.string_value | analyzedBy の値が additional.fields.value.string_value に割り当てられます。 |
| 猫 | security_result.category_details | cat の値は、リストとして security_result.category_details フィールドに統合されます。 |
| destinationHosts | target.hostname | destinationHosts の値が target.hostname に割り当てられます。 |
| destinationHosts | target.asset.hostname | destinationHosts の値が target.asset.hostname に割り当てられます。 |
| 詳細 | security_result.description | actionPerformed と act の両方が空の場合、details の値は security_result.description に割り当てられます。 |
| duser | target.user.userid | duser の値は、target.user.userid の入力に使用されます。「;」で区切られた複数の値は分割され、メールの正規表現と一致する場合は個別のメールアドレスとして割り当てられます。一致しない場合、ユーザー ID として扱われます。 |
| eventId | metadata.product_log_id | actionID が空の場合、eventId の値が metadata.product_log_id に割り当てられます。 |
| fname | target.file.full_path | fname の値が target.file.full_path に割り当てられます。 |
| logTime | metadata.event_timestamp | logTime の値が解析され、metadata.event_timestamp の入力に使用されます。 |
| loginName | principal.user.user_display_name | loginName の値が principal.user.user_display_name に割り当てられます。 |
| msg | metadata.description | msg の値が metadata.description に割り当てられます。 |
| productVersion | additional.fields.key | 文字列「productVersion」が additional.fields.key に割り当てられます。 |
| productVersion | additional.fields.value.string_value | productVersion の値が additional.fields.value.string_value に割り当てられます。 |
| ロール | principal.user.attribute.roles.name | role の値が principal.user.attribute.roles.name に割り当てられます。 |
| severityType | security_result.severity | severityType の値は security_result.severity にマッピングされます。「high」は「HIGH」、「med」は「MEDIUM」、「low」は「LOW」にマッピングされます(大文字と小文字は区別されません)。 |
| sourceHost | principal.hostname | sourceHost の値が principal.hostname に割り当てられます。 |
| sourceHost | principal.asset.hostname | sourceHost の値が principal.asset.hostname に割り当てられます。 |
| sourceIp | principal.ip | sourceIp の値が principal.ip フィールドに追加されます。 |
| sourceIp | principal.asset.ip | sourceIp の値が principal.asset.ip フィールドに追加されます。 |
| sourceServiceName | principal.application | sourceServiceName の値が principal.application に割り当てられます。 |
| suser | principal.user.userid | administrator が空の場合、suser の値が principal.user.userid に割り当てられます。 |
| タイムスタンプ | metadata.event_timestamp | timestamp の値は、metadata.event_timestamp の入力に使用されます。 |
| トピック | security_result.rule_name | カンマが削除された後、topic の値が security_result.rule_name に割り当てられます。「FORCEPOINT_DLP」にハードコードされています。「Forcepoint」にハードコードされています。CEF メッセージから抽出されます。「Forcepoint DLP」または「Forcepoint DLP Audit」のいずれか。CEF メッセージから抽出されます。device_event_class_id と event_name の連結で、形式は「[device_event_class_id] - event_name」です。「GENERIC_EVENT」に初期化されます。is_principal_user_present が「true」の場合に「USER_UNCATEGORIZED」に変更しました。 |
変更点
2024-05-20
- 「fname」を「target.file.full_path」にマッピングしました。
- 「destinationHosts」を「target.hostname」と「target.asset.hostname」にマッピングしました。
- 「productVersion」と「analyzedBy」を「additional.fields」にマッピングしました。
2024-03-25
- バグの修正:
- 新しい形式のログのサポートを追加しました。
- 「timeStamp」を「metadata.event_timestamp」にマッピングしました。
- 「act」を「security_result.description」にマッピングしました。
- 「cat」を「security_result.category_details」にマッピングしました。
- 「severityType」を「security_result.severity」にマッピングしました。
- 「msg」を「metadata.description」にマッピングしました。
- 「eventId」を「metadata.product_log_id」にマッピングしました。
- 「sourceServiceName」を「principal.application」にマッピングしました。
- 「sourceHost」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
- 「sourceIp」を「principal.ip」と「principal.asset.ip」にマッピングしました。
- 「suser」を「principal.user.userid」にマッピングしました。
- 「loginName」を「principal.user.user_display_name」にマッピングしました。
2022-11-07
- 新しく作成されたパーサー。