Forcepoint DLP 로그 수집
이 문서에서는 Google Security Operations 전달자를 사용하여 Forcepoint Data Loss Prevention (DLP) 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 FORCEPOINT_DLP
수집 라벨이 있는 파서에 적용됩니다.
Forcepoint DLP 구성
- Forcepoint Security Manager 콘솔에 로그인합니다.
- 추가 작업 섹션에서 syslog 메시지 전송 체크박스를 선택합니다.
- 데이터 보안 모듈에서 설정 > 일반 > 해결 방법을 선택합니다.
- Syslog 설정 섹션에서 다음을 지정합니다.
- IP 주소 또는 호스트 이름 필드에 Google Security Operations 전달자의 IP 주소 또는 호스트 이름을 입력합니다.
- 포트 필드에 포트 번호를 입력합니다.
- 이 메일에 syslog 기능 사용 체크박스를 선택 해제합니다.
- syslog 서버에 확인 테스트 메시지를 보내려면 연결 테스트를 클릭합니다.
- 변경사항을 저장하려면 확인을 클릭합니다.
Forcepoint DLP 로그를 수집하도록 Google Security Operations 전달자 구성
- SIEM 설정 > 전달자로 이동합니다.
- 새 전달자 추가를 클릭합니다.
- Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
- 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 입력란에 이름을 입력합니다.
- 로그 유형으로 Forcepoint DLP를 선택합니다.
- 수집기 유형으로 Syslog를 선택합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요. 전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 Forcepoint DLP CEF 형식 로그에서 키-값 쌍을 추출하여 정규화하고 UDM에 매핑합니다. 발신자, 수신자, 작업, 심각도 등 다양한 CEF 필드를 처리하여 사용자 정보, 영향을 받은 파일, 보안 결과와 같은 세부정보로 UDM을 보강합니다.
UDM 매핑 표
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
행위 | security_result.description | actionPerformed 가 비어 있으면 act 의 값이 security_result.description 에 할당됩니다. |
actionID | metadata.product_log_id | actionID 값은 metadata.product_log_id 에 할당됩니다. |
actionPerformed | security_result.description | actionPerformed 값은 security_result.description 에 할당됩니다. |
관리자 | principal.user.userid | administrator 값은 principal.user.userid 에 할당됩니다. |
analyzedBy | additional.fields.key | 'analyzedBy' 문자열이 additional.fields.key 에 할당됩니다. |
analyzedBy | additional.fields.value.string_value | analyzedBy 값은 additional.fields.value.string_value 에 할당됩니다. |
고양이 | security_result.category_details | cat 의 값은 목록으로 security_result.category_details 필드에 병합됩니다. |
destinationHosts | target.hostname | destinationHosts 값은 target.hostname 에 할당됩니다. |
destinationHosts | target.asset.hostname | destinationHosts 값은 target.asset.hostname 에 할당됩니다. |
세부정보 | security_result.description | actionPerformed 와 act 가 모두 비어 있으면 details 값이 security_result.description 에 할당됩니다. |
duser | target.user.userid | duser 의 값은 target.user.userid 을 채우는 데 사용됩니다. '; '로 구분된 여러 값은 이메일 정규식으로 일치하는 경우 개별 이메일 주소로 분할되고 할당되며, 그렇지 않으면 사용자 ID로 처리됩니다. |
eventId | metadata.product_log_id | actionID 가 비어 있으면 eventId 의 값이 metadata.product_log_id 에 할당됩니다. |
fname | target.file.full_path | fname 값은 target.file.full_path 에 할당됩니다. |
logTime | metadata.event_timestamp | logTime 값은 파싱되어 metadata.event_timestamp 를 채우는 데 사용됩니다. |
loginName | principal.user.user_display_name | loginName 값은 principal.user.user_display_name 에 할당됩니다. |
msg | metadata.description | msg 값은 metadata.description 에 할당됩니다. |
productVersion | additional.fields.key | 'productVersion' 문자열이 additional.fields.key 에 할당됩니다. |
productVersion | additional.fields.value.string_value | productVersion 값은 additional.fields.value.string_value 에 할당됩니다. |
역할 | principal.user.attribute.roles.name | role 값은 principal.user.attribute.roles.name 에 할당됩니다. |
severityType | security_result.severity | severityType 값은 security_result.severity 에 매핑됩니다. 'high'는 'HIGH'에 매핑되고, 'med'는 'MEDIUM'에 매핑되며, 'low'는 'LOW'에 매핑됩니다(대소문자 구분 안 함). |
sourceHost | principal.hostname | sourceHost 값은 principal.hostname 에 할당됩니다. |
sourceHost | principal.asset.hostname | sourceHost 값은 principal.asset.hostname 에 할당됩니다. |
sourceIp | principal.ip | sourceIp 값이 principal.ip 필드에 추가됩니다. |
sourceIp | principal.asset.ip | sourceIp 값이 principal.asset.ip 필드에 추가됩니다. |
sourceServiceName | principal.application | sourceServiceName 값은 principal.application 에 할당됩니다. |
suser | principal.user.userid | administrator 가 비어 있으면 suser 의 값이 principal.user.userid 에 할당됩니다. |
타임스탬프 | metadata.event_timestamp | timestamp 의 값은 metadata.event_timestamp 을 채우는 데 사용됩니다. |
주제 | security_result.rule_name | 쉼표가 삭제된 후 topic 값이 security_result.rule_name 에 할당됩니다. 'FORCEPOINT_DLP'로 하드코딩됩니다. 'Forcepoint'로 하드코딩되었습니다. CEF 메시지에서 추출됩니다. 'Forcepoint DLP' 또는 'Forcepoint DLP 감사'일 수 있습니다. CEF 메시지에서 추출됩니다. device_event_class_id 및 event_name 의 연결이며 형식은 '[device_event_class_id] - event_name'입니다. 'GENERIC_EVENT'로 초기화됩니다. is_principal_user_present 가 'true'인 경우 'USER_UNCATEGORIZED'로 변경되었습니다. |
변경사항
2024-05-20
- 'fname'이 'target.file.full_path'에 매핑되었습니다.
- 'destinationHosts'가 'target.hostname' 및 'target.asset.hostname'에 매핑되었습니다.
- 'productVersion' 및 'analyzedBy'가 'additional.fields'에 매핑되었습니다.
2024-03-25
- 버그 수정:
- 새 형식 로그에 대한 지원이 추가되었습니다.
- 'timeStamp'가 'metadata.event_timestamp'에 매핑되었습니다.
- 'act'가 'security_result.description'에 매핑되었습니다.
- 'cat'이 'security_result.category_details'에 매핑되었습니다.
- 'severityType'이 'security_result.severity'에 매핑되었습니다.
- 'msg'가 'metadata.description'에 매핑되었습니다.
- 'eventId'가 'metadata.product_log_id'에 매핑되었습니다.
- 'sourceServiceName'이 'principal.application'에 매핑되었습니다.
- 'sourceHost'가 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
- 'sourceIp'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
- 'suser'가 'principal.user.userid'에 매핑되었습니다.
- 'loginName'이 'principal.user.user_display_name'에 매핑되었습니다.
2022-11-07
- 새로 생성된 파서입니다.