Forcepoint DLP 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 Forcepoint Data Loss Prevention (DLP) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 FORCEPOINT_DLP 수집 라벨이 있는 파서에 적용됩니다.

Forcepoint DLP 구성

  1. Forcepoint Security Manager 콘솔에 로그인합니다.
  2. 추가 작업 섹션에서 syslog 메시지 전송 체크박스를 선택합니다.
  3. 데이터 보안 모듈에서 설정 > 일반 > 해결 방법을 선택합니다.
  4. Syslog 설정 섹션에서 다음을 지정합니다.
    • IP 주소 또는 호스트 이름 필드에 Google Security Operations 전달자의 IP 주소 또는 호스트 이름을 입력합니다.
    • 포트 필드에 포트 번호를 입력합니다.
    • 이 메일에 syslog 기능 사용 체크박스를 선택 해제합니다.
  5. syslog 서버에 확인 테스트 메시지를 보내려면 연결 테스트를 클릭합니다.
  6. 변경사항을 저장하려면 확인을 클릭합니다.

Forcepoint DLP 로그를 수집하도록 Google Security Operations 전달자 구성

  1. SIEM 설정 > 전달자로 이동합니다.
  2. 새 전달자 추가를 클릭합니다.
  3. Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
  4. 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  5. 수집기 이름 입력란에 이름을 입력합니다.
  6. 로그 유형으로 Forcepoint DLP를 선택합니다.
  7. 수집기 유형으로 Syslog를 선택합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
  9. 제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요. 전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 Forcepoint DLP CEF 형식 로그에서 키-값 쌍을 추출하여 정규화하고 UDM에 매핑합니다. 발신자, 수신자, 작업, 심각도 등 다양한 CEF 필드를 처리하여 사용자 정보, 영향을 받은 파일, 보안 결과와 같은 세부정보로 UDM을 보강합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
행위 security_result.description actionPerformed가 비어 있으면 act의 값이 security_result.description에 할당됩니다.
actionID metadata.product_log_id actionID 값은 metadata.product_log_id에 할당됩니다.
actionPerformed security_result.description actionPerformed 값은 security_result.description에 할당됩니다.
관리자 principal.user.userid administrator 값은 principal.user.userid에 할당됩니다.
analyzedBy additional.fields.key 'analyzedBy' 문자열이 additional.fields.key에 할당됩니다.
analyzedBy additional.fields.value.string_value analyzedBy 값은 additional.fields.value.string_value에 할당됩니다.
고양이 security_result.category_details cat의 값은 목록으로 security_result.category_details 필드에 병합됩니다.
destinationHosts target.hostname destinationHosts 값은 target.hostname에 할당됩니다.
destinationHosts target.asset.hostname destinationHosts 값은 target.asset.hostname에 할당됩니다.
세부정보 security_result.description actionPerformedact가 모두 비어 있으면 details 값이 security_result.description에 할당됩니다.
duser target.user.userid duser의 값은 target.user.userid을 채우는 데 사용됩니다. '; '로 구분된 여러 값은 이메일 정규식으로 일치하는 경우 개별 이메일 주소로 분할되고 할당되며, 그렇지 않으면 사용자 ID로 처리됩니다.
eventId metadata.product_log_id actionID가 비어 있으면 eventId의 값이 metadata.product_log_id에 할당됩니다.
fname target.file.full_path fname 값은 target.file.full_path에 할당됩니다.
logTime metadata.event_timestamp logTime 값은 파싱되어 metadata.event_timestamp를 채우는 데 사용됩니다.
loginName principal.user.user_display_name loginName 값은 principal.user.user_display_name에 할당됩니다.
msg metadata.description msg 값은 metadata.description에 할당됩니다.
productVersion additional.fields.key 'productVersion' 문자열이 additional.fields.key에 할당됩니다.
productVersion additional.fields.value.string_value productVersion 값은 additional.fields.value.string_value에 할당됩니다.
역할 principal.user.attribute.roles.name role 값은 principal.user.attribute.roles.name에 할당됩니다.
severityType security_result.severity severityType 값은 security_result.severity에 매핑됩니다. 'high'는 'HIGH'에 매핑되고, 'med'는 'MEDIUM'에 매핑되며, 'low'는 'LOW'에 매핑됩니다(대소문자 구분 안 함).
sourceHost principal.hostname sourceHost 값은 principal.hostname에 할당됩니다.
sourceHost principal.asset.hostname sourceHost 값은 principal.asset.hostname에 할당됩니다.
sourceIp principal.ip sourceIp 값이 principal.ip 필드에 추가됩니다.
sourceIp principal.asset.ip sourceIp 값이 principal.asset.ip 필드에 추가됩니다.
sourceServiceName principal.application sourceServiceName 값은 principal.application에 할당됩니다.
suser principal.user.userid administrator가 비어 있으면 suser의 값이 principal.user.userid에 할당됩니다.
타임스탬프 metadata.event_timestamp timestamp의 값은 metadata.event_timestamp을 채우는 데 사용됩니다.
주제 security_result.rule_name 쉼표가 삭제된 후 topic 값이 security_result.rule_name에 할당됩니다. 'FORCEPOINT_DLP'로 하드코딩됩니다. 'Forcepoint'로 하드코딩되었습니다. CEF 메시지에서 추출됩니다. 'Forcepoint DLP' 또는 'Forcepoint DLP 감사'일 수 있습니다. CEF 메시지에서 추출됩니다. device_event_class_idevent_name의 연결이며 형식은 '[device_event_class_id] - event_name'입니다. 'GENERIC_EVENT'로 초기화됩니다. is_principal_user_present가 'true'인 경우 'USER_UNCATEGORIZED'로 변경되었습니다.

변경사항

2024-05-20

  • 'fname'이 'target.file.full_path'에 매핑되었습니다.
  • 'destinationHosts'가 'target.hostname' 및 'target.asset.hostname'에 매핑되었습니다.
  • 'productVersion' 및 'analyzedBy'가 'additional.fields'에 매핑되었습니다.

2024-03-25

  • 버그 수정:
  • 새 형식 로그에 대한 지원이 추가되었습니다.
  • 'timeStamp'가 'metadata.event_timestamp'에 매핑되었습니다.
  • 'act'가 'security_result.description'에 매핑되었습니다.
  • 'cat'이 'security_result.category_details'에 매핑되었습니다.
  • 'severityType'이 'security_result.severity'에 매핑되었습니다.
  • 'msg'가 'metadata.description'에 매핑되었습니다.
  • 'eventId'가 'metadata.product_log_id'에 매핑되었습니다.
  • 'sourceServiceName'이 'principal.application'에 매핑되었습니다.
  • 'sourceHost'가 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
  • 'sourceIp'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
  • 'suser'가 'principal.user.userid'에 매핑되었습니다.
  • 'loginName'이 'principal.user.user_display_name'에 매핑되었습니다.

2022-11-07

  • 새로 생성된 파서입니다.