Coletar registros do DLP do Forcepoint
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros de prevenção contra perda de dados (DLP, na sigla em inglês) do Forcepoint usando um forwarder de operações de segurança do Google.
Para mais informações, consulte Visão geral da ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o
rótulo de transferência FORCEPOINT_DLP.
Configurar a DLP do Forcepoint
- Faça login no console do Forcepoint Security Manager.
- Na seção Outras ações, marque a caixa de seleção Enviar mensagem syslog.
- No módulo Segurança de dados, selecione Configurações > Geral > Remediação.
- Na seção Configurações do Syslog, especifique o seguinte:
- No campo Endereço IP ou nome do host, insira o endereço IP ou o nome do host do encaminhador de operações de segurança do Google.
- No campo Porta, digite o número da porta.
- Desmarque a caixa de seleção Usar o recurso syslog para essas mensagens.
- Para enviar uma mensagem de teste de verificação ao servidor syslog, clique em Testar conexão.
- Para salvar as alterações, clique em Ok.
Configurar o encaminhador do Google Security Operations para processar registros de DLP do Forcepoint
- Acesse Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo.
- Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
- No campo Nome do coletor, digite um nome.
- Selecione Forcepoint DLP como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e detecta dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador extrai pares de chave-valor dos registros formatados CEF do DLP da Forcepoint, normalizando e mapeando-os para o UDM. Ele processa vários campos do CEF, incluindo remetente, destinatário, ações e gravidade, enriquecendo a UDM com detalhes como informações do usuário, arquivos afetados e resultados de segurança.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| ato | security_result.description | Se actionPerformed estiver vazio, o valor de act será atribuído a security_result.description. |
| actionID | metadata.product_log_id | O valor de actionID é atribuído a metadata.product_log_id. |
| actionPerformed | security_result.description | O valor de actionPerformed é atribuído a security_result.description. |
| administrador | principal.user.userid | O valor de administrator é atribuído a principal.user.userid. |
| analyzedBy | additional.fields.key | A string "analyzedBy" é atribuída a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | O valor de analyzedBy é atribuído a additional.fields.value.string_value. |
| gato | security_result.category_details | Os valores de cat são mesclados no campo security_result.category_details como uma lista. |
| destinationHosts | target.hostname | O valor de destinationHosts é atribuído a target.hostname. |
| destinationHosts | target.asset.hostname | O valor de destinationHosts é atribuído a target.asset.hostname. |
| detalhes | security_result.description | Se actionPerformed e act estiverem vazios, o valor de details será atribuído a security_result.description. |
| duser | target.user.userid | O valor de duser é usado para preencher target.user.userid. Vários valores separados por "; " são divididos e atribuídos como endereços de e-mail individuais se corresponderem ao regex de e-mail. Caso contrário, eles são tratados como IDs de usuário. |
| eventId | metadata.product_log_id | Se actionID estiver vazio, o valor de eventId será atribuído a metadata.product_log_id. |
| fname | target.file.full_path | O valor de fname é atribuído a target.file.full_path. |
| logTime | metadata.event_timestamp | O valor de logTime é analisado e usado para preencher metadata.event_timestamp. |
| loginName | principal.user.user_display_name | O valor de loginName é atribuído a principal.user.user_display_name. |
| msg | metadata.description | O valor de msg é atribuído a metadata.description. |
| productVersion | additional.fields.key | A string "productVersion" é atribuída a additional.fields.key. |
| productVersion | additional.fields.value.string_value | O valor de productVersion é atribuído a additional.fields.value.string_value. |
| papel | principal.user.attribute.roles.name | O valor de role é atribuído a principal.user.attribute.roles.name. |
| severityType | security_result.severity | O valor de severityType é mapeado para security_result.severity. "high" é mapeado para "HIGH", "med" é mapeado para "MEDIUM" e "low" é mapeado para "LOW" (sem distinção entre maiúsculas e minúsculas). |
| sourceHost | principal.hostname | O valor de sourceHost é atribuído a principal.hostname. |
| sourceHost | principal.asset.hostname | O valor de sourceHost é atribuído a principal.asset.hostname. |
| sourceIp | principal.ip | O valor de sourceIp é adicionado ao campo principal.ip. |
| sourceIp | principal.asset.ip | O valor de sourceIp é adicionado ao campo principal.asset.ip. |
| sourceServiceName | principal.application | O valor de sourceServiceName é atribuído a principal.application. |
| suser | principal.user.userid | Se administrator estiver vazio, o valor de suser será atribuído a principal.user.userid. |
| timestamp | metadata.event_timestamp | O valor de timestamp é usado para preencher metadata.event_timestamp. |
| tópico | security_result.rule_name | O valor de topic é atribuído a security_result.rule_name depois que as vírgulas são removidas. Fixado em "FORCEPOINT_DLP". Fixado em "Forcepoint". Extraídos da mensagem CEF. Pode ser "Forcepoint DLP" ou "Forcepoint DLP Audit". Extraídos da mensagem CEF. Concatenação de device_event_class_id e event_name, formatada como "[device_event_class_id] - event_name". Inicializado como "GENERIC_EVENT". Mudou para "USER_UNCATEGORIZED" se is_principal_user_present for "true". |
Alterações
2024-05-20
- "fname" foi mapeado para "target.file.full_path".
- "destinationHosts" foi mapeado para "target.hostname" e "target.asset.hostname".
- Mapeamos "productVersion" e "analyzedBy" para "additional.fields".
2024-03-25
- Correção de bugs:
- Adicionamos suporte a novos formatos de registros.
- "timeStamp" foi mapeado para "metadata.event_timestamp".
- "act" foi associado a "security_result.description".
- Mapeamos "cat" para "security_result.category_details".
- "severityType" foi associado a "security_result.severity".
- "msg" foi associado a "metadata.description".
- "eventId" foi mapeado para "metadata.product_log_id".
- Mapeamos "sourceServiceName" para "principal.application".
- "sourceHost" foi mapeado para "principal.hostname" e "principal.asset.hostname".
- "sourceIp" foi mapeado para "principal.ip" e "principal.asset.ip".
- Mapeamos "suser" para "principal.user.userid".
- "loginName" foi associado a "principal.user.user_display_name".
2022-11-07
- Analisador recém-criado.