收集 Forcepoint DLP 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Forcepoint 数据泄露防范 (DLP) 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心概览。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FORCEPOINT_DLP 注入标签的解析器。
配置 Forcepoint DLP
- 登录 Forcepoint Security Manager 控制台。
- 在其他操作部分,选中发送 syslog 消息复选框。
- 在数据安全模块中,依次选择设置 > 常规 > 补救措施。
- 在 Syslog settings 部分中,指定以下内容:
- 在 IP 地址或主机名字段中,输入 Google 安全运营转发器的 IP 地址或主机名。
- 在端口字段中,输入端口号。
- 取消选中对这些消息使用 syslog 设施复选框。
- 如需向 syslog 服务器发送验证测试消息,请点击测试连接。
- 如需保存更改,请点击确定。
配置 Google Security Operations 转发器以注入 Forcepoint DLP 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一的名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择 Forcepoint DLP 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置。如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会从 Forcepoint DLP CEF 格式的日志中提取键值对,并对其进行标准化并映射到 UDM。它会处理各种 CEF 字段,包括发件人、收件人、操作和严重程度,并通过用户信息、受影响的文件和安全结果等详细信息丰富 UDM。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 法案 | security_result.description | 如果 actionPerformed 为空,则将 act 的值分配给 security_result.description。 |
| actionID | metadata.product_log_id | actionID 的值会分配给 metadata.product_log_id。 |
| actionPerformed | security_result.description | actionPerformed 的值会分配给 security_result.description。 |
| 管理员 | principal.user.userid | administrator 的值会分配给 principal.user.userid。 |
| analyzedBy | additional.fields.key | 将字符串“analyzedBy”分配给 additional.fields.key。 |
| analyzedBy | additional.fields.value.string_value | analyzedBy 的值会分配给 additional.fields.value.string_value。 |
| 猫 | security_result.category_details | cat 的值会作为列表合并到 security_result.category_details 字段中。 |
| destinationHosts | target.hostname | destinationHosts 的值会分配给 target.hostname。 |
| destinationHosts | target.asset.hostname | destinationHosts 的值会分配给 target.asset.hostname。 |
| 详细信息 | security_result.description | 如果 actionPerformed 和 act 均为空,则 details 的值会被分配给 security_result.description。 |
| duser | target.user.userid | duser 的值用于填充 target.user.userid。如果以“;”分隔的多个值与电子邮件正则表达式匹配,则会拆分并分配为单独的电子邮件地址;否则,系统会将其视为用户 ID。 |
| eventId | metadata.product_log_id | 如果 actionID 为空,则将 eventId 的值分配给 metadata.product_log_id。 |
| fname | target.file.full_path | fname 的值会分配给 target.file.full_path。 |
| logTime | metadata.event_timestamp | 系统会解析 logTime 的值,并将其用于填充 metadata.event_timestamp。 |
| loginName | principal.user.user_display_name | loginName 的值会分配给 principal.user.user_display_name。 |
| msg | metadata.description | msg 的值会分配给 metadata.description。 |
| productVersion | additional.fields.key | 将字符串“productVersion”分配给 additional.fields.key。 |
| productVersion | additional.fields.value.string_value | productVersion 的值会分配给 additional.fields.value.string_value。 |
| 角色 | principal.user.attribute.roles.name | role 的值会分配给 principal.user.attribute.roles.name。 |
| severityType | security_result.severity | severityType 的值映射到 security_result.severity。“high”映射到“HIGH”“med”映射到“MEDIUM”,“low”映射到“LOW”(不区分大小写)。 |
| sourceHost | principal.hostname | sourceHost 的值会分配给 principal.hostname。 |
| sourceHost | principal.asset.hostname | sourceHost 的值会分配给 principal.asset.hostname。 |
| sourceIp | principal.ip | sourceIp 的值会添加到 principal.ip 字段。 |
| sourceIp | principal.asset.ip | sourceIp 的值会添加到 principal.asset.ip 字段。 |
| sourceServiceName | principal.application | sourceServiceName 的值会分配给 principal.application。 |
| suser | principal.user.userid | 如果 administrator 为空,则将 suser 的值分配给 principal.user.userid。 |
| 时间戳 | metadata.event_timestamp | timestamp 的值用于填充 metadata.event_timestamp。 |
| 主题 | security_result.rule_name | 移除逗号后,topic 的值会分配给 security_result.rule_name。已硬编码为“FORCEPOINT_DLP”。已硬编码为“Forcepoint”。从 CEF 消息中提取。可以是“Forcepoint DLP”或“Forcepoint DLP Audit”。从 CEF 消息中提取。device_event_class_id 和 event_name 的串联,格式为“[device_event_class_id] - event_name”。初始化为“GENERIC_EVENT”。如果 is_principal_user_present 为“true”,则更改为“USER_UNCATEGORIZED”。 |
变化
2024-05-20
- 将“fname”映射到“target.file.full_path”。
- 将“destinationHosts”映射到“target.hostname”和“target.asset.hostname”。
- 将“productVersion”和“analyzedBy”映射到“additional.fields”。
2024-03-25
- bug 修复:
- 添加了对新格式日志的支持。
- 将“timeStamp”映射到“metadata.event_timestamp”。
- 将“act”映射到“security_result.description”。
- 将“cat”映射到“security_result.category_details”。
- 将“severityType”映射到“security_result.severity”。
- 将“msg”映射到“metadata.description”。
- 将“eventId”映射到“metadata.product_log_id”。
- 将“sourceServiceName”映射到“principal.application”。
- 将“sourceHost”映射到“principal.hostname”和“principal.asset.hostname”。
- 将“sourceIp”映射到“principal.ip”和“principal.asset.ip”。
- 将“suser”映射到“principal.user.userid”。
- 将“loginName”映射到“principal.user.user_display_name”。
2022-11-07
- 新创建的解析器。