Forcepoint CASB-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Forcepoint CASB-Logs (Cloud Access Security Broker) mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus Forcepoint CASB-Syslog-Nachrichten, die mit CEF formatiert sind. Es verwendet Grok zum Parsen der Nachricht, KV zum Trennen von Schlüssel/Wert-Paaren und bedingte Logik zum Zuordnen extrahierter Felder zum Unified Data Model (UDM). Dabei werden verschiedene Ereignistypen und plattformspezifische Details berücksichtigt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Ein Windows-Host mit Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf Forcepoint CASB

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
    • Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
    • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  1. Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  2. Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Forcepoint SIEM-Tool herunterladen

  1. Melden Sie sich im Forcepoint CASB-Verwaltungsportal an.
  2. Gehen Sie zu Einstellungen> Tools und Agents > SIEM-Tool.
  3. Klicken Sie auf Herunterladen, um eine ZIP-Datei mit dem Namen SIEM-Tool-\[operating system\]-\[release date\].zip (z. B. SIEM-Tool-Windows-2021-10-19.zip) herunterzuladen. Die ZIP-Datei enthält je nach heruntergeladener Version eine der folgenden Dateien:
    • SIEMClient.bat (wenn Sie das Windows-Tool heruntergeladen haben)
    • SIEMClient.sh (wenn Sie das Linux-Tool heruntergeladen haben)

SIEM-Tool installieren

Für eine sichere Verbindung des SIEM-Tools zum Forcepoint CASB-Dienst benötigt das Tool die Truststore-Datei, die über das Forcepoint CASB-Verwaltungsportal heruntergeladen werden kann. Gehen Sie so vor:

  1. Melden Sie sich im Forcepoint CASB-Verwaltungsportal an.
  2. Gehen Sie zu Einstellungen> Tools und Agents > SIEM-Tool.
  3. Klicken Sie auf Trust Store herunterladen.
  4. Speichern Sie die heruntergeladene Truststore-Datei an einem Ort, auf den das SIEM-Tool nach der Installation zugreifen kann.
  5. Extrahieren Sie das SIEM-Tool-Archiv auf einem Host, auf dem Java v1.8 oder höher installiert ist und der auf den Forcepoint CASB-Verwaltungsserver der Organisation zugreifen kann.
  6. Öffnen Sie eine Eingabeaufforderung, rufen Sie den Speicherort der SIEMClient-Dateien auf und führen Sie den folgenden Befehl aus:
    • Windows: SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
    • Linux: SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
  7. Geben Sie die folgenden Konfigurationsparameter an:
    • <user> und <password>: Anmeldedaten des Forcepoint CASB-Administrators. Wenn Sie die Argumente „--username“ und „--password“ weglassen, werden Sie optional aufgefordert, sie interaktiv anzugeben.
    • <file>: Pfad und Dateiname für den Anmeldedatenspeicher.
  8. Führen Sie das SIEM-Tool über die Eingabeaufforderung aus: <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
  9. Geben Sie die folgenden Konfigurationsparameter an:
    • <tool>: Unter Windows: SIEMClient.bat, unter Linux: SIEMClient.sh.
    • <file>: Pfad und Dateiname des Speichers für Anmeldedaten.
    • <host> und <port#>: Verbindungsdetails zum Forcepoint CASB-Verwaltungsserver. Der Port ist normalerweise 443.
    • <dir>: Verzeichnis, in dem das SIEM-Tool die erstellten Aktivitätsdateien speichert. Erforderlich, auch wenn die Daten an Syslog gesendet werden.
    • <trust>: Pfad und Dateiname der zuvor heruntergeladenen Trust Store-Datei.
    • <bindplaneAgentIP>: IP-Adresse des Bindplane-Agents.
    • <facility>: Geben Sie local1 ein.
    • <cef.version>: Setzen Sie die Version von CEF auf 2.
      • Wenn cefVersion=1, verwendet das Tool das alte CEF-Format.
      • Wenn „cefVersion=2“ festgelegt ist, verwendet das Tool das echte CEF-Format.
      • Wenn cefVersion=3, verwendet das Tool eine neuere Version von CEF, die die neuen Spalten für Aktivitäten (Target, Message und Properties) unterstützt.
      • Wenn der Parameter „cefVersion“ im Befehl enthalten ist, wird der Parameter „cefCompliance“ vom Tool ignoriert.
      • Wenn der Parameter „cefVersion“ im Befehl fehlt, verwendet das Tool den Parameter „cef Compliance“.
    • <cef.flag>: Aktivieren Sie das true-CEF-Format.
      • Wenn cefCompliance=true, verwendet das Tool das echte CEF-Format.
      • Wenn cefCompliance=false, verwendet das Tool das alte CEF-Format.
      • Wenn der Parameter im Befehl weggelassen wird, ist der Standardwert „false“ und das Tool verwendet das alte CEF-Format.
    • <proxy.host> und <proxy.port>: Verbindungsdetails zum Proxyserver, wenn die Verbindung zum Forcepoint CASB-Verwaltungsserver über einen Proxyserver hergestellt wird.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
act security_result.action Wenn act „ALLOW“ (Groß-/Kleinschreibung wird nicht berücksichtigt) enthält, wird „ALLOW“ festgelegt. Andernfalls auf „BLOCK“ setzen.
agt principal.ip Direkt zugeordnet.
ahost principal.hostname Direkt zugeordnet.
aid principal.resource.id Direkt zugeordnet.
amac principal.mac Direkt zugeordnet nach dem Ersetzen von „-“ durch „:“ und der Umwandlung in Kleinbuchstaben.
at principal.resource.name Direkt zugeordnet.
atz principal.location.country_or_region Direkt zugeordnet.
av principal.resource.attribute.labels.key, principal.resource.attribute.labels.value av wird key zugeordnet und der Wert von av wird value zugeordnet.
cs1 principal.user.email_addresses Direkt zugeordnet.
deviceProcessName target.resource.name Direkt zugeordnet.
deviceZoneURI target.url Direkt zugeordnet.
dvc target.ip Direkt zugeordnet.
dvchost target.hostname Direkt zugeordnet.
event_name metadata.product_event_type, metadata.event_type Wird in Verbindung mit event_type verwendet, um metadata.product_event_type auszufüllen. Wird auch verwendet, um metadata.event_type zu bestimmen: „Login“ –> USER_LOGIN, „Logout“ –> USER_LOGOUT, „access event“ –> USER_UNCATEGORIZED, andernfalls (wenn agt vorhanden ist) –> STATUS_UPDATE.
event_type metadata.product_event_type Wird in Verbindung mit event_name verwendet, um metadata.product_event_type auszufüllen.
msg metadata.description, security_result.summary Direkt beiden Feldern zugeordnet.
product metadata.vendor_name Direkt zugeordnet.
request extensions.auth.auth_details, extensions.auth.type Direkt extensions.auth.auth_details zugeordnet. extensions.auth.type ist auf „SSO“ festgelegt.
requestClientApplication network.http.user_agent Direkt zugeordnet.
shost src.hostname Direkt zugeordnet.
smb_host intermediary.hostname Direkt zugeordnet.
smb_uid intermediary.user.userid Direkt zugeordnet.
sourceServiceName principal.platform_version, principal.platform Direkt principal.platform_version zugeordnet. principal.platform wird basierend auf dem Wert von sourceServiceName abgeleitet: „Window“ –> WINDOWS, „Linux“ –> LINUX, „mac“ oder „iPhone“ –> MAC.
sourceZoneURI src.url Direkt zugeordnet.
spriv src.user.department Direkt zugeordnet.
sproc src.resource.attribute.labels.key, src.resource.attribute.labels.value sproc wird key zugeordnet und der Wert von sproc wird value zugeordnet.
src src.ip Direkt zugeordnet.
suid principal.user.userid Direkt zugeordnet.
timestamp metadata.event_timestamp Direkt zugeordnet.
ts_event metadata.collected_timestamp Direkt nach dem Parsen und Konvertieren in einen Zeitstempel zugeordnet.
value metadata.product_name Wird mit „Forcepoint“ verkettet, um metadata.product_name zu bilden. Legen Sie diesen Wert auf „FORCEPOINT_CASB“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten