Esta página se ha traducido con Cloud Translation API.

Recoger registros de Forcepoint CASB

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de Forcepoint CASB (Cloud Access Security Broker) en Google Security Operations mediante Bindplane. El analizador extrae campos de los mensajes syslog de Forcepoint CASB formateados con CEF. Usa Grok para analizar el mensaje, KV para separar los pares clave-valor y la lógica condicional para asignar los campos extraídos al modelo de datos unificado (UDM), gestionando varios tipos de eventos y detalles específicos de la plataforma.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Un host Windows 2016 o posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a Forcepoint CASB

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta donde se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Descargar la herramienta SIEM de Forcepoint

Inicia sesión en el portal de gestión de Forcepoint CASB.
Ve a Configuración > Herramientas y agentes > Herramienta SIEM.
Haz clic en Descargar para descargar un archivo ZIP llamado SIEM-Tool-\[operating system\]-\[release date\].zip (por ejemplo, SIEM-Tool-Windows-2021-10-19.zip). El archivo ZIP contiene uno de los siguientes archivos, en función de la versión que descargues:
- SIEMClient.bat (si has descargado la herramienta de Windows)
- SIEMClient.sh (si has descargado la herramienta de Linux)

Instalar la herramienta SIEM

Para conectar de forma segura la herramienta SIEM al servicio Forcepoint CASB, la herramienta requiere el archivo de almacén de confianza que se puede descargar desde el portal de gestión de Forcepoint CASB. Sigue estos pasos:

Inicia sesión en el portal de gestión de Forcepoint CASB.
Ve a Configuración > Herramientas y agentes > Herramienta SIEM.
Haz clic en Descargar Trust Store.
Guarda el archivo de almacén de confianza descargado en una ubicación a la que pueda acceder la herramienta SIEM después de instalarla.
Extrae el archivo de herramienta SIEM en un host que tenga instalada la versión Java 1.8 o una posterior y que pueda acceder al servidor de gestión de Forcepoint CASB de la organización.
Abre una petición de comando, ve a la ubicación de los archivos SIEMClient y ejecuta el siguiente comando:
- Windows: SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
- Linux: SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
Proporcione los siguientes parámetros de configuración:
- <user> y <password>: credenciales de administrador de Forcepoint CASB. Si omite los argumentos --username y --password, se le pedirá que los proporcione de forma interactiva.
- <file>: ruta y nombre de archivo del almacén de credenciales.
Ejecuta la herramienta SIEM desde el símbolo del sistema: <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
Proporcione los siguientes parámetros de configuración:
- <tool>: En Windows: SIEMClient.bat. En Linux: SIEMClient.sh.
- <file>: ruta y nombre de archivo del almacén de credenciales.
- <host> y <port#>: detalles de conexión al servidor de gestión de CASB de Forcepoint. El puerto suele ser el 443.
- <dir>: directorio en el que la herramienta SIEM guarda los archivos de actividad generados. Es obligatorio aunque se envíe a syslog.
- <trust>: ruta y nombre de archivo del archivo del almacén de confianza descargado anteriormente.
- <bindplaneAgentIP>: dirección IP del agente de Bindplane.
- <facility>: escribe local1.
- <cef.version>: define la versión de CEF como 2.
  - Si cefVersion=1, la herramienta usa el formato CEF antiguo.
  - Si cefVersion=2, la herramienta usa el formato CEF verdadero.
  - Si cefVersion=3, la herramienta usa una versión más reciente de CEF que admite las nuevas columnas de actividad (Objetivo, Mensaje y Propiedades).
  - Si el parámetro cefVersion se incluye en el comando, la herramienta ignora el parámetro cefCompliance.
  - Si se omite el parámetro cefVersion en el comando, la herramienta usará el parámetro cefCompliance.
- <cef.flag>: habilita el formato true de CEF.
  - Si cefCompliance=true, la herramienta usa el formato CEF verdadero.
  - Si cefCompliance=false, la herramienta usa el formato CEF antiguo.
  - Si se omite el parámetro en el comando, el valor predeterminado es false y la herramienta usa el formato CEF antiguo.
- <proxy.host> y <proxy.port>: detalles de la conexión con el servidor proxy si se conecta al servidor de gestión de Forcepoint CASB a través de un servidor proxy.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`act`	`security_result.action`	Si `act` contiene "ALLOW" (sin distinguir entre mayúsculas y minúsculas), se le asigna el valor "ALLOW". De lo contrario, se asigna el valor "BLOCK".
`agt`	`principal.ip`	Asignación directa.
`ahost`	`principal.hostname`	Asignación directa.
`aid`	`principal.resource.id`	Asignación directa.
`amac`	`principal.mac`	Asignado directamente después de sustituir "-" por ":" y convertirlo a minúsculas.
`at`	`principal.resource.name`	Asignación directa.
`atz`	`principal.location.country_or_region`	Asignación directa.
`av`	`principal.resource.attribute.labels.key`, `principal.resource.attribute.labels.value`	`av` se asigna a `key` y el valor de `av` se asigna a `value`.
`cs1`	`principal.user.email_addresses`	Asignación directa.
`deviceProcessName`	`target.resource.name`	Asignación directa.
`deviceZoneURI`	`target.url`	Asignación directa.
`dvc`	`target.ip`	Asignación directa.
`dvchost`	`target.hostname`	Asignación directa.
`event_name`	`metadata.product_event_type`, `metadata.event_type`	Se usa junto con `event_type` para rellenar `metadata.product_event_type`. También se usa para determinar el `metadata.event_type`: "Login" -> `USER_LOGIN`, "Logout" -> `USER_LOGOUT`, "access event" -> `USER_UNCATEGORIZED`. De lo contrario (si `agt` está presente), -> `STATUS_UPDATE`.
`event_type`	`metadata.product_event_type`	Se usa junto con `event_name` para rellenar `metadata.product_event_type`.
`msg`	`metadata.description`, `security_result.summary`	Se asigna directamente a ambos campos.
`product`	`metadata.vendor_name`	Asignación directa.
`request`	`extensions.auth.auth_details`, `extensions.auth.type`	Asignado directamente a `extensions.auth.auth_details`. `extensions.auth.type` tiene el valor "SSO".
`requestClientApplication`	`network.http.user_agent`	Asignación directa.
`shost`	`src.hostname`	Asignación directa.
`smb_host`	`intermediary.hostname`	Asignación directa.
`smb_uid`	`intermediary.user.userid`	Asignación directa.
`sourceServiceName`	`principal.platform_version`, `principal.platform`	Asignado directamente a `principal.platform_version`. `principal.platform` se deriva del valor de `sourceServiceName`: "Window" -> `WINDOWS`, "Linux" -> `LINUX`, "mac" o "iPhone" -> `MAC`.
`sourceZoneURI`	`src.url`	Asignación directa.
`spriv`	`src.user.department`	Asignación directa.
`sproc`	`src.resource.attribute.labels.key`, `src.resource.attribute.labels.value`	`sproc` se asigna a `key` y el valor de `sproc` se asigna a `value`.
`src`	`src.ip`	Asignación directa.
`suid`	`principal.user.userid`	Asignación directa.
`timestamp`	`metadata.event_timestamp`	Asignación directa.
`ts_event`	`metadata.collected_timestamp`	Se asigna directamente después de analizar y convertir a una marca de tiempo.
`value`	`metadata.product_name`	Se ha concatenado con "Forcepoint " para formar `metadata.product_name`. Se ha definido como "FORCEPOINT_CASB".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.