Forcepoint CASB 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Forcepoint CASB (클라우드 액세스 보안 브로커) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 CEF로 형식이 지정된 Forcepoint CASB syslog 메시지에서 필드를 추출합니다. Grok을 사용하여 메시지를 파싱하고, KV를 사용하여 키-값 쌍을 분리하고, 조건부 로직을 사용하여 추출된 필드를 통합 데이터 모델 (UDM)에 매핑하여 다양한 이벤트 유형과 플랫폼 관련 사항을 처리합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
  • Forcepoint CASB에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
    • <customer_id>를 실제 고객 ID로 바꿉니다.
    • Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  1. Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  2. Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Forcepoint SIEM 도구 다운로드

  1. Forcepoint CASB 관리 포털에 로그인합니다.
  2. 설정 > 도구 및 에이전트 > SIEM 도구로 이동합니다.
  3. 다운로드를 클릭하여 SIEM-Tool-\[operating system\]-\[release date\].zip (예: SIEM-Tool-Windows-2021-10-19.zip)라는 zip 파일을 다운로드합니다. zip 파일에는 다운로드하는 버전에 따라 다음 파일 중 하나가 포함됩니다.
    • SIEMClient.bat (Windows 도구를 다운로드한 경우)
    • SIEMClient.sh (Linux 도구를 다운로드한 경우)

SIEM 도구 설치

SIEM 도구를 Forcepoint CASB 서비스에 안전하게 연결하려면 Forcepoint CASB 관리 포털에서 다운로드할 수 있는 신뢰 저장소 파일이 필요합니다. 다음 단계를 따르세요.

  1. Forcepoint CASB 관리 포털에 로그인합니다.
  2. 설정 > 도구 및 에이전트 > SIEM 도구로 이동합니다.
  3. 신뢰 저장소 다운로드를 클릭합니다.
  4. 다운로드한 신뢰 저장소 파일을 SIEM 도구가 설치된 후 액세스할 수 있는 위치에 저장합니다.
  5. Java v1.8 이상이 설치되어 있고 조직의 Forcepoint CASB 관리 서버에 액세스할 수 있는 호스트에서 SIEM 도구 보관 파일을 추출합니다.
  6. 명령 프롬프트를 열고 SIEMClient 파일의 위치로 이동한 후 다음 명령어를 실행합니다.
    • Windows: SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
    • Linux: SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
  7. 다음 구성 매개변수를 제공합니다.
    • <user><password>: Forcepoint CASB 관리자 사용자 인증 정보입니다. 선택적으로 --username 및 --password 인수를 생략하면 대화형으로 제공하라는 메시지가 표시됩니다.
    • <file>: 사용자 인증 정보 저장소의 경로와 파일 이름입니다.
  8. 명령 프롬프트에서 SIEM 도구를 실행합니다. <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
  9. 다음 구성 매개변수를 제공합니다.
    • <tool>: Windows: SIEMClient.bat, Linux: SIEMClient.sh
    • <file>: 사용자 인증 정보 저장소의 경로와 파일 이름입니다.
    • <host><port#>: Forcepoint CASB 관리 서버에 대한 연결 세부정보입니다. 포트는 일반적으로 443입니다.
    • <dir>: SIEM 도구가 생성된 활동 파일을 저장하는 디렉터리입니다. syslog로 푸시하는 경우에도 필요합니다.
    • <trust>: 이전에 다운로드한 트러스트 저장소 파일의 경로와 파일 이름입니다.
    • <bindplaneAgentIP>: Bindplane 에이전트의 IP 주소입니다.
    • <facility>: local1을 입력합니다.
    • <cef.version>: CEF 버전을 2로 설정합니다.
      • cefVersion=1인 경우 도구는 기존 CEF 형식을 사용합니다.
      • cefVersion=2인 경우 도구는 실제 CEF 형식을 사용합니다.
      • cefVersion=3인 경우 도구는 새로운 활동 열 (타겟, 메시지, 속성)을 지원하는 최신 버전의 CEF를 사용합니다.
      • cefVersion 매개변수가 명령어에 포함되면 도구에서 cefCompliance 매개변수를 무시합니다.
      • 명령어에서 cefVersion 매개변수를 생략하면 도구에서 cef 규정 준수 매개변수를 사용합니다.
    • <cef.flag>: true CEF 형식을 사용 설정합니다.
      • cefCompliance=true인 경우 도구는 실제 CEF 형식을 사용합니다.
      • cefCompliance=false인 경우 도구는 기존 CEF 형식을 사용합니다.
      • 명령어에서 매개변수를 생략하면 값이 기본적으로 false로 설정되고 도구에서 기존 CEF 형식을 사용합니다.
    • <proxy.host><proxy.port>: 프록시 서버를 통해 Forcepoint CASB 관리 서버에 연결하는 경우 프록시 서버에 대한 연결 세부정보입니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
act security_result.action act에 'ALLOW' (대소문자 구분 안 함)가 포함된 경우 'ALLOW'로 설정합니다. 그 외의 경우에는 'BLOCK'으로 설정합니다.
agt principal.ip 직접 매핑됩니다.
ahost principal.hostname 직접 매핑됩니다.
aid principal.resource.id 직접 매핑됩니다.
amac principal.mac '-'를 ':'로 대체하고 소문자로 변환한 후 직접 매핑됩니다.
at principal.resource.name 직접 매핑됩니다.
atz principal.location.country_or_region 직접 매핑됩니다.
av principal.resource.attribute.labels.key, principal.resource.attribute.labels.value avkey에 매핑되고 av 값은 value에 매핑됩니다.
cs1 principal.user.email_addresses 직접 매핑됩니다.
deviceProcessName target.resource.name 직접 매핑됩니다.
deviceZoneURI target.url 직접 매핑됩니다.
dvc target.ip 직접 매핑됩니다.
dvchost target.hostname 직접 매핑됩니다.
event_name metadata.product_event_type, metadata.event_type event_type와 함께 사용하여 metadata.product_event_type를 채웁니다. metadata.event_type를 결정하는 데도 사용됩니다. '로그인' -> USER_LOGIN, '로그아웃' -> USER_LOGOUT, '액세스 이벤트' -> USER_UNCATEGORIZED, 그 외의 경우 (agt가 있는 경우) -> STATUS_UPDATE
event_type metadata.product_event_type event_name와 함께 사용하여 metadata.product_event_type를 채웁니다.
msg metadata.description, security_result.summary 두 필드에 모두 직접 매핑됩니다.
product metadata.vendor_name 직접 매핑됩니다.
request extensions.auth.auth_details, extensions.auth.type extensions.auth.auth_details에 직접 매핑됩니다. extensions.auth.type이(가) 'SSO'로 설정됩니다.
requestClientApplication network.http.user_agent 직접 매핑됩니다.
shost src.hostname 직접 매핑됩니다.
smb_host intermediary.hostname 직접 매핑됩니다.
smb_uid intermediary.user.userid 직접 매핑됩니다.
sourceServiceName principal.platform_version, principal.platform principal.platform_version에 직접 매핑됩니다. principal.platformsourceServiceName 값에 따라 파생됩니다. 'Window' -> WINDOWS, 'Linux' -> LINUX, 'mac' 또는 'iPhone' -> MAC
sourceZoneURI src.url 직접 매핑됩니다.
spriv src.user.department 직접 매핑됩니다.
sproc src.resource.attribute.labels.key, src.resource.attribute.labels.value sprockey에 매핑되고 sproc 값은 value에 매핑됩니다.
src src.ip 직접 매핑됩니다.
suid principal.user.userid 직접 매핑됩니다.
timestamp metadata.event_timestamp 직접 매핑됩니다.
ts_event metadata.collected_timestamp 파싱 후 타임스탬프로 변환되어 직접 매핑됩니다.
value metadata.product_name 'Forcepoint'와 연결되어 metadata.product_name를 형성합니다. 'FORCEPOINT_CASB'로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.