Esta página foi traduzida pela API Cloud Translation.

Recolha registos do CASB da Forcepoint

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Forcepoint CASB (agente de segurança de acesso à nuvem) para o Google Security Operations através do Bindplane. O analisador extrai campos de mensagens syslog do Forcepoint CASB formatadas com CEF. Usa o Grok para analisar a mensagem, o KV para separar pares de chave/valor e a lógica condicional para mapear campos extraídos para o modelo de dados unificado (UDM), processando vários tipos de eventos e especificidades da plataforma.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao Forcepoint CASB

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Transfira a ferramenta Forcepoint SIEM

Inicie sessão no portal de gestão do Forcepoint CASB.
Aceda a Definições > Ferramentas e agentes > Ferramenta SIEM.
Clique em Transferir para transferir um ficheiro ZIP com o nome SIEM-Tool-\[operating system\]-\[release date\].zip (por exemplo, SIEM-Tool-Windows-2021-10-19.zip). O ficheiro ZIP contém um dos seguintes ficheiros, consoante a versão que transferir:
- SIEMClient.bat (se transferiu a ferramenta do Windows)
- SIEMClient.sh (se transferiu a ferramenta Linux)

Instale a ferramenta SIEM

Para uma ligação segura da ferramenta SIEM ao serviço CASB da Forcepoint, a ferramenta requer o ficheiro de repositório de confiança que pode ser transferido a partir do portal de gestão do CASB da Forcepoint. Siga estes passos:

Inicie sessão no portal de gestão do Forcepoint CASB.
Aceda a Definições > Ferramentas e agentes > Ferramenta SIEM.
Clique em Transferir loja de confiança.
Guarde o ficheiro de repositório de confiança transferido numa localização à qual a ferramenta SIEM possa aceder após a instalação.
Extraia o arquivo da ferramenta SIEM num anfitrião que tenha o Java v1.8 ou superior instalado e possa aceder ao servidor de gestão do Forcepoint CASB organizacional.
Abra uma linha de comandos, aceda à localização dos ficheiros SIEMClient e execute o seguinte comando:
- Windows: SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
- Linux: SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
Forneça os seguintes parâmetros de configuração:
- <user> e <password>: credenciais de administrador do CASB da Forcepoint. Opcionalmente, se omitir os argumentos --username e --password, é-lhe pedido que os forneça de forma interativa.
- <file>: caminho e nome do ficheiro para o armazenamento de credenciais.
Execute a ferramenta SIEM a partir da linha de comandos: <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
Forneça os seguintes parâmetros de configuração:
- <tool>: no Windows: SIEMClient.bat, no Linux: SIEMClient.sh.
- <file>: caminho e nome do ficheiro do armazenamento de credenciais.
- <host> e <port#>: detalhes da ligação ao servidor de gestão do CASB da Forcepoint. Normalmente, a porta é 443.
- <dir>: diretório onde a ferramenta SIEM guarda os ficheiros de atividade produzidos. Obrigatório mesmo que esteja a enviar para o syslog.
- <trust>: caminho e nome do ficheiro do repositório de confiança transferido anteriormente.
- <bindplaneAgentIP>: endereço IP do agente Bindplane.
- <facility>: introduza local1.
- <cef.version>: defina a versão do CEF como 2.
  - Se cefVersion=1, a ferramenta usa o formato CEF antigo.
  - Se cefVersion=2, a ferramenta usa o formato CEF verdadeiro.
  - Se cefVersion=3, a ferramenta usa uma versão mais recente do CEF que suporta as novas colunas de atividades (alvo, mensagem e propriedades).
  - Se o parâmetro cefVersion estiver incluído no comando, a ferramenta ignora o parâmetro cefCompliance.
  - Se o parâmetro cefVersion for omitido do comando, a ferramenta usa o parâmetro cef Compliance.
- <cef.flag>: ative o formato CEF true.
  - Se cefCompliance=true, a ferramenta usa o formato CEF verdadeiro.
  - Se cefCompliance=false, a ferramenta usa o formato CEF antigo.
  - Se o parâmetro for omitido do comando, o valor é predefinido como falso e a ferramenta usa o formato CEF antigo.
- <proxy.host> e <proxy.port>: detalhes da ligação ao servidor proxy se estiver a estabelecer ligação ao servidor de gestão do CASB da Forcepoint através de um servidor proxy.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`act`	`security_result.action`	Se `act` contiver "ALLOW" (não é sensível a maiúsculas e minúsculas), defina como "ALLOW". Caso contrário, é definido como "BLOCK".
`agt`	`principal.ip`	Mapeado diretamente.
`ahost`	`principal.hostname`	Mapeado diretamente.
`aid`	`principal.resource.id`	Mapeado diretamente.
`amac`	`principal.mac`	Mapeado diretamente após substituir "-" por ":" e converter para letras minúsculas.
`at`	`principal.resource.name`	Mapeado diretamente.
`atz`	`principal.location.country_or_region`	Mapeado diretamente.
`av`	`principal.resource.attribute.labels.key`, `principal.resource.attribute.labels.value`	`av` está mapeado para `key` e o valor de `av` está mapeado para `value`.
`cs1`	`principal.user.email_addresses`	Mapeado diretamente.
`deviceProcessName`	`target.resource.name`	Mapeado diretamente.
`deviceZoneURI`	`target.url`	Mapeado diretamente.
`dvc`	`target.ip`	Mapeado diretamente.
`dvchost`	`target.hostname`	Mapeado diretamente.
`event_name`	`metadata.product_event_type`, `metadata.event_type`	Usado em conjunto com `event_type` para preencher `metadata.product_event_type`. Também usado para determinar o `metadata.event_type`: "Login" -> `USER_LOGIN`, "Logout" -> `USER_LOGOUT`, "access event" -> `USER_UNCATEGORIZED`, caso contrário (se `agt` estiver presente) -> `STATUS_UPDATE`.
`event_type`	`metadata.product_event_type`	Usado em conjunto com `event_name` para preencher `metadata.product_event_type`.
`msg`	`metadata.description`, `security_result.summary`	Mapeado diretamente para ambos os campos.
`product`	`metadata.vendor_name`	Mapeado diretamente.
`request`	`extensions.auth.auth_details`, `extensions.auth.type`	Mapeado diretamente para `extensions.auth.auth_details`. `extensions.auth.type` está definido como "SSO".
`requestClientApplication`	`network.http.user_agent`	Mapeado diretamente.
`shost`	`src.hostname`	Mapeado diretamente.
`smb_host`	`intermediary.hostname`	Mapeado diretamente.
`smb_uid`	`intermediary.user.userid`	Mapeado diretamente.
`sourceServiceName`	`principal.platform_version`, `principal.platform`	Mapeado diretamente para `principal.platform_version`. `principal.platform` é derivado com base no valor de `sourceServiceName`: "Window" -> `WINDOWS`, "Linux" -> `LINUX`, "mac" ou "iPhone" -> `MAC`.
`sourceZoneURI`	`src.url`	Mapeado diretamente.
`spriv`	`src.user.department`	Mapeado diretamente.
`sproc`	`src.resource.attribute.labels.key`, `src.resource.attribute.labels.value`	`sproc` está mapeado para `key` e o valor de `sproc` está mapeado para `value`.
`src`	`src.ip`	Mapeado diretamente.
`suid`	`principal.user.userid`	Mapeado diretamente.
`timestamp`	`metadata.event_timestamp`	Mapeado diretamente.
`ts_event`	`metadata.collected_timestamp`	Mapeado diretamente após a análise e a conversão num registo de data/hora.
`value`	`metadata.product_name`	Concatenado com "Forcepoint " para formar o `metadata.product_name`. Definido como "FORCEPOINT_CASB".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.