Coletar registros do Forcepoint CASB

Este documento explica como ingerir registros do Forcepoint CASB (Cloud Access Security Broker) no Google Security Operations usando o Bindplane. O analisador extrai campos de mensagens de syslog do Forcepoint CASB formatadas com CEF. Ele usa o Grok para analisar a mensagem, o KV para separar pares de chave-valor e a lógica condicional para mapear os campos extraídos para o Modelo Unificado de Dados (UDM, na sigla em inglês), processando vários tipos de eventos e especificidades da plataforma.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Um host Windows 2016 ou mais recente ou Linux com systemd
• Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
• Acesso privilegiado ao Forcepoint CASB

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'FORCEPOINT_CASB'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID do cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

1. Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Baixar a ferramenta SIEM da Forcepoint

1. Faça login no portal de gerenciamento do Forcepoint CASB.
2. Acesse Configurações > Ferramentas e agentes > Ferramenta SIEM.
3. Clique em Fazer o download para baixar um arquivo ZIP chamado SIEM-Tool-\[operating system\]-\[release date\].zip (por exemplo, SIEM-Tool-Windows-2021-10-19.zip). O arquivo ZIP contém um dos seguintes arquivos, dependendo da versão baixada:
   • SIEMClient.bat (se você baixou a ferramenta do Windows)
   • SIEMClient.sh (se você baixou a ferramenta do Linux)

Instalar a ferramenta SIEM

Para uma conexão segura da ferramenta SIEM com o serviço Forcepoint CASB, a ferramenta exige o arquivo de armazenamento de confiança que pode ser baixado do portal de gerenciamento do Forcepoint CASB. Siga estas etapas:

1. Faça login no portal de gerenciamento do Forcepoint CASB.
2. Acesse Configurações > Ferramentas e agentes > Ferramenta SIEM.
3. Clique em Fazer o download da loja de confiança.
4. Salve o arquivo de armazenamento de confiança baixado em um local que a ferramenta SIEM possa acessar após a instalação.
5. Extraia o arquivo da ferramenta SIEM em um host com o Java v1.8 ou mais recente instalado e que possa acessar o servidor de gerenciamento do Forcepoint CASB da organização.
6. Abra um prompt de comando, acesse o local dos arquivos SIEMClient e execute o seguinte comando:
   • Windows: SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
   • Linux: SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
7. Informe os seguintes parâmetros de configuração:
   • <user> e <password>: credenciais de administrador do CASB da Forcepoint. Se você omitir os argumentos "--username" e "--password", será necessário fornecê-los de forma interativa.
   • <file>: caminho e nome do arquivo para o armazenamento de credenciais.
8. Execute a ferramenta SIEM no prompt de comando: <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
9. Informe os seguintes parâmetros de configuração:
   • <tool>: no Windows: SIEMClient.bat, no Linux: SIEMClient.sh.
   • <file>: caminho e nome do arquivo do armazenamento de credenciais.
   • <host> e <port#>: detalhes da conexão com o servidor de gerenciamento do Forcepoint CASB. A porta geralmente é 443.
   • <dir>: diretório em que a ferramenta SIEM salva os arquivos de atividade produzidos. Obrigatório mesmo se estiver enviando para o syslog.
   • <trust>: caminho e nome do arquivo de armazenamento confiável baixado anteriormente.
   • <bindplaneAgentIP>: endereço IP do agente do Bindplane.
   • <facility>: insira local1.
   • <cef.version>: defina a versão do CEF como 2.
     • Se cefVersion=1, a ferramenta usa o formato CEF legado.
     • Se cefVersion=2, a ferramenta usa o formato CEF verdadeiro.
     • Se cefVersion=3, a ferramenta usa uma versão mais recente do CEF que oferece suporte às novas colunas de atividades (Destino, Mensagem e Propriedades).
     • Se o parâmetro "cefVersion" for incluído no comando, a ferramenta vai ignorar o parâmetro "cefCompliance".
     • Se o parâmetro "cefVersion" for omitido do comando, a ferramenta usará o parâmetro "cefCompliance".
   • <cef.flag>: ative o formato CEF true.
     • Se cefCompliance=true, a ferramenta usa o formato CEF verdadeiro.
     • Se "cefCompliance=false", a ferramenta usará o formato legado do CEF.
     • Se o parâmetro for omitido do comando, o valor padrão será "false", e a ferramenta usará o formato CEF legado.
   • <proxy.host> e <proxy.port>: detalhes da conexão com o servidor proxy se você estiver se conectando ao servidor de gerenciamento do Forcepoint CASB por um servidor proxy.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.