收集 Forcepoint CASB 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Forcepoint CASB(云访问安全代理)日志注入到 Google Security Operations。解析器从采用 CEF 格式的 Forcepoint CASB syslog 消息中提取字段。它使用 Grok 解析消息,使用 KV 分隔键值对,并使用条件逻辑将提取的字段映射到统一数据模型 (UDM),从而处理各种事件类型和平台特定信息。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Forcepoint CASB 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 根据基础架构的需要替换端口和 IP 地址。
    • <customer_id> 替换为实际的客户 ID。
    • /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  1. 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  2. 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

下载 Forcepoint SIEM 工具

  1. 登录 Forcepoint CASB 管理门户。
  2. 依次前往设置 > 工具和代理 > SIEM 工具
  3. 点击下载以下载名为 SIEM-Tool-\[operating system\]-\[release date\].zip(例如 SIEM-Tool-Windows-2021-10-19.zip)的 zip 文件。该 zip 文件包含以下文件之一,具体取决于您下载的版本:
    • SIEMClient.bat(如果您下载了 Windows 工具)
    • SIEMClient.sh(如果您下载了 Linux 工具)

安装 SIEM 工具

为了将 SIEM 工具安全地连接到 Forcepoint CASB 服务,该工具需要可从 Forcepoint CASB 管理门户下载的信任库文件。请按照以下步骤操作:

  1. 登录 Forcepoint CASB 管理门户。
  2. 依次前往设置 > 工具和代理 > SIEM 工具
  3. 点击 Download Trust Store
  4. 将下载的信任库文件保存到 SIEM 工具安装后可以访问的位置。
  5. 在安装了 Java v1.8 或更高版本且可以访问组织 Forcepoint CASB 管理服务器的主机上,提取 SIEM 工具归档文件。
  6. 打开命令提示符,前往 SIEMClient 文件所在的位置,然后运行以下命令:
    • Windows:SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
    • Linux:SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
  7. 提供以下配置参数:
    • <user><password>:Forcepoint CASB 管理员凭据。(可选)如果您省略 --username 和 --password 实参,系统会提示您以交互方式提供这些实参。
    • <file>:凭据存储区的路径和文件名。
  8. 从命令提示符运行 SIEM 工具: <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
  9. 提供以下配置参数:
    • <tool>:在 Windows 上:SIEMClient.bat;在 Linux 上:SIEMClient.sh
    • <file>:凭据存储区的路径和文件名。
    • <host><port#>:与 Forcepoint CASB 管理服务器的连接详情。端口通常为 443。
    • <dir>:SIEM 工具保存生成的活动文件的目录。即使推送到 syslog,也必须提供此值。
    • <trust>:之前下载的信任库文件的路径和文件名。
    • <bindplaneAgentIP>:Bindplane 代理的 IP 地址。
    • <facility>:输入 local1
    • <cef.version>:将 CEF 版本设置为 2
      • 如果 cefVersion=1,该工具会使用旧版 CEF 格式。
      • 如果 cefVersion=2,该工具将使用真正的 CEF 格式。
      • 如果 cefVersion=3,该工具会使用支持新活动列(目标、消息和属性)的较新版 CEF。
      • 如果命令中包含 cefVersion 参数,该工具会忽略 cefCompliance 参数。
      • 如果命令中省略了 cefVersion 参数,该工具将使用 cefCompliance 参数。
    • <cef.flag>:启用 true CEF 格式。
      • 如果 cefCompliance=true,则该工具使用真正的 CEF 格式。
      • 如果 cefCompliance=false,则该工具使用旧版 CEF 格式。
      • 如果命令中省略了该参数,则该值默认为 false,并且该工具会使用旧版 CEF 格式。
    • <proxy.host><proxy.port>:如果通过代理服务器连接到 Forcepoint CASB 管理服务器,则为代理服务器的连接详细信息。

UDM 映射表

日志字段 UDM 映射 逻辑
act security_result.action 如果 act 包含“ALLOW”(不区分大小写),则设置为“ALLOW”。否则,请设置为“BLOCK”。
agt principal.ip 直接映射。
ahost principal.hostname 直接映射。
aid principal.resource.id 直接映射。
amac principal.mac 在将“-”替换为“:”并转换为小写后直接映射。
at principal.resource.name 直接映射。
atz principal.location.country_or_region 直接映射。
av principal.resource.attribute.labels.keyprincipal.resource.attribute.labels.value av 映射到 keyav 的值映射到 value
cs1 principal.user.email_addresses 直接映射。
deviceProcessName target.resource.name 直接映射。
deviceZoneURI target.url 直接映射。
dvc target.ip 直接映射。
dvchost target.hostname 直接映射。
event_name metadata.product_event_typemetadata.event_type event_type 结合使用,以填充 metadata.product_event_type。还用于确定 metadata.event_type:“登录”-> USER_LOGIN,“退出”-> USER_LOGOUT,“访问事件”-> USER_UNCATEGORIZED,否则(如果存在 agt)-> STATUS_UPDATE
event_type metadata.product_event_type event_name 结合使用,以填充 metadata.product_event_type
msg metadata.descriptionsecurity_result.summary 直接映射到这两个字段。
product metadata.vendor_name 直接映射。
request extensions.auth.auth_detailsextensions.auth.type 直接映射到 extensions.auth.auth_detailsextensions.auth.type 设置为“SSO”。
requestClientApplication network.http.user_agent 直接映射。
shost src.hostname 直接映射。
smb_host intermediary.hostname 直接映射。
smb_uid intermediary.user.userid 直接映射。
sourceServiceName principal.platform_versionprincipal.platform 直接映射到 principal.platform_versionprincipal.platform 是根据 sourceServiceName 的值派生的:“Window”-> WINDOWS,“Linux”-> LINUX,“mac”或“iPhone”-> MAC
sourceZoneURI src.url 直接映射。
spriv src.user.department 直接映射。
sproc src.resource.attribute.labels.keysrc.resource.attribute.labels.value sproc 映射到 keysproc 的值映射到 value
src src.ip 直接映射。
suid principal.user.userid 直接映射。
timestamp metadata.event_timestamp 直接映射。
ts_event metadata.collected_timestamp 在解析并转换为时间戳后直接映射。
value metadata.product_name 与“Forcepoint”连接以形成 metadata.product_name。设置为“FORCEPOINT_CASB”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。