本頁面由 Cloud Translation API 翻譯而成。

收集 Forcepoint CASB 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Forcepoint CASB (Cloud Access Security Broker) 記錄擷取至 Google Security Operations。剖析器會從以 CEF 格式設定的 Forcepoint CASB 系統記錄訊息中擷取欄位。它會使用 Grok 剖析訊息、KV 分隔鍵/值組合，並使用條件式邏輯將擷取的欄位對應至統一資料模型 (UDM)，處理各種事件類型和平台詳細資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
Forcepoint CASB 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'FORCEPOINT_CASB'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

下載 Forcepoint SIEM 工具

登入 Forcepoint CASB 管理入口網站。
依序前往「設定」>「工具和代理程式」>「SIEM 工具」。
點選「下載」即可下載名為 SIEM-Tool-\[operating system\]-\[release date\].zip 的 ZIP 檔案 (例如 SIEM-Tool-Windows-2021-10-19.zip)。視下載版本而定，ZIP 檔案會包含下列其中一個檔案：
- SIEMClient.bat (如果您下載的是 Windows 工具)
- SIEMClient.sh (如果您下載的是 Linux 工具)

安裝 SIEM 工具

如要將 SIEM 工具安全連線至 Forcepoint CASB 服務，該工具必須使用可從 Forcepoint CASB 管理入口網站下載的信任儲存區檔案。步驟如下：

登入 Forcepoint CASB 管理入口網站。
依序前往「設定」>「工具和代理程式」>「SIEM 工具」。
按一下「下載信任儲存區」。
將下載的信任儲存區檔案儲存到 SIEM 工具安裝後可存取的位置。
在已安裝 Java 1.8 以上版本，且可存取機構 Forcepoint CASB 管理伺服器的主機上，解壓縮 SIEM 工具封存檔。
開啟命令提示字元，前往 SIEMClient 檔案所在位置，然後執行下列指令：
- Windows：SIEMClient.bat --set.credentials –-username <user> --password <password> --credentials.file <file>
- Linux：SIEMClient.sh --set.credentials –-username <user> --password <password> --credentials.file <file>
提供下列設定參數：
- <user> 和 <password>：Forcepoint CASB 管理員憑證。如果省略 --username 和 --password 引數，系統會提示您以互動方式提供這些引數。
- <file>：憑證儲存空間的路徑和檔案名稱。
從命令提示字元執行 SIEM 工具： <tool> --credentials.file <file> --host <host> --port <port#> --output.dir <dir> [ truststorePath=<trust> ] [ exportSyslog=true syslogHost=<bindplaneAgentIP> syslogFacility=<facility> ] [ cefVersion=<cef.version> ] [ cefCompliance=<cef.flag> ] [ --proxy.host <proxy.host> ] [ --proxy.port <proxy.port> ]
提供下列設定參數：
- <tool>：在 Windows 上：SIEMClient.bat，在 Linux 上：SIEMClient.sh。
- <file>：憑證儲存區的路徑和檔案名稱。
- <host> 和 <port#>：Forcepoint CASB 管理伺服器的連線詳細資料。通訊埠通常為 443。
- <dir>：SIEM 工具儲存產生的活動檔案的目錄。即使要推送至系統記錄，也必須提供這項資訊。
- <trust>：先前下載的信任儲存區檔案路徑和檔案名稱。
- <bindplaneAgentIP>：Bindplane 代理程式的 IP 位址。
- <facility>：輸入 local1。
- <cef.version>：將 CEF 版本設為 2。
  - 如果 cefVersion=1，工具會使用舊版 CEF 格式。
  - 如果 cefVersion=2，工具會使用真正的 CEF 格式。
  - 如果 cefVersion=3，工具會使用支援新活動資料欄 (目標、訊息和屬性) 的新版 CEF。
  - 如果指令中包含 cefVersion 參數，工具會忽略 cefCompliance 參數。
  - 如果指令中省略 cefVersion 參數，工具會使用 cef Compliance 參數。
- <cef.flag>：啟用 true CEF 格式。
  - 如果 cefCompliance=true，工具會使用真正的 CEF 格式。
  - 如果 cefCompliance=false，工具會使用舊版 CEF 格式。
  - 如果指令中省略這個參數，值會預設為 false，且工具會使用舊版 CEF 格式。
- <proxy.host> 和 <proxy.port>：如果透過 Proxy 伺服器連線至 Forcepoint CASB 管理伺服器，請提供 Proxy 伺服器的連線詳細資料。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`act`	`security_result.action`	如果 `act` 包含「ALLOW」(不區分大小寫)，請設為「ALLOW」。否則請設為「BLOCK」。
`agt`	`principal.ip`	直接對應。
`ahost`	`principal.hostname`	直接對應。
`aid`	`principal.resource.id`	直接對應。
`amac`	`principal.mac`	直接對應，方法是將「-」替換為「:」，並轉換為小寫。
`at`	`principal.resource.name`	直接對應。
`atz`	`principal.location.country_or_region`	直接對應。
`av`	`principal.resource.attribute.labels.key`、`principal.resource.attribute.labels.value`	`av` 對應至 `key`，而 `av` 的值對應至 `value`。
`cs1`	`principal.user.email_addresses`	直接對應。
`deviceProcessName`	`target.resource.name`	直接對應。
`deviceZoneURI`	`target.url`	直接對應。
`dvc`	`target.ip`	直接對應。
`dvchost`	`target.hostname`	直接對應。
`event_name`	`metadata.product_event_type`、`metadata.event_type`	與 `event_type` 搭配使用，可填入 `metadata.product_event_type`。也用於判斷 `metadata.event_type`：「登入」-> `USER_LOGIN`、「登出」-> `USER_LOGOUT`、「存取事件」-> `USER_UNCATEGORIZED`，否則 (如果 `agt` 存在) -> `STATUS_UPDATE`。
`event_type`	`metadata.product_event_type`	與 `event_name` 搭配使用，填入 `metadata.product_event_type`。
`msg`	`metadata.description`、`security_result.summary`	直接對應這兩個欄位。
`product`	`metadata.vendor_name`	直接對應。
`request`	`extensions.auth.auth_details`、`extensions.auth.type`	直接對應至 `extensions.auth.auth_details`。`extensions.auth.type` 設為「SSO」。
`requestClientApplication`	`network.http.user_agent`	直接對應。
`shost`	`src.hostname`	直接對應。
`smb_host`	`intermediary.hostname`	直接對應。
`smb_uid`	`intermediary.user.userid`	直接對應。
`sourceServiceName`	`principal.platform_version`、`principal.platform`	直接對應至 `principal.platform_version`。`principal.platform` 是根據 `sourceServiceName` 的值衍生而來：「Window」-> `WINDOWS`、「Linux」-> `LINUX`、「mac」或「iPhone」-> `MAC`。
`sourceZoneURI`	`src.url`	直接對應。
`spriv`	`src.user.department`	直接對應。
`sproc`	`src.resource.attribute.labels.key`、`src.resource.attribute.labels.value`	`sproc` 對應至 `key`，而 `sproc` 的值對應至 `value`。
`src`	`src.ip`	直接對應。
`suid`	`principal.user.userid`	直接對應。
`timestamp`	`metadata.event_timestamp`	直接對應。
`ts_event`	`metadata.collected_timestamp`	剖析並轉換為時間戳記後，直接對應。
`value`	`metadata.product_name`	與「Forcepoint」串連，形成 `metadata.product_name`。設為「FORCEPOINT_CASB」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。