Forcepoint DLP-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Forcepoint Data Loss Prevention (DLP)-Logs mithilfe eines Google Security Operations-Forwarders erfassen können.
Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.
Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label FORCEPOINT_DLP.
Forcepoint DLP konfigurieren
- Melden Sie sich in der Forcepoint Security Manager-Konsole an.
- Wählen Sie im Abschnitt Zusätzliche Aktionen das Kästchen Syslog-Nachricht senden aus.
- Wählen Sie im Modul Datensicherheit die Option Einstellungen > Allgemein > Abhilfemaßnahmen aus.
- Geben Sie im Bereich Syslog-Einstellungen Folgendes an:
- Geben Sie im Feld IP-Adresse oder Hostname die IP-Adresse oder den Hostnamen des Google Security Operations-Forwarders ein.
- Geben Sie im Feld Port die Portnummer ein.
- Entfernen Sie das Häkchen aus dem Kästchen Syslog-Einrichtung für diese Nachrichten verwenden.
- Klicken Sie auf Verbindung testen, um dem Syslog-Server eine Testnachricht zur Bestätigung zu senden.
- Klicken Sie auf Ok, um die Änderungen zu speichern.
Google Security Operations-Forwarder zum Erfassen von Forcepoint DLP-Logs konfigurieren
- Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie Forcepoint DLP als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser extrahiert Schlüssel/Wert-Paare aus Forcepoint DLP-Logs im CEF-Format, normalisiert sie und ordnet sie dem UDM zu. Es verarbeitet verschiedene CEF-Felder, darunter Absender, Empfänger, Aktionen und Schweregrad, und reichert das UDM mit Details wie Nutzerinformationen, betroffenen Dateien und Sicherheitsergebnissen an.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| handeln | security_result.description | Wenn actionPerformed leer ist, wird der Wert von act security_result.description zugewiesen. |
| actionID | metadata.product_log_id | Der Wert von actionID wird metadata.product_log_id zugewiesen. |
| actionPerformed | security_result.description | Der Wert von actionPerformed wird security_result.description zugewiesen. |
| Administrator | principal.user.userid | Der Wert von administrator wird principal.user.userid zugewiesen. |
| analyzedBy | additional.fields.key | Der String „analyzedBy“ wird additional.fields.key zugewiesen. |
| analyzedBy | additional.fields.value.string_value | Der Wert von analyzedBy wird additional.fields.value.string_value zugewiesen. |
| Katze | security_result.category_details | Die Werte von cat werden als Liste in das Feld security_result.category_details zusammengeführt. |
| destinationHosts | target.hostname | Der Wert von destinationHosts wird target.hostname zugewiesen. |
| destinationHosts | target.asset.hostname | Der Wert von destinationHosts wird target.asset.hostname zugewiesen. |
| Details | security_result.description | Wenn sowohl actionPerformed als auch act leer sind, wird der Wert von details security_result.description zugewiesen. |
| duser | target.user.userid | Der Wert von duser wird verwendet, um target.user.userid zu füllen. Mehrere durch „; “ getrennte Werte werden aufgeteilt und als einzelne E-Mail-Adressen zugewiesen, wenn sie dem E-Mail-Regex entsprechen. Andernfalls werden sie als Nutzer-IDs behandelt. |
| eventId | metadata.product_log_id | Wenn actionID leer ist, wird der Wert von eventId metadata.product_log_id zugewiesen. |
| fname | target.file.full_path | Der Wert von fname wird target.file.full_path zugewiesen. |
| logTime | metadata.event_timestamp | Der Wert von logTime wird geparst und zum Ausfüllen von metadata.event_timestamp verwendet. |
| loginName | principal.user.user_display_name | Der Wert von loginName wird principal.user.user_display_name zugewiesen. |
| msg | metadata.description | Der Wert von msg wird metadata.description zugewiesen. |
| productVersion | additional.fields.key | Der String „productVersion“ wird additional.fields.key zugewiesen. |
| productVersion | additional.fields.value.string_value | Der Wert von productVersion wird additional.fields.value.string_value zugewiesen. |
| Rolle | principal.user.attribute.roles.name | Der Wert von role wird principal.user.attribute.roles.name zugewiesen. |
| severityType | security_result.severity | Der Wert von severityType wird security_result.severity zugeordnet. „high“ wird „HIGH“ zugeordnet, „med“ wird „MEDIUM“ zugeordnet und „low“ wird „LOW“ zugeordnet (Groß-/Kleinschreibung wird nicht berücksichtigt). |
| sourceHost | principal.hostname | Der Wert von sourceHost wird principal.hostname zugewiesen. |
| sourceHost | principal.asset.hostname | Der Wert von sourceHost wird principal.asset.hostname zugewiesen. |
| sourceIp | principal.ip | Der Wert von sourceIp wird dem Feld principal.ip hinzugefügt. |
| sourceIp | principal.asset.ip | Der Wert von sourceIp wird dem Feld principal.asset.ip hinzugefügt. |
| sourceServiceName | principal.application | Der Wert von sourceServiceName wird principal.application zugewiesen. |
| suser | principal.user.userid | Wenn administrator leer ist, wird der Wert von suser principal.user.userid zugewiesen. |
| timestamp | metadata.event_timestamp | Der Wert von timestamp wird verwendet, um metadata.event_timestamp zu füllen. |
| Thema | security_result.rule_name | Der Wert von topic wird security_result.rule_name zugewiesen, nachdem Kommas entfernt wurden. Fest codiert auf „FORCEPOINT_DLP“. Fest codiert auf „Forcepoint“. Aus der CEF-Nachricht extrahiert. Kann „Forcepoint DLP“ oder „Forcepoint DLP Audit“ sein. Aus der CEF-Nachricht extrahiert. Verkettung von device_event_class_id und event_name im Format „[device_event_class_id] – event_name“. Auf „GENERIC_EVENT“ initialisiert. Wird in „USER_UNCATEGORIZED“ geändert, wenn is_principal_user_present „true“ ist. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten