Recoger registros de Forcepoint DLP
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de Forcepoint Data Loss Prevention (DLP) mediante un reenviador de Google Security Operations.
Para obtener más información, consulta el artículo Información general sobre la ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión FORCEPOINT_DLP.
Configurar Forcepoint DLP
- Inicia sesión en la consola Forcepoint Security Manager.
- En la sección Acciones adicionales, marca la casilla Enviar mensaje syslog.
- En el módulo Seguridad de los datos, selecciona Configuración > General > Corrección.
- En la sección Ajustes de Syslog, especifique lo siguiente:
- En el campo Dirección IP o nombre de host, introduce la dirección IP o el nombre de host del reenviador de Google Security Operations.
- En el campo Puerto, introduce el número de puerto.
- Desmarque la casilla Usar la instalación syslog para estos mensajes.
- Para enviar un mensaje de prueba de verificación al servidor syslog, haga clic en Probar conexión.
- Para guardar los cambios, haz clic en Aceptar.
Configurar el reenviador de Google Security Operations para ingerir registros de DLP de Forcepoint
- Ve a Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, escribe un nombre.
- Seleccione Forcepoint DLP como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada obligatorios:
- Protocolo: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recolector y escucha los datos de syslog.
- Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations. Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador extrae pares de clave-valor de los registros con formato CEF de Forcepoint DLP, los normaliza y los asigna al UDM. Gestiona varios campos de CEF, como el remitente, el destinatario, las acciones y la gravedad, y enriquece el UDM con detalles como la información del usuario, los archivos afectados y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| actuar | security_result.description | Si actionPerformed está vacío, el valor de act se asigna a security_result.description. |
| actionID | metadata.product_log_id | El valor de actionID se asigna a metadata.product_log_id. |
| actionPerformed | security_result.description | El valor de actionPerformed se asigna a security_result.description. |
| administrador | principal.user.userid | El valor de administrator se asigna a principal.user.userid. |
| analyzedBy | additional.fields.key | La cadena "analyzedBy" se asigna a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | El valor de analyzedBy se asigna a additional.fields.value.string_value. |
| gato | security_result.category_details | Los valores de cat se combinan en el campo security_result.category_details como una lista. |
| destinationHosts | target.hostname | El valor de destinationHosts se asigna a target.hostname. |
| destinationHosts | target.asset.hostname | El valor de destinationHosts se asigna a target.asset.hostname. |
| detalles | security_result.description | Si tanto actionPerformed como act están vacíos, el valor de details se asigna a security_result.description. |
| duser | target.user.userid | El valor de duser se usa para rellenar target.user.userid. Los valores múltiples separados por "; " se dividen y se asignan como direcciones de correo individuales si coinciden con la expresión regular de correo. De lo contrario, se tratan como IDs de usuario. |
| eventId | metadata.product_log_id | Si actionID está vacío, el valor de eventId se asigna a metadata.product_log_id. |
| fname | target.file.full_path | El valor de fname se asigna a target.file.full_path. |
| logTime | metadata.event_timestamp | El valor de logTime se analiza y se usa para rellenar metadata.event_timestamp. |
| loginName | principal.user.user_display_name | El valor de loginName se asigna a principal.user.user_display_name. |
| msg | metadata.description | El valor de msg se asigna a metadata.description. |
| productVersion | additional.fields.key | La cadena "productVersion" se asigna a additional.fields.key. |
| productVersion | additional.fields.value.string_value | El valor de productVersion se asigna a additional.fields.value.string_value. |
| role | principal.user.attribute.roles.name | El valor de role se asigna a principal.user.attribute.roles.name. |
| severityType | security_result.severity | El valor de severityType se asigna a security_result.severity. "high" se asigna a "HIGH", "med" se asigna a "MEDIUM" y "low" se asigna a "LOW" (sin distinción entre mayúsculas y minúsculas). |
| sourceHost | principal.hostname | El valor de sourceHost se asigna a principal.hostname. |
| sourceHost | principal.asset.hostname | El valor de sourceHost se asigna a principal.asset.hostname. |
| sourceIp | principal.ip | El valor de sourceIp se añade al campo principal.ip. |
| sourceIp | principal.asset.ip | El valor de sourceIp se añade al campo principal.asset.ip. |
| sourceServiceName | principal.application | El valor de sourceServiceName se asigna a principal.application. |
| suser | principal.user.userid | Si administrator está vacío, el valor de suser se asigna a principal.user.userid. |
| timestamp | metadata.event_timestamp | El valor de timestamp se usa para rellenar metadata.event_timestamp. |
| tema | security_result.rule_name | El valor de topic se asigna a security_result.rule_name después de eliminar las comas. Codificado como "FORCEPOINT_DLP". Codificado como "Forcepoint". Extraído del mensaje CEF. Puede ser "Forcepoint DLP" o "Forcepoint DLP Audit". Extraído del mensaje CEF. Concatenación de device_event_class_id y event_name, con el formato "[device_event_class_id] - event_name". Se ha inicializado como "GENERIC_EVENT". Cambia a "USER_UNCATEGORIZED" si is_principal_user_present es "true". |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.