Recopila registros de DLP de Forcepoint
Se admite en los siguientes países:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de prevención de pérdida de datos (DLP) de Forcepoint con un reenviador de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia FORCEPOINT_DLP.
Configura la DLP de Forcepoint
- Accede a la consola de Forcepoint Security Manager.
- En la sección Acciones adicionales, selecciona la casilla de verificación Enviar mensaje de syslog.
- En el módulo Seguridad de los datos, selecciona Configuración > General > Mecanismo de solución.
- En la sección Configuración de Syslog, especifica lo siguiente:
- En el campo IP address or hostname, ingresa la dirección IP o el nombre de host del reenviador de Operaciones de seguridad de Google.
- En el campo Puerto, ingresa el número de puerto.
- Desmarca la casilla de verificación Use syslog facility for these messages.
- Para enviar un mensaje de prueba de verificación al servidor de syslog, haz clic en Probar conexión.
- Para guardar los cambios, haz clic en Aceptar.
Configura el reenviador de Google Security Operations para transferir registros de DLP de Forcepoint
- Ve a Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona DLP de Forcepoint como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations. Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae pares clave-valor de los registros en formato CEF de la DLP de Forcepoint, los normaliza y los asigna a la UDM. Controla varios campos de CEF, como el remitente, el destinatario, las acciones y la gravedad, y enriquece la UDM con detalles como la información del usuario, los archivos afectados y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| actuar | security_result.description | Si actionPerformed está vacío, el valor de act se asigna a security_result.description. |
| actionID | metadata.product_log_id | El valor de actionID se asigna a metadata.product_log_id. |
| actionPerformed | security_result.description | El valor de actionPerformed se asigna a security_result.description. |
| administrador | principal.user.userid | El valor de administrator se asigna a principal.user.userid. |
| analyzedBy | additional.fields.key | La cadena "analyzedBy" se asigna a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | El valor de analyzedBy se asigna a additional.fields.value.string_value. |
| gato | security_result.category_details | Los valores de cat se combinan en el campo security_result.category_details como una lista. |
| destinationHosts | target.hostname | El valor de destinationHosts se asigna a target.hostname. |
| destinationHosts | target.asset.hostname | El valor de destinationHosts se asigna a target.asset.hostname. |
| detalles | security_result.description | Si actionPerformed y act están vacíos, el valor de details se asigna a security_result.description. |
| ducha | target.user.userid | El valor de duser se usa para propagar target.user.userid. Los valores múltiples separados por "; " se dividen y se asignan como direcciones de correo electrónico individuales si coinciden con la regex de correo electrónico; de lo contrario, se tratan como IDs de usuario. |
| eventId | metadata.product_log_id | Si actionID está vacío, el valor de eventId se asigna a metadata.product_log_id. |
| fname | target.file.full_path | El valor de fname se asigna a target.file.full_path. |
| logTime | metadata.event_timestamp | El valor de logTime se analiza y se usa para propagar metadata.event_timestamp. |
| loginName | principal.user.user_display_name | El valor de loginName se asigna a principal.user.user_display_name. |
| msg | metadata.description | El valor de msg se asigna a metadata.description. |
| productVersion | additional.fields.key | La cadena "productVersion" se asigna a additional.fields.key. |
| productVersion | additional.fields.value.string_value | El valor de productVersion se asigna a additional.fields.value.string_value. |
| rol | principal.user.attribute.roles.name | El valor de role se asigna a principal.user.attribute.roles.name. |
| severityType | security_result.severity | El valor de severityType se asigna a security_result.severity. “high” se asigna a “HIGH”, “med” se asigna a “MEDIUM” y “low” se asigna a “LOW” (sin distinción entre mayúsculas y minúsculas). |
| sourceHost | principal.hostname | El valor de sourceHost se asigna a principal.hostname. |
| sourceHost | principal.asset.hostname | El valor de sourceHost se asigna a principal.asset.hostname. |
| sourceIp | principal.ip | El valor de sourceIp se agrega al campo principal.ip. |
| sourceIp | principal.asset.ip | El valor de sourceIp se agrega al campo principal.asset.ip. |
| sourceServiceName | principal.application | El valor de sourceServiceName se asigna a principal.application. |
| suser | principal.user.userid | Si administrator está vacío, el valor de suser se asigna a principal.user.userid. |
| timestamp | metadata.event_timestamp | El valor de timestamp se usa para propagar metadata.event_timestamp. |
| tema | security_result.rule_name | El valor de topic se asigna a security_result.rule_name después de quitar las comas. Está codificado de forma fija en "FORCEPOINT_DLP". Está codificado de forma fija en “Forcepoint”. Se extrae del mensaje CEF. Puede ser “Forcepoint DLP” o “Forcepoint DLP Audit”. Se extrae del mensaje CEF. Es la concatenación de device_event_class_id y event_name, con el formato "[device_event_class_id] - event_name". Se inicializa en "GENERIC_EVENT". Se cambió a "USER_UNCATEGORIZED" si is_principal_user_present es "verdadero". |
Cambios
2024-05-20
- Se asignó "fname" a "target.file.full_path".
- Se asignó "destinationHosts" a "target.hostname" y "target.asset.hostname".
- Se asignaron "productVersion" y "analyzedBy" a "additional.fields".
2024-03-25
- Corrección de errores:
- Se agregó compatibilidad con nuevos registros de formato.
- Se asignó "timeStamp" a "metadata.event_timestamp".
- Se asignó "act" a "security_result.description".
- Se asignó "cat" a "security_result.category_details".
- Se asignó "severityType" a "security_result.severity".
- Se asignó "msg" a "metadata.description".
- Se asignó "eventId" a "metadata.product_log_id".
- Se asignó "sourceServiceName" a "principal.application".
- Se asignó "sourceHost" a "principal.hostname" y "principal.asset.hostname".
- Se asignó "sourceIp" a "principal.ip" y "principal.asset.ip".
- Se asignó "suser" a "principal.user.userid".
- Se asignó "loginName" a "principal.user.user_display_name".
2022-11-07
- Analizador creado recientemente.