Recopila registros de DLP de Forcepoint
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de Forcepoint Data Loss Prevention (DLP) con un reenvío de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia FORCEPOINT_DLP.
Configura Forcepoint DLP
- Accede a la consola de Forcepoint Security Manager.
- En la sección Acciones adicionales, selecciona la casilla de verificación Enviar mensaje de syslog.
- En el módulo Seguridad de los datos, selecciona Configuración > General > Corrección.
- En la sección Configuración de Syslog, especifica lo siguiente:
- En el campo Dirección IP o nombre de host, ingresa la dirección IP o el nombre de host del reenviador de Google Security Operations.
- En el campo Puerto, ingresa el número de puerto.
- Desmarca la casilla de verificación Usar la instalación de syslog para estos mensajes.
- Para enviar un mensaje de prueba de verificación al servidor syslog, haz clic en Probar conexión.
- Para guardar los cambios, haz clic en Aceptar.
Configura el reenvío de Google Security Operations para transferir registros de DLP de Forcepoint
- Ve a Configuración del SIEM > Reenviadores.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Forcepoint DLP como el Tipo de registro.
- Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de Syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations. Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae pares clave-valor de los registros con formato CEF de Forcepoint DLP, los normaliza y los asigna al UDM. Maneja varios campos de CEF, incluidos el remitente, el destinatario, las acciones y la gravedad, y enriquece el UDM con detalles como la información del usuario, los archivos afectados y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| actúa | security_result.description | Si actionPerformed está vacío, el valor de act se asigna a security_result.description. |
| actionID | metadata.product_log_id | El valor de actionID se asigna a metadata.product_log_id. |
| actionPerformed | security_result.description | El valor de actionPerformed se asigna a security_result.description. |
| administrador | principal.user.userid | El valor de administrator se asigna a principal.user.userid. |
| analyzedBy | additional.fields.key | La cadena "analyzedBy" se asigna a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | El valor de analyzedBy se asigna a additional.fields.value.string_value. |
| gato | security_result.category_details | Los valores de cat se combinan en el campo security_result.category_details como una lista. |
| destinationHosts | target.hostname | El valor de destinationHosts se asigna a target.hostname. |
| destinationHosts | target.asset.hostname | El valor de destinationHosts se asigna a target.asset.hostname. |
| detalles | security_result.description | Si actionPerformed y act están vacíos, el valor de details se asigna a security_result.description. |
| duser | target.user.userid | El valor de duser se usa para propagar target.user.userid. Los valores múltiples separados por "; " se dividen y se asignan como direcciones de correo electrónico individuales si coinciden con la expresión regular de correo electrónico. De lo contrario, se tratan como IDs de usuario. |
| eventId | metadata.product_log_id | Si actionID está vacío, el valor de eventId se asigna a metadata.product_log_id. |
| fname | target.file.full_path | El valor de fname se asigna a target.file.full_path. |
| logTime | metadata.event_timestamp | El valor de logTime se analiza y se usa para completar metadata.event_timestamp. |
| loginName | principal.user.user_display_name | El valor de loginName se asigna a principal.user.user_display_name. |
| msg | metadata.description | El valor de msg se asigna a metadata.description. |
| productVersion | additional.fields.key | La cadena "productVersion" se asigna a additional.fields.key. |
| productVersion | additional.fields.value.string_value | El valor de productVersion se asigna a additional.fields.value.string_value. |
| rol | principal.user.attribute.roles.name | El valor de role se asigna a principal.user.attribute.roles.name. |
| severityType | security_result.severity | El valor de severityType se asigna a security_result.severity. "high" se asigna a "HIGH", "med" se asigna a "MEDIUM" y "low" se asigna a "LOW" (sin distinción entre mayúsculas y minúsculas). |
| sourceHost | principal.hostname | El valor de sourceHost se asigna a principal.hostname. |
| sourceHost | principal.asset.hostname | El valor de sourceHost se asigna a principal.asset.hostname. |
| sourceIp | principal.ip | El valor de sourceIp se agrega al campo principal.ip. |
| sourceIp | principal.asset.ip | El valor de sourceIp se agrega al campo principal.asset.ip. |
| sourceServiceName | principal.application | El valor de sourceServiceName se asigna a principal.application. |
| suser | principal.user.userid | Si administrator está vacío, el valor de suser se asigna a principal.user.userid. |
| timestamp | metadata.event_timestamp | El valor de timestamp se usa para propagar metadata.event_timestamp. |
| tema | security_result.rule_name | El valor de topic se asigna a security_result.rule_name después de quitar las comas. Se codifica como "FORCEPOINT_DLP". Se codificó como "Forcepoint". Se extrae del mensaje de CEF. Puede ser "Forcepoint DLP" o "Forcepoint DLP Audit". Se extrae del mensaje de CEF. Es la concatenación de device_event_class_id y event_name, con el formato "[device_event_class_id] - event_name". Se inicializa como "GENERIC_EVENT". Se cambia a "USER_UNCATEGORIZED" si is_principal_user_present es "true". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.