Collecter les journaux Forcepoint DLP
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Forcepoint Data Loss Prevention (DLP) à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez la présentation de l'ingestion de données dans Google Security Operations.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion FORCEPOINT_DLP.
Configurer Forcepoint DLP
- Connectez-vous à la console Forcepoint Security Manager.
- Dans la section Actions supplémentaires, cochez la case Envoyer un message syslog.
- Dans le module Sécurité des données, sélectionnez Paramètres > Général > Correction.
- Dans la section Paramètres Syslog, spécifiez les éléments suivants :
- Dans le champ Adresse IP ou nom d'hôte, saisissez l'adresse IP ou le nom d'hôte du redirecteur Google Security Operations.
- Dans le champ Port, saisissez le numéro de port.
- Décochez la case Utiliser le service syslog pour ces messages.
- Pour envoyer un message de test de validation au serveur syslog, cliquez sur Tester la connexion.
- Pour enregistrer vos modifications, cliquez sur OK.
Configurer le redirecteur Google Security Operations pour ingérer les journaux Forcepoint DLP
- Accédez à Paramètres SIEM > Transférateurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
- Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez Forcepoint DLP comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion que le collecteur utilise pour écouter les données syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les répartiteurs Google Security Operations, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations. Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Cet analyseur extrait les paires clé/valeur des journaux au format CEF Forcepoint DLP, les normalise et les mappe à l'UDM. Il gère différents champs CEF, y compris l'expéditeur, le destinataire, les actions et la gravité, en enrichissant l'UDM avec des détails tels que les informations sur l'utilisateur, les fichiers concernés et les résultats de sécurité.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| agir | security_result.description | Si actionPerformed est vide, la valeur de act est attribuée à security_result.description. |
| actionID | metadata.product_log_id | La valeur de actionID est attribuée à metadata.product_log_id. |
| actionPerformed | security_result.description | La valeur de actionPerformed est attribuée à security_result.description. |
| administrateur | principal.user.userid | La valeur de administrator est attribuée à principal.user.userid. |
| analyzedBy | additional.fields.key | La chaîne "analyzedBy" est attribuée à additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | La valeur de analyzedBy est attribuée à additional.fields.value.string_value. |
| cat | security_result.category_details | Les valeurs de cat sont fusionnées dans le champ security_result.category_details sous forme de liste. |
| destinationHosts | target.hostname | La valeur de destinationHosts est attribuée à target.hostname. |
| destinationHosts | target.asset.hostname | La valeur de destinationHosts est attribuée à target.asset.hostname. |
| détails | security_result.description | Si actionPerformed et act sont vides, la valeur de details est attribuée à security_result.description. |
| duser | target.user.userid | La valeur de duser est utilisée pour renseigner target.user.userid. Les valeurs multiples séparées par "; " sont divisées et attribuées en tant qu'adresses e-mail individuelles si elles correspondent à l'expression régulière des adresses e-mail. Sinon, elles sont traitées comme des ID utilisateur. |
| eventId | metadata.product_log_id | Si actionID est vide, la valeur de eventId est attribuée à metadata.product_log_id. |
| fname | target.file.full_path | La valeur de fname est attribuée à target.file.full_path. |
| logTime | metadata.event_timestamp | La valeur de logTime est analysée et utilisée pour remplir metadata.event_timestamp. |
| loginName | principal.user.user_display_name | La valeur de loginName est attribuée à principal.user.user_display_name. |
| Message | metadata.description | La valeur de msg est attribuée à metadata.description. |
| productVersion | additional.fields.key | La chaîne "productVersion" est attribuée à additional.fields.key. |
| productVersion | additional.fields.value.string_value | La valeur de productVersion est attribuée à additional.fields.value.string_value. |
| rôle | principal.user.attribute.roles.name | La valeur de role est attribuée à principal.user.attribute.roles.name. |
| severityType | security_result.severity | La valeur de severityType est mappée sur security_result.severity. "high" correspond à "HIGH", "med" correspond à "MEDIUM" et "low" correspond à "LOW" (sans tenir compte de la casse). |
| sourceHost | principal.hostname | La valeur de sourceHost est attribuée à principal.hostname. |
| sourceHost | principal.asset.hostname | La valeur de sourceHost est attribuée à principal.asset.hostname. |
| sourceIp | principal.ip | La valeur de sourceIp est ajoutée au champ principal.ip. |
| sourceIp | principal.asset.ip | La valeur de sourceIp est ajoutée au champ principal.asset.ip. |
| sourceServiceName | principal.application | La valeur de sourceServiceName est attribuée à principal.application. |
| suser | principal.user.userid | Si administrator est vide, la valeur de suser est attribuée à principal.user.userid. |
| timestamp | metadata.event_timestamp | La valeur de timestamp est utilisée pour renseigner metadata.event_timestamp. |
| sujet | security_result.rule_name | La valeur de topic est attribuée à security_result.rule_name après la suppression des virgules. Codé en dur sur "FORCEPOINT_DLP". Codé en dur sur "Forcepoint". Extrait du message CEF. Valeurs possibles : "Forcepoint DLP" ou "Forcepoint DLP Audit". Extrait du message CEF. Concaténation de device_event_class_id et event_name, au format "[device_event_class_id] - event_name". Initialisé sur "GENERIC_EVENT". Passé à "USER_UNCATEGORIZED" si is_principal_user_present est défini sur "true". |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.