Mengumpulkan log Forcepoint DLP

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Forcepoint Data Loss Prevention (DLP) menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan FORCEPOINT_DLP.

Mengonfigurasi Forcepoint DLP

  1. Login ke konsol Forcepoint Security Manager.
  2. Di bagian Tindakan tambahan, centang kotak Kirim pesan syslog.
  3. Di modul Keamanan data, pilih Setelan > Umum > Perbaikan.
  4. Di bagian Setelan Syslog, tentukan hal berikut:
    • Di kolom Alamat IP atau nama host, masukkan alamat IP atau nama host penerusan Google Security Operations.
    • Di kolom Port, masukkan nomor port.
    • Hapus centang pada kotak Gunakan fasilitas syslog untuk pesan ini.
  5. Untuk mengirim pesan pengujian verifikasi ke server syslog, klik Uji koneksi.
  6. Untuk menyimpan perubahan Anda, klik Oke.

Mengonfigurasi penerus Google Security Operations untuk menyerap log Forcepoint DLP

  1. Buka Setelan SIEM > Pengirim.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
  4. Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
  5. Di kolom Nama pengumpul, ketik nama.
  6. Pilih Forcepoint DLP sebagai Jenis log.
  7. Pilih Syslog sebagai Collector type.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
    • Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
    • Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
  9. Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak key-value pair dari log berformat CEF Forcepoint DLP, menormalisasi, dan memetakannya ke UDM. Proses ini menangani berbagai kolom CEF, termasuk pengirim, penerima, tindakan, dan tingkat keparahan, yang memperkaya UDM dengan detail seperti informasi pengguna, file yang terpengaruh, dan hasil keamanan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
bertindak security_result.description Jika actionPerformed kosong, nilai act akan ditetapkan ke security_result.description.
actionID metadata.product_log_id Nilai actionID ditetapkan ke metadata.product_log_id.
actionPerformed security_result.description Nilai actionPerformed ditetapkan ke security_result.description.
administrator principal.user.userid Nilai administrator ditetapkan ke principal.user.userid.
analyzedBy additional.fields.key String "analyzedBy" ditetapkan ke additional.fields.key.
analyzedBy additional.fields.value.string_value Nilai analyzedBy ditetapkan ke additional.fields.value.string_value.
kucing security_result.category_details Nilai cat digabungkan ke dalam kolom security_result.category_details sebagai daftar.
destinationHosts target.hostname Nilai destinationHosts ditetapkan ke target.hostname.
destinationHosts target.asset.hostname Nilai destinationHosts ditetapkan ke target.asset.hostname.
detail security_result.description Jika actionPerformed dan act kosong, nilai details akan ditetapkan ke security_result.description.
duser target.user.userid Nilai duser digunakan untuk mengisi target.user.userid. Beberapa nilai yang dipisahkan oleh "; " akan dibagi dan ditetapkan sebagai alamat email individual jika cocok dengan ekspresi reguler email, atau akan diperlakukan sebagai ID pengguna.
eventId metadata.product_log_id Jika actionID kosong, nilai eventId akan ditetapkan ke metadata.product_log_id.
fname target.file.full_path Nilai fname ditetapkan ke target.file.full_path.
logTime metadata.event_timestamp Nilai logTime diuraikan dan digunakan untuk mengisi metadata.event_timestamp.
loginName principal.user.user_display_name Nilai loginName ditetapkan ke principal.user.user_display_name.
msg metadata.description Nilai msg ditetapkan ke metadata.description.
productVersion additional.fields.key String "productVersion" ditetapkan ke additional.fields.key.
productVersion additional.fields.value.string_value Nilai productVersion ditetapkan ke additional.fields.value.string_value.
peran principal.user.attribute.roles.name Nilai role ditetapkan ke principal.user.attribute.roles.name.
severityType security_result.severity Nilai severityType dipetakan ke security_result.severity. "high" dipetakan ke "HIGH", "med" dipetakan ke "MEDIUM", dan "low" dipetakan ke "LOW" (tidak peka huruf besar/kecil).
sourceHost principal.hostname Nilai sourceHost ditetapkan ke principal.hostname.
sourceHost principal.asset.hostname Nilai sourceHost ditetapkan ke principal.asset.hostname.
sourceIp principal.ip Nilai sourceIp ditambahkan ke kolom principal.ip.
sourceIp principal.asset.ip Nilai sourceIp ditambahkan ke kolom principal.asset.ip.
sourceServiceName principal.application Nilai sourceServiceName ditetapkan ke principal.application.
suser principal.user.userid Jika administrator kosong, nilai suser akan ditetapkan ke principal.user.userid.
timestamp metadata.event_timestamp Nilai timestamp digunakan untuk mengisi metadata.event_timestamp.
topic security_result.rule_name Nilai topic ditetapkan ke security_result.rule_name setelah koma dihapus. Dikodekan secara permanen ke "FORCEPOINT_DLP". Dikodekan secara permanen ke "Forcepoint". Diekstrak dari pesan CEF. Dapat berupa "Forcepoint DLP" atau "Forcepoint DLP Audit". Diekstrak dari pesan CEF. Penggabungan device_event_class_id dan event_name, diformat sebagai "[device_event_class_id] - event_name". Diinisialisasi ke "GENERIC_EVENT". Diubah menjadi "USER_UNCATEGORIZED" jika is_principal_user_present adalah "true".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.