Raccogliere i log di Forcepoint DLP
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di Forcepoint Data Loss Prevention (DLP) utilizzando un programma di inoltro di Google Security Operations.
Per saperne di più, consulta la Panoramica sull'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione
FORCEPOINT_DLP.
Configura Forcepoint DLP
- Accedi alla console Forcepoint Security Manager.
- Nella sezione Azioni aggiuntive, seleziona la casella di controllo Invia messaggio syslog.
- Nel modulo Sicurezza dei dati, seleziona Impostazioni > Generali > Correzione.
- Nella sezione Impostazioni Syslog, specifica quanto segue:
- Nel campo Indirizzo IP o nome host, inserisci l'indirizzo IP o il nome host del forwarder di Google Security Operations.
- Nel campo Porta, inserisci il numero della porta.
- Deseleziona la casella di controllo Utilizza la funzionalità syslog per questi messaggi.
- Per inviare al server syslog un messaggio di test di verifica, fai clic su Verifica connessione.
- Per salvare le modifiche, fai clic su Ok.
Configura il programma di inoltro di Google Security Operations per l'importazione dei log Forcepoint DLP
- Vai a Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, digita un nome.
- Seleziona Forcepoint DLP come Tipo di log.
- Seleziona Syslog come Tipo di raccoglitore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione utilizzato dal collettore per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations. Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae coppie chiave-valore dai log in formato CEF di Forcepoint DLP, normalizzandoli e mappandoli alla UDM. Gestisce vari campi CEF, tra cui mittente, destinatario, azioni e gravità, arricchendo UDM con dettagli come informazioni utente, file interessati e risultati di sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| atto | security_result.description | Se actionPerformed è vuoto, il valore di act viene assegnato a security_result.description. |
| actionID | metadata.product_log_id | Il valore di actionID viene assegnato a metadata.product_log_id. |
| actionPerformed | security_result.description | Il valore di actionPerformed viene assegnato a security_result.description. |
| amministratore | principal.user.userid | Il valore di administrator viene assegnato a principal.user.userid. |
| analyzedBy | additional.fields.key | La stringa "analyzedBy" è assegnata a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | Il valore di analyzedBy viene assegnato a additional.fields.value.string_value. |
| gatto | security_result.category_details | I valori di cat vengono uniti nel campo security_result.category_details come elenco. |
| destinationHosts | target.hostname | Il valore di destinationHosts viene assegnato a target.hostname. |
| destinationHosts | target.asset.hostname | Il valore di destinationHosts viene assegnato a target.asset.hostname. |
| dettagli | security_result.description | Se sia actionPerformed che act sono vuoti, il valore di details viene assegnato a security_result.description. |
| duser | target.user.userid | Il valore di duser viene utilizzato per compilare target.user.userid. I valori multipli separati da "; " vengono suddivisi e assegnati come singoli indirizzi email se corrispondono all'espressione regolare dell'email, altrimenti vengono trattati come ID utente. |
| eventId | metadata.product_log_id | Se actionID è vuoto, il valore di eventId viene assegnato a metadata.product_log_id. |
| fname | target.file.full_path | Il valore di fname viene assegnato a target.file.full_path. |
| logTime | metadata.event_timestamp | Il valore di logTime viene analizzato e utilizzato per compilare metadata.event_timestamp. |
| loginName | principal.user.user_display_name | Il valore di loginName viene assegnato a principal.user.user_display_name. |
| msg | metadata.description | Il valore di msg viene assegnato a metadata.description. |
| productVersion | additional.fields.key | La stringa "productVersion" è assegnata a additional.fields.key. |
| productVersion | additional.fields.value.string_value | Il valore di productVersion viene assegnato a additional.fields.value.string_value. |
| ruolo | principal.user.attribute.roles.name | Il valore di role viene assegnato a principal.user.attribute.roles.name. |
| severityType | security_result.severity | Il valore di severityType è mappato a security_result.severity. "high" corrisponde a "HIGH", "med" corrisponde a "MEDIUM" e "low" corrisponde a "LOW" (senza distinzione tra maiuscole e minuscole). |
| sourceHost | principal.hostname | Il valore di sourceHost viene assegnato a principal.hostname. |
| sourceHost | principal.asset.hostname | Il valore di sourceHost viene assegnato a principal.asset.hostname. |
| sourceIp | principal.ip | Il valore di sourceIp viene aggiunto al campo principal.ip. |
| sourceIp | principal.asset.ip | Il valore di sourceIp viene aggiunto al campo principal.asset.ip. |
| sourceServiceName | principal.application | Il valore di sourceServiceName viene assegnato a principal.application. |
| suser | principal.user.userid | Se administrator è vuoto, il valore di suser viene assegnato a principal.user.userid. |
| timestamp | metadata.event_timestamp | Il valore di timestamp viene utilizzato per compilare metadata.event_timestamp. |
| argomento | security_result.rule_name | Il valore di topic viene assegnato a security_result.rule_name dopo la rimozione delle virgole. Codificato in modo permanente su "FORCEPOINT_DLP". Codificato in modo permanente su "Forcepoint". Estratto dal messaggio CEF. Può essere "Forcepoint DLP" o "Forcepoint DLP Audit". Estratto dal messaggio CEF. Concatenazione di device_event_class_id e event_name, formattata come "[device_event_class_id] - event_name". Inizializzato su "GENERIC_EVENT". Valore modificato in "USER_UNCATEGORIZED" se is_principal_user_present è "true". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.