Recolha registos da DLP do Forcepoint
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos de prevenção de perda de dados (DLP) da Forcepoint através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento FORCEPOINT_DLP.
Configure a DLP da Forcepoint
- Inicie sessão na consola do Forcepoint Security Manager.
- Na secção Ações adicionais, selecione a caixa de verificação Enviar mensagem syslog.
- No módulo Segurança dos dados, selecione Definições > Geral > Correção.
- Na secção Definições do Syslog, especifique o seguinte:
- No campo Endereço IP ou nome de anfitrião, introduza o endereço IP ou o nome de anfitrião do encaminhador do Google Security Operations.
- No campo Porta, introduza o número da porta.
- Desmarque a caixa de verificação Usar a funcionalidade syslog para estas mensagens.
- Para enviar uma mensagem de teste de validação para o servidor syslog, clique em Testar ligação.
- Para guardar as alterações, clique em OK.
Configure o encaminhador do Google Security Operations para carregar registos de DLP do Forcepoint
- Aceda a Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome.
- Selecione Forcepoint DLP como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir dados de syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve dados syslog.
- Clique em Enviar.
Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations. Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador extrai pares de chave/valor de registos formatados CEF do Forcepoint DLP, normalizando-os e mapeando-os para o UDM. Processa vários campos CEF, incluindo remetente, destinatário, ações e gravidade, enriquecendo o UDM com detalhes como informações do utilizador, ficheiros afetados e resultados de segurança.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| agir | security_result.description | Se actionPerformed estiver vazio, o valor de act é atribuído a security_result.description. |
| actionID | metadata.product_log_id | O valor de actionID é atribuído a metadata.product_log_id. |
| actionPerformed | security_result.description | O valor de actionPerformed é atribuído a security_result.description. |
| administrator | principal.user.userid | O valor de administrator é atribuído a principal.user.userid. |
| analyzedBy | additional.fields.key | A string "analyzedBy" é atribuída a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | O valor de analyzedBy é atribuído a additional.fields.value.string_value. |
| gato | security_result.category_details | Os valores de cat são unidos no campo security_result.category_details como uma lista. |
| destinationHosts | target.hostname | O valor de destinationHosts é atribuído a target.hostname. |
| destinationHosts | target.asset.hostname | O valor de destinationHosts é atribuído a target.asset.hostname. |
| detalhes | security_result.description | Se actionPerformed e act estiverem vazios, o valor de details é atribuído a security_result.description. |
| duser | target.user.userid | O valor de duser é usado para preencher target.user.userid. Os vários valores separados por "; " são divididos e atribuídos como endereços de email individuais se corresponderem à regex de email. Caso contrário, são tratados como IDs de utilizadores. |
| eventId | metadata.product_log_id | Se actionID estiver vazio, o valor de eventId é atribuído a metadata.product_log_id. |
| fname | target.file.full_path | O valor de fname é atribuído a target.file.full_path. |
| logTime | metadata.event_timestamp | O valor de logTime é analisado e usado para preencher metadata.event_timestamp. |
| loginName | principal.user.user_display_name | O valor de loginName é atribuído a principal.user.user_display_name. |
| msg | metadata.description | O valor de msg é atribuído a metadata.description. |
| productVersion | additional.fields.key | A string "productVersion" está atribuída a additional.fields.key. |
| productVersion | additional.fields.value.string_value | O valor de productVersion é atribuído a additional.fields.value.string_value. |
| função | principal.user.attribute.roles.name | O valor de role é atribuído a principal.user.attribute.roles.name. |
| severityType | security_result.severity | O valor de severityType está mapeado para security_result.severity. "high" é mapeado para "HIGH", "med" é mapeado para "MEDIUM" e "low" é mapeado para "LOW" (sem distinção entre maiúsculas e minúsculas). |
| sourceHost | principal.hostname | O valor de sourceHost é atribuído a principal.hostname. |
| sourceHost | principal.asset.hostname | O valor de sourceHost é atribuído a principal.asset.hostname. |
| sourceIp | principal.ip | O valor de sourceIp é adicionado ao campo principal.ip. |
| sourceIp | principal.asset.ip | O valor de sourceIp é adicionado ao campo principal.asset.ip. |
| sourceServiceName | principal.application | O valor de sourceServiceName é atribuído a principal.application. |
| suser | principal.user.userid | Se administrator estiver vazio, o valor de suser é atribuído a principal.user.userid. |
| timestamp | metadata.event_timestamp | O valor de timestamp é usado para preencher metadata.event_timestamp. |
| tópico | security_result.rule_name | O valor de topic é atribuído a security_result.rule_name depois de as vírgulas serem removidas. Codificado de forma rígida como "FORCEPOINT_DLP". Codificado de forma rígida para "Forcepoint". Extraído da mensagem CEF. Pode ser "Forcepoint DLP" ou "Forcepoint DLP Audit". Extraído da mensagem CEF. Concatenação de device_event_class_id e event_name, formatada como "[device_event_class_id] – event_name". Inicializado para "GENERIC_EVENT". Alterado para "USER_UNCATEGORIZED" se is_principal_user_present for "true". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.