Coletar registros do Forcepoint DLP
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar registros de prevenção contra perda de dados (DLP) do Forcepoint usando um encaminhador do Google Security Operations.
Para mais informações, consulte Visão geral da ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FORCEPOINT_DLP.
Configurar o Forcepoint DLP
- Faça login no console do Forcepoint Security Manager.
- Na seção Outras ações, marque a caixa de seleção Enviar mensagem syslog.
- No módulo Segurança de dados, selecione Configurações > Geral > Correção.
- Na seção Configurações do Syslog, especifique o seguinte:
- No campo Endereço IP ou nome do host, insira o endereço IP ou o nome do host do encaminhador do Google Security Operations.
- No campo Porta, digite o número da porta.
- Desmarque a caixa de seleção Usar facilidade syslog para essas mensagens.
- Para enviar uma mensagem de teste de verificação ao servidor syslog, clique em Testar conexão.
- Para salvar as mudanças, clique em Ok.
Configurar o encaminhador do Google Security Operations para ingerir registros da DLP do Forcepoint
- Acesse Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo para ele.
- Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
- No campo Nome do coletor, digite um nome.
- Selecione Forcepoint DLP como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e aguarda dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse analisador extrai pares de chave-valor de registros formatados em CEF da DLP do Forcepoint, normalizando e mapeando-os para a UDM. Ele processa vários campos do CEF, incluindo remetente, destinatário, ações e gravidade, enriquecendo a UDM com detalhes como informações do usuário, arquivos afetados e resultados de segurança.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| age | security_result.description | Se actionPerformed estiver vazio, o valor de act será atribuído a security_result.description. |
| actionID | metadata.product_log_id | O valor de actionID é atribuído a metadata.product_log_id. |
| actionPerformed | security_result.description | O valor de actionPerformed é atribuído a security_result.description. |
| administrador | principal.user.userid | O valor de administrator é atribuído a principal.user.userid. |
| analyzedBy | additional.fields.key | A string "analyzedBy" é atribuída a additional.fields.key. |
| analyzedBy | additional.fields.value.string_value | O valor de analyzedBy é atribuído a additional.fields.value.string_value. |
| gato | security_result.category_details | Os valores de cat são mesclados no campo security_result.category_details como uma lista. |
| destinationHosts | target.hostname | O valor de destinationHosts é atribuído a target.hostname. |
| destinationHosts | target.asset.hostname | O valor de destinationHosts é atribuído a target.asset.hostname. |
| detalhes | security_result.description | Se actionPerformed e act estiverem vazios, o valor de details será atribuído a security_result.description. |
| duser | target.user.userid | O valor de duser é usado para preencher target.user.userid. Vários valores separados por "; " são divididos e atribuídos como endereços de e-mail individuais se corresponderem à expressão regular de e-mail. Caso contrário, são tratados como IDs de usuário. |
| eventId | metadata.product_log_id | Se actionID estiver vazio, o valor de eventId será atribuído a metadata.product_log_id. |
| fname | target.file.full_path | O valor de fname é atribuído a target.file.full_path. |
| logTime | metadata.event_timestamp | O valor de logTime é analisado e usado para preencher metadata.event_timestamp. |
| loginName | principal.user.user_display_name | O valor de loginName é atribuído a principal.user.user_display_name. |
| msg | metadata.description | O valor de msg é atribuído a metadata.description. |
| productVersion | additional.fields.key | A string "productVersion" é atribuída a additional.fields.key. |
| productVersion | additional.fields.value.string_value | O valor de productVersion é atribuído a additional.fields.value.string_value. |
| papel | principal.user.attribute.roles.name | O valor de role é atribuído a principal.user.attribute.roles.name. |
| severityType | security_result.severity | O valor de severityType é mapeado para security_result.severity. "high" corresponde a "HIGH", "med" corresponde a "MEDIUM" e "low" corresponde a "LOW" (sem distinção entre maiúsculas e minúsculas). |
| sourceHost | principal.hostname | O valor de sourceHost é atribuído a principal.hostname. |
| sourceHost | principal.asset.hostname | O valor de sourceHost é atribuído a principal.asset.hostname. |
| sourceIp | principal.ip | O valor de sourceIp é adicionado ao campo principal.ip. |
| sourceIp | principal.asset.ip | O valor de sourceIp é adicionado ao campo principal.asset.ip. |
| sourceServiceName | principal.application | O valor de sourceServiceName é atribuído a principal.application. |
| suser | principal.user.userid | Se administrator estiver vazio, o valor de suser será atribuído a principal.user.userid. |
| timestamp | metadata.event_timestamp | O valor de timestamp é usado para preencher metadata.event_timestamp. |
| tópico | security_result.rule_name | O valor de topic é atribuído a security_result.rule_name depois que as vírgulas são removidas. Codificado como "FORCEPOINT_DLP". Codificado como "Forcepoint". Extraído da mensagem CEF. Pode ser "Forcepoint DLP" ou "Forcepoint DLP Audit". Extraído da mensagem CEF. Concatenação de device_event_class_id e event_name, formatada como "[device_event_class_id] - event_name". Inicializado como "GENERIC_EVENT". Mudou para "USER_UNCATEGORIZED" se is_principal_user_present for "true". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.