此页面由 Cloud Translation API 翻译。

收集 Forcepoint DLP 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 Forcepoint Data Loss Prevention (DLP) 日志。

如需了解详情，请参阅 Google Security Operations 数据注入概览。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FORCEPOINT_DLP 注入标签的解析器。

配置 Forcepoint DLP

登录 Forcepoint Security Manager 控制台。
在其他操作部分，选中发送 syslog 消息复选框。
在数据安全模块中，依次选择设置 > 常规 > 补救。
在 Syslog 设置部分中，指定以下内容：
- 在 IP 地址或主机名字段中，输入 Google Security Operations 转发器的 IP 地址或主机名。
- 在端口字段中，输入端口号。
- 取消选中针对这些消息使用 syslog facility 复选框。
如需向 syslog 服务器发送验证测试消息，请点击测试连接。
如需保存更改，请点击确定。

配置 Google Security Operations 转发器以注入 Forcepoint DLP 日志

依次前往 SIEM 设置 > 转发器。
点击添加新转发器。
在 Forwarder Name（转发器名称）字段中，输入转发器的唯一名称。
点击提交。系统会添加转发器，并显示添加收集器配置窗口。
在收集器名称字段中，输入一个名称。
选择 Forcepoint DLP 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在的并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的并监听 syslog 数据的目标端口。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可从 Forcepoint DLP CEF 格式的日志中提取键值对，并将其标准化和映射到 UDM。它会处理各种 CEF 字段，包括发送者、接收者、操作和严重程度，并使用用户信息、受影响的文件和安全结果等详细信息来丰富 UDM。

UDM 映射表

日志字段	UDM 映射	逻辑
act	security_result.description	如果 `actionPerformed` 为空，则将 `act` 的值分配给 `security_result.description`。
actionID	metadata.product_log_id	将 `actionID` 的值分配给 `metadata.product_log_id`。
actionPerformed	security_result.description	将 `actionPerformed` 的值分配给 `security_result.description`。
管理员	principal.user.userid	将 `administrator` 的值分配给 `principal.user.userid`。
analyzedBy	additional.fields.key	字符串“analyzedBy”已分配给 `additional.fields.key`。
analyzedBy	additional.fields.value.string_value	将 `analyzedBy` 的值分配给 `additional.fields.value.string_value`。
猫	security_result.category_details	`cat` 的值会合并到 `security_result.category_details` 字段中，并以列表形式呈现。
destinationHosts	target.hostname	将 `destinationHosts` 的值分配给 `target.hostname`。
destinationHosts	target.asset.hostname	将 `destinationHosts` 的值分配给 `target.asset.hostname`。
详细信息	security_result.description	如果 `actionPerformed` 和 `act` 均为空，则将 `details` 的值分配给 `security_result.description`。
duser	target.user.userid	`duser` 的值用于填充 `target.user.userid`。如果多个值（以“; ”分隔）与电子邮件正则表达式匹配，则会拆分这些值并将其分配为单独的电子邮件地址；否则，这些值会被视为用户 ID。
eventId	metadata.product_log_id	如果 `actionID` 为空，则将 `eventId` 的值分配给 `metadata.product_log_id`。
fname	target.file.full_path	将 `fname` 的值分配给 `target.file.full_path`。
logTime	metadata.event_timestamp	系统会解析 `logTime` 的值，并使用该值填充 `metadata.event_timestamp`。
loginName	principal.user.user_display_name	将 `loginName` 的值分配给 `principal.user.user_display_name`。
msg	metadata.description	将 `msg` 的值分配给 `metadata.description`。
productVersion	additional.fields.key	字符串“productVersion”已分配给 `additional.fields.key`。
productVersion	additional.fields.value.string_value	将 `productVersion` 的值分配给 `additional.fields.value.string_value`。
角色	principal.user.attribute.roles.name	将 `role` 的值分配给 `principal.user.attribute.roles.name`。
severityType	security_result.severity	`severityType` 的值映射到 `security_result.severity`。“high”映射到“HIGH”，“med”映射到“MEDIUM”，“low”映射到“LOW”（不区分大小写）。
sourceHost	principal.hostname	将 `sourceHost` 的值分配给 `principal.hostname`。
sourceHost	principal.asset.hostname	将 `sourceHost` 的值分配给 `principal.asset.hostname`。
sourceIp	principal.ip	`sourceIp` 的值会添加到 `principal.ip` 字段中。
sourceIp	principal.asset.ip	`sourceIp` 的值会添加到 `principal.asset.ip` 字段中。
sourceServiceName	principal.application	将 `sourceServiceName` 的值分配给 `principal.application`。
suser	principal.user.userid	如果 `administrator` 为空，则将 `suser` 的值分配给 `principal.user.userid`。
时间戳	metadata.event_timestamp	`timestamp` 的值用于填充 `metadata.event_timestamp`。
主题	security_result.rule_name	移除逗号后，`topic` 的值会分配给 `security_result.rule_name`。硬编码为“FORCEPOINT_DLP”。硬编码为“Forcepoint”。从 CEF 消息中提取。可以是“Forcepoint DLP”或“Forcepoint DLP Audit”。从 CEF 消息中提取。`device_event_class_id` 和 `event_name` 的串联，格式为“[device_event_class_id] - event_name”。初始化为“GENERIC_EVENT”。如果 `is_principal_user_present` 为“true”，则更改为“USER_UNCATEGORIZED”。