收集 Forcepoint DLP 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 Forcepoint 資料遺失防護 (DLP) 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 FORCEPOINT_DLP 攝入標籤的剖析器。

設定 Forcepoint DLP

  1. 登入 Forcepoint Security Manager 控制台。
  2. 在「其他動作」部分中,選取「傳送系統記錄訊息」核取方塊。
  3. 在「資料安全性」模組中,依序選取「設定」>「一般」>「補救措施」
  4. 在「Syslog settings」部分中,指定下列項目:
    • 在「IP 位址或主機名稱」欄位中,輸入 Google Security Operations 轉送器的 IP 位址或主機名稱。
    • 在「Port」(通訊埠) 欄位中輸入通訊埠號碼。
    • 取消勾選「Use syslog facility for these messages」(針對這些訊息使用系統記錄設施) 核取方塊。
  5. 如要傳送驗證測試訊息給系統記錄伺服器,請按一下「測試連線」
  6. 如要儲存變更,請按一下「確定」

設定 Google Security Operations 轉送器,以便擷取 Forcepoint DLP 記錄

  1. 依序前往「SIEM 設定」>「轉送器」
  2. 按一下「新增轉寄者」
  3. 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
  4. 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  5. 在「收集器名稱」欄位中輸入名稱。
  6. 選取「Forcepoint DLP」做為「記錄類型」
  7. 選取「Syslog」做為「收集器類型」
  8. 設定下列必要輸入參數:
    • 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
  9. 按一下「提交」

如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 Forcepoint DLP CEF 格式的記錄中擷取鍵/值組合,並將這些組合正規化及對應至 UDM。這個外掛程式會處理各種 CEF 欄位,包括傳送者、接收者、動作和嚴重程度,並使用使用者資訊、受影響的檔案和安全性結果等詳細資料,擴充 UDM。

UDM 對應表

記錄欄位 UDM 對應 邏輯
act security_result.description 如果 actionPerformed 為空,系統會將 act 的值指派給 security_result.description
actionID metadata.product_log_id actionID 的值會指派給 metadata.product_log_id
actionPerformed security_result.description actionPerformed 的值會指派給 security_result.description
管理員 principal.user.userid administrator 的值會指派給 principal.user.userid
analyzedBy additional.fields.key 字串「analyzedBy」已指派給 additional.fields.key
analyzedBy additional.fields.value.string_value analyzedBy 的值會指派給 additional.fields.value.string_value
cat security_result.category_details cat 的值會合併至 security_result.category_details 欄位,並以清單形式呈現。
destinationHosts target.hostname destinationHosts 的值會指派給 target.hostname
destinationHosts target.asset.hostname destinationHosts 的值會指派給 target.asset.hostname
詳細資料 security_result.description 如果 actionPerformedact 皆為空值,系統會將 details 的值指派給 security_result.description
duser target.user.userid duser 的值會用於填入 target.user.userid。如果以「; 」分隔的多個值符合電子郵件規則運算式,系統會將這些值拆開並指派為個別電子郵件地址,否則會視為使用者 ID。
eventId metadata.product_log_id 如果 actionID 為空,系統會將 eventId 的值指派給 metadata.product_log_id
fname target.file.full_path fname 的值會指派給 target.file.full_path
logTime metadata.event_timestamp 系統會剖析 logTime 的值,並用來填入 metadata.event_timestamp
loginName principal.user.user_display_name loginName 的值會指派給 principal.user.user_display_name
msg metadata.description msg 的值會指派給 metadata.description
productVersion additional.fields.key 字串「productVersion」已指派給 additional.fields.key
productVersion additional.fields.value.string_value productVersion 的值會指派給 additional.fields.value.string_value
角色 principal.user.attribute.roles.name role 的值會指派給 principal.user.attribute.roles.name
severityType security_result.severity severityType 的值會對應至 security_result.severity。「high」會對應至「HIGH」,「med」會對應至「MEDIUM」,「low」則會對應至「LOW」(不區分大小寫)。
sourceHost principal.hostname sourceHost 的值會指派給 principal.hostname
sourceHost principal.asset.hostname sourceHost 的值會指派給 principal.asset.hostname
sourceIp principal.ip sourceIp 的值會新增至 principal.ip 欄位。
sourceIp principal.asset.ip sourceIp 的值會新增至 principal.asset.ip 欄位。
sourceServiceName principal.application sourceServiceName 的值會指派給 principal.application
suser principal.user.userid 如果 administrator 為空,系統會將 suser 的值指派給 principal.user.userid
時間戳記 metadata.event_timestamp timestamp 的值會用於填入 metadata.event_timestamp
主題 security_result.rule_name 移除半形逗號後,topic 的值會指派給 security_result.rule_name。硬式編碼為「FORCEPOINT_DLP」。已硬式編碼為「Forcepoint」。從 CEF 訊息擷取。可以是「Forcepoint DLP」或「Forcepoint DLP Audit」。從 CEF 訊息擷取。device_event_class_idevent_name 的串連,格式為「[device_event_class_id] - event_name」。初始化為「GENERIC_EVENT」。如果 is_principal_user_present 為「true」,則變更為「USER_UNCATEGORIZED」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。