이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Forcepoint Proxy 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Bindplane을 사용하여 Forcepoint 프록시 로그를 Google Security Operations로 처리하는 방법을 설명합니다. 파서는 먼저 입력 로그 메시지를 정리하고 grok 패턴과 정규 표현식을 사용하여 키-값 쌍을 추출합니다. 그런 다음 특정 조건 및 필드 값을 기반으로 추출된 필드를 통합 데이터 모델 (UDM)에 매핑하여 다양한 로그 형식과 특이 사례를 처리하여 일관된 데이터 표현을 보장합니다.

시작하기 전에

Google Security Operations 인스턴스가 있는지 확인합니다.
Windows 2016 이상을 사용 중이거나 systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다.
프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
Forcepoint Proxy에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORCEPOINT_WEBPROXY
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.
Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Forcepoint Web Security Suite 구성

Forcepoint Console에 로그인합니다.
웹 > 설정 > 일반으로 이동합니다.
SIEM 통합을 클릭합니다.
이 정책 서버에 SIEM 통합 사용 설정 체크박스를 선택합니다.
다음 구성 세부정보를 제공합니다.
- IP 주소 또는 호스트 이름: Bindplane 에이전트의 IP 주소를 입력합니다.
- 포트 번호: Bindplane 에이전트에 구성된 포트 번호를 입력합니다(예: 514).
- 전송 프로토콜: UDP 프로토콜을 선택합니다.
- SIEM 형식: Syslog/CEF (Arcsight)를 선택합니다.
확인을 클릭합니다.
저장 및 배포를 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
action	security_result.summary	action_msg가 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 action이 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 act가 비어 있지 않으면 security_result.summary에 매핑됩니다.
action_msg	security_result.summary	action_msg가 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 action이 비어 있지 않으면 security_result.summary에 매핑됩니다. 그렇지 않고 act가 비어 있지 않으면 security_result.summary에 매핑됩니다.
앱	target.application	destinationServiceName이 비어 있지 않으면 app_name에 매핑됩니다. 그 외의 경우 앱이 비어 있지 않고 `http` 또는 `HTTP`를 포함하지 않으면 앱_이름에 매핑됩니다. 마지막으로 app_name이 target.application에 매핑됩니다.
bytes_in	network.received_bytes	in이 비어 있지 않으면 bytes_in에 매핑됩니다. 마지막으로 bytes_in이 network.received_bytes에 매핑됩니다.
bytes_out	network.sent_bytes	out이 비어 있지 않으면 bytes_out에 매핑됩니다. 마지막으로 bytes_out이 network.sent_bytes에 매핑됩니다.
고양이	security_result.category_details	cat이 비어 있지 않으면 category에 매핑됩니다. 마지막으로 category가 security_result.category_details에 매핑됩니다.
cn1	security_result.detection_fields.value	cn1이 비어 있지 않으면 `Disposition Number` 키로 security_result.detection_fields.value에 매핑됩니다.
ContentType	target.file.mime_type	contentType이 비어 있지 않으면 ContentType에 매핑됩니다. 마지막으로 ContentType이 target.file.mime_type에 매핑됩니다.
cs1	target_role.description	cs1은 target_role.description에 매핑됩니다.
cs2	security_result.category_details	cs2가 비어 있지 않고 `0`가 아닌 경우 접두사 `Dynamic Category:`를 사용하여 security_result.category_details에 매핑됩니다.
cs3	target.file.mime_type	cs3가 target.file.mime_type에 매핑됩니다.
description	metadata.description	description이 비어 있지 않으면 metadata.description에 매핑됩니다.
destinationServiceName	target.application	destinationServiceName이 비어 있지 않으면 app_name에 매핑됩니다. 마지막으로 app_name이 target.application에 매핑됩니다.
deviceFacility	metadata.product_event_type	product_event 및 deviceFacility가 비어 있지 않으면 `-`와 연결되고 metadata.product_event_type에 매핑됩니다. 그렇지 않으면 product_event가 metadata.product_event_type에 매핑됩니다.
disposition	security_result.detection_fields.value	처분 조치가 비어 있지 않으면 `Disposition Number` 키로 security_result.detection_fields.value에 매핑됩니다.
dst	target.ip	dst가 비어 있지 않고 dvchost가 비어 있으면 dst_ip에 매핑됩니다. 마지막으로 dst_ip가 target.ip에 매핑됩니다.
dst_host	target.hostname	dst가 비어 있지 않고 dvchost가 비어 있으면 dst_host에 매핑됩니다. 마지막으로 dst_host가 target.hostname에 매핑됩니다.
dst_ip	target.ip	dst가 비어 있지 않고 dvchost가 비어 있으면 dst_ip에 매핑됩니다. 마지막으로 dst_ip가 target.ip에 매핑됩니다.
dst_port	target.port	dst가 비어 있지 않고 dvchost가 비어 있으면 dst_port에 매핑됩니다. 마지막으로 dst_port가 target.port에 매핑됩니다.
기간	network.session_duration.seconds	duration이 비어 있지 않고 `0`가 아닌 경우 network.session_duration.seconds에 매핑됩니다.
dvchost	intermediary.ip	dvchost가 비어 있지 않으면 int_ip에 매핑됩니다. 마지막으로 int_ip가 유효한 IP 주소인 경우 intermediary.ip에 매핑되고 그렇지 않으면 intermediary.hostname에 매핑됩니다.
file_path	target.file.full_path	file_path가 비어 있지 않으면 target.file.full_path에 매핑됩니다.
호스트	principal.ip	host가 비어 있지 않으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
http_method	network.http.method	requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 그 외의 경우 메서드가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
http_proxy_status_code	network.http.response_code	http_response가 비어 있거나 `0` 또는 `-`이고 http_proxy_status_code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
http_response	network.http.response_code	http_response가 비어 있지 않고 `0` 또는 `-`가 아닌 경우 network.http.response_code에 매핑됩니다.
http_user_agent	network.http.user_agent	http_user_agent가 비어 있지 않고 `-`가 아닌 경우 network.http.user_agent에 매핑됩니다.
in	network.received_bytes	in이 비어 있지 않으면 bytes_in에 매핑됩니다. 마지막으로 bytes_in이 network.received_bytes에 매핑됩니다.
int_host	intermediary.hostname	int_ip가 비어 있지 않고 int_host가 비어 있지 않으며 int_ip와 다른 경우 intermediary.hostname에 매핑됩니다.
int_ip	intermediary.ip	dvchost가 비어 있지 않으면 int_ip에 매핑됩니다. 마지막으로 int_ip가 유효한 IP 주소인 경우 intermediary.ip에 매핑되고 그렇지 않으면 intermediary.hostname에 매핑됩니다.
레벨	target_role.name	수준이 비어 있지 않고 역할이 비어 있으면 역할에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
log_level	security_result.severity	심각도가 `1`이거나 log_level에 `info`이 포함되어 있거나 메시지에 `notice`이 포함되어 있으면 security_result.severity가 `INFORMATIONAL`로 설정됩니다. 심각도가 `7`이면 security_result.severity가 `HIGH`로 설정됩니다.
loginID	principal.user.userid	loginID가 비어 있지 않으면 사용자에 매핑됩니다. 마지막으로 user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하지 않는 경우 principal.user.userid에 매핑됩니다.
method	network.http.method	requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 그 외의 경우 메서드가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
NatRuleId	security_result.detection_fields.value	NatRuleId가 비어 있지 않으면 `NatRuleId` 키로 security_result.detection_fields.value에 매핑됩니다.
어떨까요?	network.sent_bytes	out이 비어 있지 않으면 bytes_out에 매핑됩니다. 마지막으로 bytes_out이 network.sent_bytes에 매핑됩니다.
pid	target.process.pid	pid가 비어 있지 않으면 target.process.pid에 매핑됩니다.
정책	target_role.description	Policy가 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 `-`가 아닌 경우 target_role.description에 매핑됩니다.
정책	target_role.description	Policy가 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 `-`가 아닌 경우 target_role.description에 매핑됩니다.
product_event	metadata.product_event_type	product가 비어 있지 않으면 product_event에 매핑됩니다. product_event 및 deviceFacility가 비어 있지 않으면 `-`와 연결되고 metadata.product_event_type에 매핑됩니다. 그렇지 않으면 product_event가 metadata.product_event_type에 매핑됩니다.
proxyStatus-code	network.http.response_code	http_response가 비어 있거나 `0` 또는 `-`이고 http_proxy_status_code가 비어 있으며 proxyStatus-code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
refererUrl	network.http.referral_url	refererUrl이 비어 있지 않고 `-`가 아닌 경우 network.http.referral_url에 매핑됩니다.
requestClientApplication	network.http.user_agent	requestMethod가 비어 있지 않으면 http_user_agent에 매핑됩니다. 마지막으로 http_user_agent가 network.http.user_agent에 매핑됩니다.
requestMethod	network.http.method	requestMethod가 비어 있지 않으면 http_method에 매핑됩니다. 마지막으로 http_method가 network.http.method에 매핑됩니다.
역할	target_role.name	수준이 비어 있지 않고 역할이 비어 있으면 역할에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
RuleID	security_result.rule_id	RuleID가 비어 있지 않으면 security_result.rule_id에 매핑됩니다.
serverStatus-code	network.http.response_code	http_response가 비어 있거나 `0` 또는 `-`이고 http_proxy_status_code가 비어 있으며 proxyStatus-code가 비어 있지 않으면 network.http.response_code에 매핑됩니다.
줄이는 것을	security_result.severity	심각도가 `1`이거나 log_level에 `info`이 포함되어 있거나 메시지에 `notice`이 포함되어 있으면 security_result.severity가 `INFORMATIONAL`로 설정됩니다. 심각도가 `7`이면 security_result.severity가 `HIGH`로 설정됩니다.
spt	principal.port	spt가 비어 있지 않으면 src_port에 매핑됩니다. 마지막으로 src_port가 principal.port에 매핑됩니다.
src	principal.ip	src_host가 비어 있지 않으면 source_ip_temp에 매핑됩니다. source_ip_temp가 유효한 IP 주소이고 src가 비어 있으면 src에 매핑됩니다. host가 비어 있지 않으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
src_host	principal.hostname	src_host가 비어 있지 않으면 source_ip_temp에 매핑됩니다. source_ip_temp가 유효한 IP 주소가 아닌 경우 principal.hostname에 매핑됩니다. source_ip_temp가 유효한 IP 주소이고 src가 비어 있으면 src에 매핑됩니다. 마지막으로 src가 principal.ip에 매핑됩니다.
src_port	principal.port	src_port가 비어 있지 않으면 principal.port에 매핑됩니다.
suser	principal.user.userid	loginID가 비어 있지 않으면 사용자에 매핑됩니다. suser가 비어 있지 않으면 사용자에 매핑됩니다. 마지막으로, user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하지 않는 경우 principal.user.userid에 매핑됩니다.
url	target.url	url이 비어 있지 않으면 target.url에 매핑됩니다.
사용자	principal.user.userid	loginID가 비어 있지 않으면 사용자에 매핑됩니다. suser가 비어 있지 않으면 사용자에 매핑됩니다. 그렇지 않고 usrName이 비어 있지 않으면 사용자에 매핑됩니다. 마지막으로 user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하지 않는 경우 principal.user.userid에 매핑됩니다.
usrName	principal.user.userid	loginID가 비어 있지 않으면 사용자에 매핑됩니다. suser가 비어 있지 않으면 사용자에 매핑됩니다. usrName이 비어 있지 않으면 사용자에 매핑됩니다. 마지막으로, user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하지 않는 경우 principal.user.userid에 매핑됩니다.
when	metadata.event_timestamp	when이 비어 있지 않으면 파싱되어 metadata.event_timestamp에 매핑됩니다.
	metadata.log_type	`FORCEPOINT_WEBPROXY` 값은 metadata.log_type에 하드코딩됩니다.
	metadata.product_name	`Forcepoint Webproxy` 값은 metadata.product_name에 하드코딩됩니다.
	metadata.vendor_name	값 `Forcepoint`는 metadata.vendor_name에 하드코딩됩니다.
	network.application_protocol	dst_port가 `80`이면 network.application_protocol이 `HTTP`로 설정됩니다. dst_port가 `443`이면 network.application_protocol이 `HTTPS`로 설정됩니다.
	principal.user.group_identifiers	user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하는 경우 사용자 문자열의 OU 부분이 추출되어 principal.user.group_identifiers에 매핑됩니다.
	principal.user.user_display_name	user가 비어 있지 않고 `-`가 아니며 `LDAP`를 포함하는 경우 사용자 문자열의 사용자 이름 부분이 추출되어 principal.user.user_display_name에 매핑됩니다.
	security_result.action	action_msg, action 또는 act가 비어 있지 않으면 sec_action은 값에 따라 `ALLOW` 또는 `BLOCK`로 설정됩니다. 마지막으로 sec_action이 security_result.action에 매핑됩니다.
	security_result.category_details	cat이 비어 있지 않으면 category에 매핑됩니다. 마지막으로 category가 security_result.category_details에 매핑됩니다. cs2가 비어 있지 않고 `0`가 아닌 경우 접두사 `Dynamic Category:`를 사용하여 security_result.category_details에 매핑됩니다.
	security_result.detection_fields.key	처리 또는 cn1을 매핑할 때 값 `Disposition Number`가 security_result.detection_fields.key에 하드코딩됩니다. NatRuleId를 매핑할 때 `NatRuleId` 값이 security_result.detection_fields.key에 하드코딩됩니다. category_no를 매핑할 때 값 `Category Number`가 security_result.detection_fields.key에 하드코딩됩니다.
	security_result.severity	심각도가 `1`이거나 log_level에 `info`이 포함되어 있거나 메시지에 `notice`이 포함되어 있으면 security_result.severity가 `INFORMATIONAL`로 설정됩니다. 심각도가 `7`이면 security_result.severity가 `HIGH`로 설정됩니다.
	target_role.description	Policy가 비어 있지 않으면 정책에 매핑됩니다. 정책이 비어 있지 않고 `-`가 아닌 경우 target_role.description에 매핑됩니다.
	target_role.name	수준이 비어 있지 않고 역할이 비어 있으면 역할에 매핑됩니다. 마지막으로 역할이 target_role.name에 매핑됩니다.
category_no	security_result.detection_fields.value	category_no가 비어 있지 않으면 키 `Category Number`를 사용하여 security_result.detection_fields.value에 매핑됩니다.

변경사항

2025-01-16

개선사항:

s-action이 TCP_DENIED인 경우 security_result.action를 BLOCK에 매핑했습니다.

2024-10-18

개선사항:

파싱되지 않은 CSV 로그를 파싱하는 지원을 추가했습니다.
잘못된 CSV 로그를 삭제하는 지원을 추가했습니다.
host-url를 principal.url에 매핑했습니다.

2024-07-10

개선사항:

새 KV 형식 로그의 Grok 패턴을 추가했습니다.
username를 principal.user.userid에 매핑했습니다.
cs-uri를 target.url에 매핑했습니다.
cs-uri-query, time-taken, filter-category, cs-uri-path, cs-uri-extension, rs_content_type를 additional.fields에 매핑했습니다.
sc-filter-result이 OBSERVED이면 security_result.action를 ALLOW로 설정하고 , sc-filter-result이 DENIED이면 security_result.action를 BLOCK로 설정하고 , 그 외의 경우에는 security_result.action를 ALLOW로 설정합니다.
cs-auth-group를 principal.user_group_identifiers에 매핑했습니다.
cs-method를 network.http.method에 매핑했습니다.
sc-status를 response_code에 매핑했습니다.
s-action를 security_result.detection_fields에 매핑했습니다.
srcport를 principal.port에 매핑했습니다.
dstport를 target.port에 매핑했습니다.
sc-bytes를 network.received_bytes에 매핑했습니다.
cs-bytes를 network.sent_bytes에 매핑했습니다.
cs를 security_result.summary에 매핑했습니다.
cs_referer를 network.http.referral_url에 매핑했습니다.
cs-host를 target.hostname에 매핑했습니다.

2024-06-10

개선사항:

CSV 형식 로그에 대한 지원이 추가되었습니다.

2023-06-12

개선사항:

일부 값이 '-'로 표시된 비정상 로그를 파싱하도록 Grok 패턴이 수정되었습니다.
매핑하기 전에 'http_response' 필드에 대한 조건 확인을 추가했습니다.

2022-08-11

개선사항:

syslog 헤더가 없는 CEF 유형 로그를 파싱하도록 grok를 수정했습니다.

2022-05-16

개선사항:

카테고리 번호를 security_result.detection_fields에 매핑했습니다.

2022-05-05

개선사항:

requestClientApplication - http.user_agent, proxyStatus-code - http.response_code, disposition 및 cn1 - security_result.detection_fields 필드의 매핑을 추가했습니다.
'cs2Label' 값이 'DynCat'인 경우 'cs2' 필드를 'security_result.category_details'에 매핑했습니다.
'cs2Label' 값이 'NatRuleId'인 경우 'cs2' 필드를 'security_result.detection_fields'에 매핑했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.