Collecter les journaux Fortra Digital Guardian DLP

Ce document explique comment collecter les journaux DLP Fortra Digital Guardian dans Google Security Operations à l'aide d'un agent Bindplane. Le code de l'analyseur transforme les journaux bruts au format JSON en modèle de données unifié (UDM). Il extrait d'abord les champs du JSON brut, nettoie et normalise les données, puis mappe les champs extraits à leurs attributs UDM correspondants, en enrichissant les données avec des types d'événements spécifiques en fonction de l'activité identifiée.

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous de disposer d'un accès privilégié à Fortra Digital Guardian DLP.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.
3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec les droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Ressources d'installation supplémentaires

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez au fichier de configuration :

   1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: DIGITALGUARDIAN_DLP
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

4. Remplacez <customer_id> par le numéro client réel.

5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer l'exportation Syslog Fortra Digital Guardian

1. Connectez-vous à la console de gestion Digital Guardian.
2. Accédez à Workspace > Exportation de données > Créer une exportation.
3. Sélectionnez Alertes ou Événements comme source de données dans la liste Sources de données.
4. Sélectionnez Syslog comme type d'exportation.

5. Dans la liste Type, sélectionnez UDP (vous pouvez également sélectionner TCP comme protocole de transport, en fonction de votre configuration Bindplane).

6. Sous le champ Serveur, saisissez l'adresse IP de l'agent Bindplane.

7. Dans le champ Port, saisissez 514 (vous pouvez indiquer un autre port en fonction de la configuration de votre agent Bindplane).

8. Sélectionnez un niveau de gravité dans la liste Niveau de gravité.

9. Cochez la case Is Active (Est actif).

10. Cliquez sur Suivant.

11. Dans la liste des champs disponibles, ajoutez tous les champs Alerte et Événement pour l'exportation des données.

12. Sélectionnez Critères pour les champs de votre exportation de données.

13. Cliquez sur Suivant.

14. Sélectionnez un groupe pour les critères.

15. Cliquez sur Suivant.

16. Cliquez sur Tester la requête.

17. Cliquez sur Suivant.

18. Cliquez sur Enregistrer.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.