Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log DLP Fortra Digital Guardian

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log DLP Fortra Digital Guardian ke Google Security Operations menggunakan agen Bindplane. Kode parser mengubah log berformat JSON mentah menjadi model data terpadu (UDM). Pertama-tama, kolom diekstrak dari JSON mentah, lalu dilakukan pembersihan dan normalisasi data, kemudian kolom yang diekstrak dipetakan ke atribut UDM yang sesuai, sehingga memperkaya data dengan jenis peristiwa tertentu berdasarkan aktivitas yang diidentifikasi.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Fortra Digital Guardian DLP.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DIGITALGUARDIAN_DLP
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Ekspor Syslog Fortra Digital Guardian

Login ke Konsol Pengelolaan Digital Guardian.
Buka Workspace > Ekspor Data > Buat Ekspor.
Pilih Pemberitahuan atau Peristiwa sebagai sumber data dari daftar Sumber Data.
Pilih Syslog sebagai Jenis Ekspor.
Dari daftar Jenis, pilih UDP (Anda juga dapat memilih TCP sebagai protokol transport, bergantung pada konfigurasi Bindplane Anda).

Catatan: Jika panjang peristiwa pemberitahuan Anda biasanya melebihi 1.024 byte, Anda dapat memilih TCP untuk mencegah peristiwa dipangkas.
Di kolom Server, masukkan alamat IP agen Bindplane.
Di kolom Port, masukkan 514 (Anda dapat memberikan port lain, bergantung pada konfigurasi agen Bindplane).
Pilih tingkat keparahan dari daftar Tingkat Keparahan.
Centang kotak Is Active.
Klik Berikutnya.
Dari daftar kolom yang tersedia, tambahkan kolom Pemberitahuan dan Peristiwa Semua untuk ekspor data.
Pilih Kriteria untuk kolom dalam ekspor data Anda.
Klik Berikutnya.
Pilih Grup untuk kriteria.
Klik Berikutnya.
Klik Test Query.
Klik Berikutnya.
Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
Versi Agen	observer.platform_version	Dipetakan langsung dari kolom log mentah `Agent Version`.
Aplikasi	principal.process.command_line	Dipetakan langsung dari kolom log mentah `Application` jika tidak kosong.
Command Line	target.process.command_line	Dipetakan langsung dari kolom log mentah `Command Line`.
Nama Perusahaan	principal.user.company_name	Dipetakan langsung dari kolom log mentah `Company Name`.
Nama Komputer	principal.hostname	Dipetakan langsung dari kolom log mentah `Computer Name`.
Nama Host DNS	target.asset.hostname	Dipetakan langsung dari kolom log mentah `DNS Hostname`.
Jenis Penggerak Tujuan	about.labels.value	Dipetakan langsung dari kolom log mentah `Destination Drive Type`. Kunci yang sesuai ditetapkan ke `Destination Drive Type`.
Ekstensi File Tujuan	target.file.mime_type	Dipetakan langsung dari kolom log mentah `Destination File Extension` jika bukan `no extension` atau `[no extension]`.
Jalur File Tujuan	target.file.full_path	Dipetakan langsung dari kolom log mentah `Destination File Path`.
GUID Perangkat	src.resource.id	Dipetakan dari kolom log mentah `Device GUID` dengan awalan `GUID:`.
Pengirim Email	network.email.from	Dipetakan langsung dari kolom log mentah `Email Sender` jika tidak kosong.
Subjek Email	network.email.subject	Dipetakan langsung dari kolom log mentah `Email Subject` jika `Email Sender` tidak kosong.
Nama Tampilan Peristiwa	target.resource.type	Dipetakan langsung dari kolom log mentah `Event Display Name`.
Waktu Peristiwa	metadata.event_timestamp.seconds	Dikonversi menjadi stempel waktu dari kolom log mentah `Event Time` menggunakan format `yyyy-MM-dd HH:mm:ss A` dan `TIMESTAMP_ISO8601`.
Deskripsi File	metadata.description	Dipetakan langsung dari kolom log mentah `File Description`.
Ukuran File	about.labels.value	Dipetakan langsung dari kolom log mentah `File Size`. Kunci yang sesuai ditetapkan ke `File Size`.
Versi File	about.labels.value	Dipetakan langsung dari kolom log mentah `File Version`. Kunci yang sesuai ditetapkan ke `File Version`.
Alamat IP	principal.ip	Dipetakan langsung dari kolom log mentah `IP Address` jika `Source IP Address` kosong.
Port Lokal	principal.port	Dipetakan langsung dari kolom log mentah `Local Port` jika tidak kosong dan dikonversi menjadi bilangan bulat.
Alamat MAC	target.mac	Dipetakan langsung dari kolom log mentah `MAC Address` jika tidak kosong.
ID Mesin	principal.asset.asset_id	Dipetakan dari kolom log mentah `Machine ID` dengan awalan `MachineId:`.
Jenis Mesin	principal.asset.category	Dipetakan langsung dari kolom log mentah `Machine Type`.
Hash MD5	target.process.file.md5	Dipetakan langsung dari kolom log mentah `MD5 Hash` setelah dikonversi menjadi huruf kecil.
Arah Jaringan	network.direction	Dipetakan dari kolom log mentah `Network Direction`. Jika `Inbound`, tetapkan ke `INBOUND`. Jika `Outbound`, tetapkan ke `OUTBOUND`.
Jenis Operasi	security_result.action_details	Dipetakan langsung dari kolom log mentah `Operation Type`.
Aplikasi Orang Tua	principal.process.parent_process.command_line	Dipetakan langsung dari kolom log mentah `Parent Application` jika tidak kosong.
Hash MD5 Induk	target.process.parent_process.file.md5	Dipetakan langsung dari kolom log mentah `Parent MD5 Hash` setelah dikonversi menjadi huruf kecil jika cocok dengan pola string heksadesimal.
Domain Proses	target.administrative_domain	Dipetakan langsung dari kolom log mentah `Process Domain`.
Ekstensi File Proses	target.process.file.mime_type	Dipetakan langsung dari kolom log mentah `Process File Extension` jika bukan `no extension` atau `[no extension]`.
Jalur Proses	target.process.file.full_path	Dipetakan langsung dari kolom log mentah `Process Path`.
PID Proses	principal.process.pid	Dipetakan langsung dari kolom log mentah `Process PID` setelah dikonversi menjadi string.
Nama Produk	metadata.product_name	Dipetakan langsung dari kolom log mentah `Product Name`.
Versi Produk	metadata.product_version	Dipetakan langsung dari kolom log mentah `Product Version`.
Protokol	network.application_protocol	Jika `HTTP` atau `HTTPS`, tetapkan ke `HTTPS`.
Nama Printer	src.resource.name	Dipetakan langsung dari kolom log mentah `Printer Name`.
Port Jarak Jauh	target.port	Dipetakan langsung dari kolom log mentah `Remote Port` jika tidak kosong dan dikonversi menjadi bilangan bulat.
Hash SHA1	target.process.file.sha1	Dipetakan langsung dari kolom log mentah `SHA1 Hash` setelah dikonversi menjadi huruf kecil.
Hash SHA256	target.process.file.sha256	Dipetakan langsung dari kolom log mentah `SHA256 Hash` setelah dikonversi menjadi huruf kecil.
Penerbit Tanda Tangan	network.tls.server.certificate.issuer	Dipetakan langsung dari kolom log mentah `Signature Issuer`.
Subjek Tanda Tangan	network.tls.server.certificate.subject	Dipetakan langsung dari kolom log mentah `Signature Subject`.
Ekstensi File Sumber	src.file.mime_type	Dipetakan langsung dari kolom log mentah `Source File Extension` jika bukan `no extension` atau `[no extension]`.
Jalur File Sumber	src.file.full_path	Dipetakan langsung dari kolom log mentah `Source File Path`.
Alamat IP Sumber	principal.ip	Dipetakan langsung dari kolom log mentah `Source IP Address` jika tidak kosong.
Total Ukuran	about.labels.value	Dipetakan langsung dari kolom log mentah `Total Size`. Kunci yang sesuai ditetapkan ke `Total Size`.
Jalur URL	target.url	Dipetakan langsung dari kolom log mentah `URL Path`.
ID unik	metadata.product_log_id	Dipetakan langsung dari kolom log mentah `Unique ID`.
Pengguna	principal.user.userid	Dipetakan langsung dari kolom log mentah `User`.
Detail Diblokir	security_result.action	Jika `Yes`, tetapkan ke `BLOCK`. Jika `No`, tetapkan ke `ALLOW`.
dg_dst_dev.dev_prdname	target.asset.hardware.model	Dipetakan langsung dari kolom log mentah `dg_dst_dev.dev_prdname`.
dg_dst_dev.dev_sernum	target.asset.hardware.serial_number	Dipetakan langsung dari kolom log mentah `dg_dst_dev.dev_sernum`.
dg_recipients.uad_mr	network.email.to	Dipetakan langsung dari kolom log mentah `dg_recipients.uad_mr` jika cocok dengan pola alamat email.
dg_src_dev.dev_prdname	principal.asset.hardware.model	Dipetakan langsung dari kolom log mentah `dg_src_dev.dev_prdname`.
dg_src_dev.dev_sernum	principal.asset.hardware.serial_number	Dipetakan langsung dari kolom log mentah `dg_src_dev.dev_sernum`.
metadata.event_type	metadata.event_type	Awalnya ditetapkan ke `GENERIC_EVENT`. Berubah berdasarkan kondisi tertentu: - `NETWORK_HTTP`: jika nama host, protokol HTTP/HTTPS, dan alamat MAC ada. - `FILE_COPY`: jika jalur file tujuan dan sumber ada dan `Operation Type` adalah `File Copy`. - `FILE_MOVE`: jika jalur file tujuan dan sumber ada dan `Operation Type` adalah `File Move`. - `FILE_UNCATEGORIZED`: jika jalur file tujuan, jalur/command line proses ada, dan `Operation Type` berisi `File`. - `USER_LOGOUT`: jika ID pengguna ada dan `Operation Type` berisi `Logoff`. - `USER_LOGIN`: jika ID pengguna ada dan `Operation Type` berisi `Logon`. - `NETWORK_UNCATEGORIZED`: jika jalur proses/command line, ID proses, arah jaringan keluar, dan alamat MAC ada. - `SCAN_PROCESS`: jika jalur/command line proses dan ID proses ada. - `PROCESS_UNCATEGORIZED`: jika jalur proses/command line ada.
metadata.log_type	metadata.log_type	Tetapkan ke `DIGITALGUARDIAN_DLP`.
metadata.product_log_id	metadata.product_log_id	Dipetakan langsung dari kolom log mentah `Unique ID`.
metadata.product_name	metadata.product_name	Dipetakan langsung dari kolom log mentah `Product Name`.
metadata.product_version	metadata.product_version	Dipetakan langsung dari kolom log mentah `Product Version`.
metadata.vendor_name	metadata.vendor_name	Tetapkan ke `DigitalGuardian`.
network.application_protocol	network.application_protocol	Tetapkan ke `HTTPS` jika `Protocol` adalah `HTTP` atau `HTTPS`.
network.direction	network.direction	Dipetakan dari kolom log mentah `Network Direction`. Jika `Inbound`, tetapkan ke `INBOUND`. Jika `Outbound`, tetapkan ke `OUTBOUND`.
network.email.from	network.email.from	Dipetakan langsung dari kolom log mentah `Email Sender` jika tidak kosong.
network.email.subject	network.email.subject	Dipetakan langsung dari kolom log mentah `Email Subject` jika `Email Sender` tidak kosong.
network.email.to	network.email.to	Dipetakan langsung dari kolom log mentah `dg_recipients.uad_mr` jika cocok dengan pola alamat email.
network.tls.server.certificate.issuer	network.tls.server.certificate.issuer	Dipetakan langsung dari kolom log mentah `Signature Issuer`.
network.tls.server.certificate.subject	network.tls.server.certificate.subject	Dipetakan langsung dari kolom log mentah `Signature Subject`.
observer.platform_version	observer.platform_version	Dipetakan langsung dari kolom log mentah `Agent Version`.
principal.asset.asset_id	principal.asset.asset_id	Dipetakan dari kolom log mentah `Machine ID` dengan awalan `MachineId:`.
principal.asset.category	principal.asset.category	Dipetakan langsung dari kolom log mentah `Machine Type`.
principal.asset.hardware.model	principal.asset.hardware.model	Dipetakan langsung dari kolom log mentah `dg_src_dev.dev_prdname`.
principal.asset.hardware.serial_number	principal.asset.hardware.serial_number	Dipetakan langsung dari kolom log mentah `dg_src_dev.dev_sernum`.
principal.hostname	principal.hostname	Dipetakan langsung dari kolom log mentah `Computer Name`.
principal.ip	principal.ip	Dipetakan langsung dari kolom log mentah `Source IP Address` jika tidak kosong. Jika tidak, dipetakan dari `IP Address` jika tidak kosong.
principal.port	principal.port	Dipetakan langsung dari kolom log mentah `Local Port` jika tidak kosong dan dikonversi menjadi bilangan bulat.
principal.process.command_line	principal.process.command_line	Dipetakan langsung dari kolom log mentah `Application` jika tidak kosong.
principal.process.parent_process.command_line	principal.process.parent_process.command_line	Dipetakan langsung dari kolom log mentah `Parent Application` jika tidak kosong.
principal.process.parent_process.file.md5	principal.process.parent_process.file.md5	Dipetakan langsung dari kolom log mentah `Parent MD5 Hash` setelah dikonversi menjadi huruf kecil jika cocok dengan pola string heksadesimal.
principal.process.pid	principal.process.pid	Dipetakan langsung dari kolom log mentah `Process PID` setelah dikonversi menjadi string.
principal.user.company_name	principal.user.company_name	Dipetakan langsung dari kolom log mentah `Company Name`.
principal.user.userid	principal.user.userid	Dipetakan langsung dari kolom log mentah `User`.
security_result.action	security_result.action	Jika `Was Detail Blocked` adalah `Yes`, tetapkan ke `BLOCK`. Jika `Was Detail Blocked` adalah `No`, tetapkan ke `ALLOW`.
security_result.action_details	security_result.action_details	Dipetakan langsung dari kolom log mentah `Operation Type`.
src.file.full_path	src.file.full_path	Dipetakan langsung dari kolom log mentah `Source File Path`.
src.file.mime_type	src.file.mime_type	Dipetakan langsung dari kolom log mentah `Source File Extension` jika bukan `no extension` atau `[no extension]`.
src.resource.id	src.resource.id	Dipetakan dari kolom log mentah `Device GUID` dengan awalan `GUID:`.
src.resource.name	src.resource.name	Dipetakan langsung dari kolom log mentah `Printer Name`.
target.administrative_domain	target.administrative_domain	Dipetakan langsung dari kolom log mentah `Process Domain`.
target.asset.hardware.model	target.asset.hardware.model	Dipetakan langsung dari kolom log mentah `dg_dst_dev.dev_prdname`.
target.asset.hardware.serial_number	target.asset.hardware.serial_number	Dipetakan langsung dari kolom log mentah `dg_dst_dev.dev_sernum`.
target.asset.hostname	target.asset.hostname	Dipetakan langsung dari kolom log mentah `DNS Hostname`.
target.asset.product_object_id	target.asset.product_object_id	Dipetakan langsung dari kolom log mentah `Adapter Name`.
target.file.full_path	target.file.full_path	Dipetakan langsung dari kolom log mentah `Destination File Path`.
target.file.mime_type	target.file.mime_type	Dipetakan langsung dari kolom log mentah `Destination File Extension` jika bukan `no extension` atau `[no extension]`.
target.mac	target.mac	Dipetakan langsung dari kolom log mentah `MAC Address` jika tidak kosong.
target.port	target.port	Dipetakan langsung dari kolom log mentah `Remote Port` jika tidak kosong dan dikonversi menjadi bilangan bulat.
target.process.command_line	target.process.command_line	Dipetakan langsung dari kolom log mentah `Command Line`.
target.process.file.full_path	target.process.file.full_path	Dipetakan langsung dari kolom log mentah `Process Path`.
target.process.file.md5	target.process.file.md5	Dipetakan langsung dari kolom log mentah `MD5 Hash` setelah dikonversi menjadi huruf kecil.
target.process.file.mime_type	target.process.file.mime_type	Dipetakan langsung dari kolom log mentah `Process File Extension` jika bukan `no extension` atau `[no extension]`.
target.process.file.sha1	target.process.file.sha1	Dipetakan langsung dari kolom log mentah `SHA1 Hash` setelah dikonversi menjadi huruf kecil.
target.process.file.sha256	target.process.file.sha256	Dipetakan langsung dari kolom log mentah `SHA256 Hash` setelah dikonversi menjadi huruf kecil.
target.process.parent_process.command_line	target.process.parent_process.command_line	Dipetakan langsung dari kolom log mentah `Parent Application` jika tidak kosong.
target.process.parent_process.file.md5	target.process.parent_process.file.md5	Dipetakan langsung dari kolom log mentah `Parent MD5 Hash` setelah dikonversi menjadi huruf kecil jika cocok dengan pola string heksadesimal.
target.resource.type	target.resource.type	Dipetakan langsung dari kolom log mentah `Event Display Name`.
target.url	target.url	Dipetakan langsung dari kolom log mentah `URL Path`.
extensions.auth.type	extensions.auth.type	Tetapkan ke `AUTHTYPE_UNSPECIFIED` jika `Operation Type` adalah `User Logoff` atau `User Logon`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.