Fortra Digital Guardian DLP ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Fortra Digital Guardian DLP ログを Google Security Operations に収集する方法について説明します。パーサーコードは、未加工の JSON 形式のログを統合データモデル(UDM)に変換します。まず、未加工の JSON からフィールドを抽出し、データのクリーニングと正規化を行います。次に、抽出されたフィールドを対応する UDM 属性にマッピングし、特定されたアクティビティに基づいて特定のイベントタイプでデータを拡充します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Fortra Digital Guardian DLP への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: DIGITALGUARDIAN_DLP raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Fortra Digital Guardian Syslog Export を構成する
- Digital Guardian Management Console にログインします。
- [Workspace] > [Data Export] > [Create Export] に移動します。
- [データソース] リストから、データソースとして [アラート] または [イベント] を選択します。
- [エクスポート タイプ] として [Syslog] を選択します。
[タイプ] リストから [UDP] を選択します(Bindplane の構成に応じて、トランスポート プロトコルとして TCP を選択することもできます)。
[サーバー] フィールドに、Bindplane エージェントの IP アドレスを入力します。
[ポート] フィールドに
514を入力します(Bindplane エージェントの構成に応じて、別のポートを指定することもできます)。[Severity Level] リストから重大度レベルを選択します。
[有効] チェックボックスをオンにします。
[次へ] をクリックします。
使用可能なフィールドのリストから、データ エクスポート用のすべてのアラート フィールドとイベント フィールドを追加します。
データ エクスポートのフィールドで [条件] を選択します。
[次へ] をクリックします。
条件の [グループ] を選択します。
[次へ] をクリックします。
[クエリをテスト] をクリックします。
[次へ] をクリックします。
[保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| エージェントのバージョン | observer.platform_version | 未加工ログのフィールド Agent Version から直接マッピングされます。 |
| アプリケーション | principal.process.command_line | 空でない場合、未加工ログのフィールド Application から直接マッピングされます。 |
| コマンドライン | target.process.command_line | 未加工ログのフィールド Command Line から直接マッピングされます。 |
| 会社名 | principal.user.company_name | 未加工ログのフィールド Company Name から直接マッピングされます。 |
| コンピュータ名 | principal.hostname | 未加工ログのフィールド Computer Name から直接マッピングされます。 |
| DNS ホスト名 | target.asset.hostname | 未加工ログのフィールド DNS Hostname から直接マッピングされます。 |
| 移行先のドライブの種類 | about.labels.value | 未加工ログのフィールド Destination Drive Type から直接マッピングされます。対応するキーは Destination Drive Type に設定されます。 |
| 宛先のファイル拡張子 | target.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Destination File Extension から直接マッピングされます。 |
| 宛先ファイルパス | target.file.full_path | 未加工ログのフィールド Destination File Path から直接マッピングされます。 |
| デバイス GUID | src.resource.id | 未加工ログのフィールド Device GUID から、接頭辞 GUID: を付けてマッピングされます。 |
| メールの差出人 | network.email.from | 空でない場合、未加工ログのフィールド Email Sender から直接マッピングされます。 |
| メールの件名 | network.email.subject | Email Sender が空でない場合、未加工ログのフィールド Email Subject から直接マッピングされます。 |
| イベントの表示名 | target.resource.type | 未加工ログのフィールド Event Display Name から直接マッピングされます。 |
| イベント期間 | metadata.event_timestamp.seconds | 形式 yyyy-MM-dd HH:mm:ss A と TIMESTAMP_ISO8601 を使用して、未加工ログのフィールド Event Time からタイムスタンプに変換されます。 |
| ファイルの説明 | metadata.description | 未加工ログのフィールド File Description から直接マッピングされます。 |
| ファイルサイズ | about.labels.value | 未加工ログのフィールド File Size から直接マッピングされます。対応するキーは File Size に設定されます。 |
| ファイル バージョン | about.labels.value | 未加工ログのフィールド File Version から直接マッピングされます。対応するキーは File Version に設定されます。 |
| IP アドレス | principal.ip | Source IP Address が空の場合、未加工ログのフィールド IP Address から直接マッピングされます。 |
| ローカルポート | principal.port | 空でない場合、未加工ログのフィールド Local Port から直接マッピングされ、整数に変換されます。 |
| MAC アドレス | target.mac | 空でない場合、未加工ログのフィールド MAC Address から直接マッピングされます。 |
| マシン ID | principal.asset.asset_id | 未加工ログのフィールド Machine ID から、接頭辞 MachineId: を付けてマッピングされます。 |
| マシンタイプ | principal.asset.category | 未加工ログのフィールド Machine Type から直接マッピングされます。 |
| MD5 ハッシュ | target.process.file.md5 | 未加工ログの MD5 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| ネットワークの方向 | network.direction | 未加工ログのフィールド Network Direction からマッピングされます。Inbound の場合は、INBOUND に設定します。Outbound の場合は、OUTBOUND に設定。 |
| オペレーション タイプ | security_result.action_details | 未加工ログのフィールド Operation Type から直接マッピングされます。 |
| 親アプリケーション | principal.process.parent_process.command_line | 空でない場合、未加工ログのフィールド Parent Application から直接マッピングされます。 |
| 親 MD5 ハッシュ | target.process.parent_process.file.md5 | 16 進数の文字列パターンと一致する場合、小文字に変換された後、未加工ログの Parent MD5 Hash フィールドから直接マッピングされます。 |
| プロセス ドメイン | target.administrative_domain | 未加工ログのフィールド Process Domain から直接マッピングされます。 |
| Process File Extension | target.process.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Process File Extension から直接マッピングされます。 |
| プロセスのパス | target.process.file.full_path | 未加工ログのフィールド Process Path から直接マッピングされます。 |
| プロセス PID | principal.process.pid | 未加工ログの Process PID フィールドから直接マッピングされ、文字列に変換されます。 |
| プロダクト名 | metadata.product_name | 未加工ログのフィールド Product Name から直接マッピングされます。 |
| プロダクト バージョン | metadata.product_version | 未加工ログのフィールド Product Version から直接マッピングされます。 |
| プロトコル | network.application_protocol | HTTP または HTTPS の場合は、HTTPS に設定。 |
| プリンタ名 | src.resource.name | 未加工ログのフィールド Printer Name から直接マッピングされます。 |
| リモートポート | target.port | 空でない場合、未加工ログのフィールド Remote Port から直接マッピングされ、整数に変換されます。 |
| SHA1 ハッシュ | target.process.file.sha1 | 未加工ログの SHA1 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| SHA256 ハッシュ | target.process.file.sha256 | 未加工ログの SHA256 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| 署名発行者 | network.tls.server.certificate.issuer | 未加工ログのフィールド Signature Issuer から直接マッピングされます。 |
| 署名のサブジェクト | network.tls.server.certificate.subject | 未加工ログのフィールド Signature Subject から直接マッピングされます。 |
| ソース ファイルの拡張子 | src.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Source File Extension から直接マッピングされます。 |
| ソース ファイルパス | src.file.full_path | 未加工ログのフィールド Source File Path から直接マッピングされます。 |
| 送信元 IP アドレス | principal.ip | 空でない場合、未加工ログのフィールド Source IP Address から直接マッピングされます。 |
| 合計サイズ | about.labels.value | 未加工ログのフィールド Total Size から直接マッピングされます。対応するキーは Total Size に設定されます。 |
| URL パス | target.url | 未加工ログのフィールド URL Path から直接マッピングされます。 |
| 一意の ID | metadata.product_log_id | 未加工ログのフィールド Unique ID から直接マッピングされます。 |
| ユーザー | principal.user.userid | 未加工ログのフィールド User から直接マッピングされます。 |
| Was Detail Blocked | security_result.action | Yes の場合は、BLOCK に設定します。No の場合は、ALLOW に設定。 |
| dg_dst_dev.dev_prdname | target.asset.hardware.model | 未加工ログのフィールド dg_dst_dev.dev_prdname から直接マッピングされます。 |
| dg_dst_dev.dev_sernum | target.asset.hardware.serial_number | 未加工ログのフィールド dg_dst_dev.dev_sernum から直接マッピングされます。 |
| dg_recipients.uad_mr | network.email.to | メールアドレスのパターンと一致する場合、未加工ログのフィールド dg_recipients.uad_mr から直接マッピングされます。 |
| dg_src_dev.dev_prdname | principal.asset.hardware.model | 未加工ログのフィールド dg_src_dev.dev_prdname から直接マッピングされます。 |
| dg_src_dev.dev_sernum | principal.asset.hardware.serial_number | 未加工ログのフィールド dg_src_dev.dev_sernum から直接マッピングされます。 |
| metadata.event_type | metadata.event_type | 最初は GENERIC_EVENT に設定します。特定の条件に基づいて変更: - NETWORK_HTTP: ホスト名、HTTP/HTTPS プロトコル、MAC アドレスが存在する場合。- FILE_COPY: 宛先とソースのファイルパスが存在し、Operation Type が File Copy の場合。- FILE_MOVE: 宛先とソースのファイルパスが存在し、Operation Type が File Move の場合。- FILE_UNCATEGORIZED: 宛先ファイルパス、プロセスパス/コマンドラインが存在し、Operation Type に File が含まれている場合。- USER_LOGOUT: ユーザー ID が存在し、Operation Type に Logoff が含まれている場合。- USER_LOGIN: ユーザー ID が存在し、Operation Type に Logon が含まれている場合。- NETWORK_UNCATEGORIZED: プロセス パス/コマンドライン、プロセス ID、アウトバウンド ネットワークの方向、MAC アドレスが存在する場合。- SCAN_PROCESS: プロセスのパス/コマンドラインとプロセス ID が存在する場合。- PROCESS_UNCATEGORIZED: プロセスのパスまたはコマンドラインが存在する場合。 |
| metadata.log_type | metadata.log_type | DIGITALGUARDIAN_DLP に設定します。 |
| metadata.product_log_id | metadata.product_log_id | 未加工ログのフィールド Unique ID から直接マッピングされます。 |
| metadata.product_name | metadata.product_name | 未加工ログのフィールド Product Name から直接マッピングされます。 |
| metadata.product_version | metadata.product_version | 未加工ログのフィールド Product Version から直接マッピングされます。 |
| metadata.vendor_name | metadata.vendor_name | DigitalGuardian に設定します。 |
| network.application_protocol | network.application_protocol | Protocol が HTTP または HTTPS の場合、HTTPS に設定します。 |
| network.direction | network.direction | 未加工ログのフィールド Network Direction からマッピングされます。Inbound の場合は、INBOUND に設定します。Outbound の場合は、OUTBOUND に設定。 |
| network.email.from | network.email.from | 空でない場合、未加工ログのフィールド Email Sender から直接マッピングされます。 |
| network.email.subject | network.email.subject | Email Sender が空でない場合、未加工ログのフィールド Email Subject から直接マッピングされます。 |
| network.email.to | network.email.to | メールアドレスのパターンと一致する場合、未加工ログのフィールド dg_recipients.uad_mr から直接マッピングされます。 |
| network.tls.server.certificate.issuer | network.tls.server.certificate.issuer | 未加工ログのフィールド Signature Issuer から直接マッピングされます。 |
| network.tls.server.certificate.subject | network.tls.server.certificate.subject | 未加工ログのフィールド Signature Subject から直接マッピングされます。 |
| observer.platform_version | observer.platform_version | 未加工ログのフィールド Agent Version から直接マッピングされます。 |
| principal.asset.asset_id | principal.asset.asset_id | 未加工ログのフィールド Machine ID から、接頭辞 MachineId: を付けてマッピングされます。 |
| principal.asset.category | principal.asset.category | 未加工ログのフィールド Machine Type から直接マッピングされます。 |
| principal.asset.hardware.model | principal.asset.hardware.model | 未加工ログのフィールド dg_src_dev.dev_prdname から直接マッピングされます。 |
| principal.asset.hardware.serial_number | principal.asset.hardware.serial_number | 未加工ログのフィールド dg_src_dev.dev_sernum から直接マッピングされます。 |
| principal.hostname | principal.hostname | 未加工ログのフィールド Computer Name から直接マッピングされます。 |
| principal.ip | principal.ip | 空でない場合、未加工ログのフィールド Source IP Address から直接マッピングされます。それ以外の場合は、空でなければ IP Address からマッピングされます。 |
| principal.port | principal.port | 空でない場合、未加工ログのフィールド Local Port から直接マッピングされ、整数に変換されます。 |
| principal.process.command_line | principal.process.command_line | 空でない場合、未加工ログのフィールド Application から直接マッピングされます。 |
| principal.process.parent_process.command_line | principal.process.parent_process.command_line | 空でない場合、未加工ログのフィールド Parent Application から直接マッピングされます。 |
| principal.process.parent_process.file.md5 | principal.process.parent_process.file.md5 | 16 進数の文字列パターンと一致する場合、小文字に変換された後、未加工ログの Parent MD5 Hash フィールドから直接マッピングされます。 |
| principal.process.pid | principal.process.pid | 未加工ログの Process PID フィールドから直接マッピングされ、文字列に変換されます。 |
| principal.user.company_name | principal.user.company_name | 未加工ログのフィールド Company Name から直接マッピングされます。 |
| principal.user.userid | principal.user.userid | 未加工ログのフィールド User から直接マッピングされます。 |
| security_result.action | security_result.action | Was Detail Blocked が Yes の場合は、BLOCK に設定します。Was Detail Blocked が No の場合は、ALLOW に設定します。 |
| security_result.action_details | security_result.action_details | 未加工ログのフィールド Operation Type から直接マッピングされます。 |
| src.file.full_path | src.file.full_path | 未加工ログのフィールド Source File Path から直接マッピングされます。 |
| src.file.mime_type | src.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Source File Extension から直接マッピングされます。 |
| src.resource.id | src.resource.id | 未加工ログのフィールド Device GUID から、接頭辞 GUID: を付けてマッピングされます。 |
| src.resource.name | src.resource.name | 未加工ログのフィールド Printer Name から直接マッピングされます。 |
| target.administrative_domain | target.administrative_domain | 未加工ログのフィールド Process Domain から直接マッピングされます。 |
| target.asset.hardware.model | target.asset.hardware.model | 未加工ログのフィールド dg_dst_dev.dev_prdname から直接マッピングされます。 |
| target.asset.hardware.serial_number | target.asset.hardware.serial_number | 未加工ログのフィールド dg_dst_dev.dev_sernum から直接マッピングされます。 |
| target.asset.hostname | target.asset.hostname | 未加工ログのフィールド DNS Hostname から直接マッピングされます。 |
| target.asset.product_object_id | target.asset.product_object_id | 未加工ログのフィールド Adapter Name から直接マッピングされます。 |
| target.file.full_path | target.file.full_path | 未加工ログのフィールド Destination File Path から直接マッピングされます。 |
| target.file.mime_type | target.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Destination File Extension から直接マッピングされます。 |
| target.mac | target.mac | 空でない場合、未加工ログのフィールド MAC Address から直接マッピングされます。 |
| target.port | target.port | 空でない場合、未加工ログのフィールド Remote Port から直接マッピングされ、整数に変換されます。 |
| target.process.command_line | target.process.command_line | 未加工ログのフィールド Command Line から直接マッピングされます。 |
| target.process.file.full_path | target.process.file.full_path | 未加工ログのフィールド Process Path から直接マッピングされます。 |
| target.process.file.md5 | target.process.file.md5 | 未加工ログの MD5 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| target.process.file.mime_type | target.process.file.mime_type | no extension または [no extension] でない場合、未加工ログのフィールド Process File Extension から直接マッピングされます。 |
| target.process.file.sha1 | target.process.file.sha1 | 未加工ログの SHA1 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| target.process.file.sha256 | target.process.file.sha256 | 未加工ログの SHA256 Hash フィールドから直接マッピングされ、小文字に変換されます。 |
| target.process.parent_process.command_line | target.process.parent_process.command_line | 空でない場合、未加工ログのフィールド Parent Application から直接マッピングされます。 |
| target.process.parent_process.file.md5 | target.process.parent_process.file.md5 | 16 進数の文字列パターンと一致する場合、小文字に変換された後、未加工ログの Parent MD5 Hash フィールドから直接マッピングされます。 |
| target.resource.type | target.resource.type | 未加工ログのフィールド Event Display Name から直接マッピングされます。 |
| target.url | target.url | 未加工ログのフィールド URL Path から直接マッピングされます。 |
| extensions.auth.type | extensions.auth.type | Operation Type が User Logoff または User Logon の場合、AUTHTYPE_UNSPECIFIED に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。