Recolha registos da DLP do Fortra Digital Guardian

Este documento explica como recolher registos de DLP do Fortra Digital Guardian para o Google Security Operations através de um agente do Bindplane. O código do analisador transforma os registos formatados JSON não processados num modelo de dados unificado (UDM). Primeiro, extrai campos do JSON não processado, realiza a limpeza e a normalização dos dados e, em seguida, mapeia os campos extraídos para os respetivos atributos do MDUs, enriquecendo os dados com tipos de eventos específicos com base na atividade identificada.

Antes de começar

• Certifique-se de que tem uma instância do Google Security Operations.
• Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
• Certifique-se de que tem acesso privilegiado ao Fortra Digital Guardian DLP.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:

   1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: DIGITALGUARDIAN_DLP
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID de cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure a exportação do Syslog do Fortra Digital Guardian

1. Inicie sessão na Digital Guardian Management Console.
2. Aceda a Workspace > Exportação de dados > Criar exportação.
3. Selecione Alertas ou Eventos como origem de dados na lista Origens de dados.
4. Selecione Syslog como o tipo de exportação.

5. Na lista Tipo, selecione UDP (também pode selecionar TCP como protocolo de transporte, consoante a configuração do Bindplane).

6. No campo Servidor, introduza o endereço IP do agente do Bindplane.

7. No campo Porta, introduza 514 (pode indicar outra porta, consoante a configuração do agente Bindplane).

8. Selecione um nível de gravidade na lista Nível de gravidade.

9. Selecione a caixa de verificação Is Active (Está ativo).

10. Clicar em Seguinte.

11. Na lista de campos disponíveis, adicione Todos os campos de alertas e eventos para a exportação de dados.

12. Selecione Critérios para os campos na exportação de dados.

13. Clicar em Seguinte.

14. Selecione um Grupo para os critérios.

15. Clicar em Seguinte.

16. Clique em Testar consulta.

17. Clicar em Seguinte.

18. Clique em Guardar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.