Coletar registros de DLP do Fortra Digital Guardian

Este documento explica como coletar registros de DLP do Fortra Digital Guardian no Google Security Operations usando um agente do Bindplane. O código do analisador transforma registros brutos formatados em JSON em um modelo de dados unificado (UDM). Primeiro, ele extrai campos do JSON bruto, realiza limpeza e normalização de dados e mapeia os campos extraídos para os atributos correspondentes da UDM, enriquecendo os dados com tipos de eventos específicos com base na atividade identificada.

Antes de começar

• Verifique se você tem uma instância do Google Security Operations.
• Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Verifique se você tem acesso privilegiado ao Fortra Digital Guardian DLP.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: DIGITALGUARDIAN_DLP
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID do cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar a exportação do Syslog do Fortra Digital Guardian

1. Faça login no Digital Guardian Management Console (em inglês).
2. Acesse Workspace > Exportação de dados > Criar exportação.
3. Selecione Alertas ou Eventos como a origem de dados na lista Origens de dados.
4. Selecione Syslog como o tipo de exportação.

5. Na lista de tipos, selecione UDP. Também é possível selecionar TCP como o protocolo de transporte, dependendo da configuração do Bindplane.

6. No campo Servidor, insira o endereço IP do agente do Bindplane.

7. No campo Porta, insira 514. Você pode fornecer outra porta, dependendo da configuração do agente do Bindplane.

8. Selecione um nível de gravidade na lista Nível de gravidade.

9. Marque a caixa de seleção Está ativo.

10. Clique em Próxima.

11. Na lista de campos disponíveis, adicione todos os campos de Alerta e Evento para a exportação de dados.

12. Selecione Critérios para os campos na exportação de dados.

13. Clique em Próxima.

14. Selecione um grupo para o critério.

15. Clique em Próxima.

16. Clique em Testar consulta.

17. Clique em Próxima.

18. Clique em Salvar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.