Coletar registros do DLP do Forta Digital Guardian

Este documento explica como coletar registros de DLP do Forta Digital Guardian para as operações de segurança do Google usando um agente do Bindplane. O código do analisador transforma registros brutos formatados em JSON em um modelo de dados unificado (UDM). Primeiro, ele extrai campos do JSON bruto, realiza a limpeza e a normalização de dados e, em seguida, mapeia os campos extraídos para os atributos UDM correspondentes, enriquecendo os dados com tipos de eventos específicos com base na atividade identificada.

Antes de começar

• Verifique se você tem uma instância do Google Security Operations.
• Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Verifique se você tem acesso privilegiado ao DLP do Forta Digital Guardian.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: DIGITALGUARDIAN_DLP
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID real do cliente.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar a exportação de syslog do Forta Digital Guardian

1. Faça login no Console de Gerenciamento do Digital Guardian.
2. Acesse Espaço de trabalho > Exportação de dados > Criar exportação.
3. Selecione Alertas ou Eventos como a origem de dados na lista Origens de dados.
4. Selecione Syslog como o tipo de exportação.

5. Na Lista de tipos, selecione UDP. Você também pode selecionar TCP como protocolo de transporte, dependendo da configuração do Bindplane.

6. No campo Servidor, insira o endereço IP do agente do Bindplane.

7. No campo Port, insira 514. Você pode fornecer outra porta, dependendo da configuração do agente do Bindplane.

8. Selecione um nível de gravidade na lista Severity Level.

9. Marque a caixa de seleção Está ativo.

10. Clique em Próxima.

11. Na lista de campos disponíveis, adicione Todos os campos de alerta e evento para a exportação de dados.

12. Selecione Critérios para os campos na exportação de dados.

13. Clique em Próxima.

14. Selecione um grupo para os critérios.

15. Clique em Próxima.

16. Clique em Testar consulta.

17. Clique em Próxima.

18. Clique em Salvar.

Tabela de mapeamento do UDM

Alterações

2023-06-02

• O mapeamento do campo "dg_recipients.uad_mr" foi alterado de "src.user.email_addresses" para "network.email.to".

2022-11-30

• Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.