收集 Fortra Digital Guardian DLP 日志

支持的平台:

本文档介绍了如何使用 Bindplane 代理将 Fortra Digital Guardian DLP 日志收集到 Google 安全运营团队。解析器代码会将采用 JSON 格式的原始日志转换为统一数据模型 (UDM)。该工具首先从原始 JSON 中提取字段,执行数据清理和标准化,然后将提取的字段映射到相应的 UDM 属性,根据识别到的活动使用特定事件类型丰富数据。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了带有 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您对 Fortra Digital Guardian DLP 具有特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DIGITALGUARDIAN_DLP
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分中,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Fortra Digital Guardian Syslog Export

  1. 登录 Digital Guardian 管理控制台
  2. 依次选择 Workspace > 数据导出 > 创建导出作业
  3. 数据源列表中选择提醒事件作为数据源。
  4. 选择 Syslog 作为导出类型。

  5. 类型列表中,选择 UDP(您也可以选择 TCP 作为传输协议,具体取决于您的绑定层配置)。

  6. Server 字段下,输入 Bindplane 代理 IP 地址。

  7. 端口字段中,输入 514(您可以提供其他端口,具体取决于您的 Bindplane 代理配置)。

  8. Severity Level 列表中选择严重程度。

  9. 选中有效复选框。

  10. 点击下一步

  11. 从可用字段列表中,为数据导出添加所有提醒和事件字段。

  12. 为要导出的数据中的字段选择条件

  13. 点击下一步

  14. 为条件选择一个

  15. 点击下一步

  16. 点击测试查询

  17. 点击下一步

  18. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
代理版本 observer.platform_version 直接从原始日志字段 Agent Version 映射。
应用 principal.process.command_line 直接从原始日志字段 Application 映射(如果不为空)。
命令行 target.process.command_line 直接从原始日志字段 Command Line 映射。
公司名称 principal.user.company_name 直接从原始日志字段 Company Name 映射。
计算机名称 principal.hostname 直接从原始日志字段 Computer Name 映射。
DNS 主机名 target.asset.hostname 直接从原始日志字段 DNS Hostname 映射。
目标驱动器类型 about.labels.value 直接从原始日志字段 Destination Drive Type 映射而来。对应的键设置为 Destination Drive Type
目标文件扩展名 target.file.mime_type 如果原始日志字段 Destination File Extension 不是 no extension[no extension],则直接从该字段映射。
目标文件路径 target.file.full_path 直接从原始日志字段 Destination File Path 映射。
设备 GUID src.resource.id 从前缀为 GUID: 的原始日志字段 Device GUID 映射而来。
电子邮件发件人 network.email.from 直接从原始日志字段 Email Sender 映射(如果不为空)。
电子邮件主题 network.email.subject 如果 Email Sender 不为空,则直接从原始日志字段 Email Subject 映射。
活动显示名称 target.resource.type 直接从原始日志字段 Event Display Name 映射。
事件时间 metadata.event_timestamp.seconds 使用格式 yyyy-MM-dd HH:mm:ss ATIMESTAMP_ISO8601 将原始日志字段 Event Time 转换为时间戳。
文件说明 metadata.description 直接从原始日志字段 File Description 映射。
文件大小 about.labels.value 直接从原始日志字段 File Size 映射而来。对应的键设置为 File Size
文件版本 about.labels.value 直接从原始日志字段 File Version 映射而来。对应的键设置为 File Version
IP 地址 principal.ip 如果 Source IP Address 为空,则直接从原始日志字段 IP Address 映射。
本地端口 principal.port 直接从原始日志字段 Local Port 映射(如果不为空),并转换为整数。
MAC 地址 target.mac 直接从原始日志字段 MAC Address 映射(如果不为空)。
机器 ID principal.asset.asset_id 从前缀为 MachineId: 的原始日志字段 Machine ID 映射而来。
机器类型 principal.asset.category 直接从原始日志字段 Machine Type 映射。
MD5 哈希 target.process.file.md5 从原始日志字段 MD5 Hash 转换为小写后直接映射。
网络方向 network.direction 从原始日志字段 Network Direction 映射而来。如果为 Inbound,则设置为 INBOUND。如果为 Outbound,则设置为 OUTBOUND
操作类型 security_result.action_details 直接从原始日志字段 Operation Type 映射。
父级应用 principal.process.parent_process.command_line 直接从原始日志字段 Parent Application 映射(如果不为空)。
父级 MD5 哈希 target.process.parent_process.file.md5 如果原始日志字段 Parent MD5 Hash 与十六进制字符串模式匹配,则直接从该字段转换为小写后映射。
进程网域 target.administrative_domain 直接从原始日志字段 Process Domain 映射。
处理文件扩展名 target.process.file.mime_type 如果原始日志字段 Process File Extension 不是 no extension[no extension],则直接从该字段映射。
进程路径 target.process.file.full_path 直接从原始日志字段 Process Path 映射。
进程 PID principal.process.pid 转换为字符串后,直接从原始日志字段 Process PID 映射。
产品名称 metadata.product_name 直接从原始日志字段 Product Name 映射。
产品版本 metadata.product_version 直接从原始日志字段 Product Version 映射。
协议 network.application_protocol 如果为 HTTPHTTPS,则设置为 HTTPS
打印机名称 src.resource.name 直接从原始日志字段 Printer Name 映射。
远程端口 target.port 直接从原始日志字段 Remote Port 映射(如果不为空),并转换为整数。
SHA1 哈希 target.process.file.sha1 从原始日志字段 SHA1 Hash 转换为小写后直接映射。
SHA256 哈希 target.process.file.sha256 从原始日志字段 SHA256 Hash 转换为小写后直接映射。
签名颁发者 network.tls.server.certificate.issuer 直接从原始日志字段 Signature Issuer 映射。
签名主题 network.tls.server.certificate.subject 直接从原始日志字段 Signature Subject 映射。
源文件扩展名 src.file.mime_type 如果原始日志字段 Source File Extension 不是 no extension[no extension],则直接从该字段映射。
源文件路径 src.file.full_path 直接从原始日志字段 Source File Path 映射。
来源 IP 地址 principal.ip 直接从原始日志字段 Source IP Address 映射(如果不为空)。
总大小 about.labels.value 直接从原始日志字段 Total Size 映射而来。对应的键设置为 Total Size
网址路径 target.url 直接从原始日志字段 URL Path 映射。
唯一 ID metadata.product_log_id 直接从原始日志字段 Unique ID 映射。
用户 principal.user.userid 直接从原始日志字段 User 映射。
详细信息是否被屏蔽 security_result.action 如果为 Yes,则设置为 BLOCK。如果为 No,则设置为 ALLOW
dg_dst_dev.dev_prdname target.asset.hardware.model 直接从原始日志字段 dg_dst_dev.dev_prdname 映射。
dg_dst_dev.dev_sernum target.asset.hardware.serial_number 直接从原始日志字段 dg_dst_dev.dev_sernum 映射。
dg_recipients.uad_mr network.email.to 如果原始日志字段 dg_recipients.uad_mr 与电子邮件地址模式匹配,则直接从该字段映射。
dg_src_dev.dev_prdname principal.asset.hardware.model 直接从原始日志字段 dg_src_dev.dev_prdname 映射。
dg_src_dev.dev_sernum principal.asset.hardware.serial_number 直接从原始日志字段 dg_src_dev.dev_sernum 映射。
metadata.event_type metadata.event_type 初始设置为 GENERIC_EVENT。会根据具体条件而发生变化:
- NETWORK_HTTP:如果存在主机名、HTTP/HTTPS 协议和 MAC 地址。
- FILE_COPY:如果目标文件路径和源文件路径存在且 Operation TypeFile Copy
- FILE_MOVE:如果目标文件路径和源文件路径存在且 Operation TypeFile Move
- FILE_UNCATEGORIZED:如果目标文件路径、进程路径/命令行存在,并且 Operation Type 包含 File
- USER_LOGOUT:如果用户 ID 存在且 Operation Type 包含 Logoff
- USER_LOGIN:如果用户 ID 存在且 Operation Type 包含 Logon
- NETWORK_UNCATEGORIZED:如果存在进程路径/命令行、进程 ID、出站网络方向和 MAC 地址。
- SCAN_PROCESS:如果存在进程路径/命令行和进程 ID。
- PROCESS_UNCATEGORIZED:进程路径/命令行是否存在。
metadata.log_type metadata.log_type 设置为 DIGITALGUARDIAN_DLP
metadata.product_log_id metadata.product_log_id 直接从原始日志字段 Unique ID 映射。
metadata.product_name metadata.product_name 直接从原始日志字段 Product Name 映射。
metadata.product_version metadata.product_version 直接从原始日志字段 Product Version 映射。
metadata.vendor_name metadata.vendor_name 设置为 DigitalGuardian
network.application_protocol network.application_protocol 如果 ProtocolHTTPHTTPS,则设置为 HTTPS
network.direction network.direction 从原始日志字段 Network Direction 映射而来。如果为 Inbound,则设置为 INBOUND。如果为 Outbound,则设置为 OUTBOUND
network.email.from network.email.from 直接从原始日志字段 Email Sender 映射(如果不为空)。
network.email.subject network.email.subject 如果 Email Sender 不为空,则直接从原始日志字段 Email Subject 映射。
network.email.to network.email.to 如果原始日志字段 dg_recipients.uad_mr 与电子邮件地址模式匹配,则直接从该字段映射。
network.tls.server.certificate.issuer network.tls.server.certificate.issuer 直接从原始日志字段 Signature Issuer 映射。
network.tls.server.certificate.subject network.tls.server.certificate.subject 直接从原始日志字段 Signature Subject 映射。
observer.platform_version observer.platform_version 直接从原始日志字段 Agent Version 映射。
principal.asset.asset_id principal.asset.asset_id 从前缀为 MachineId: 的原始日志字段 Machine ID 映射而来。
principal.asset.category principal.asset.category 直接从原始日志字段 Machine Type 映射。
principal.asset.hardware.model principal.asset.hardware.model 直接从原始日志字段 dg_src_dev.dev_prdname 映射。
principal.asset.hardware.serial_number principal.asset.hardware.serial_number 直接从原始日志字段 dg_src_dev.dev_sernum 映射。
principal.hostname principal.hostname 直接从原始日志字段 Computer Name 映射。
principal.ip principal.ip 直接从原始日志字段 Source IP Address 映射(如果不为空)。否则,从 IP Address 映射(如果不为空)。
principal.port principal.port 直接从原始日志字段 Local Port 映射(如果不为空),并转换为整数。
principal.process.command_line principal.process.command_line 直接从原始日志字段 Application 映射(如果不为空)。
principal.process.parent_process.command_line principal.process.parent_process.command_line 直接从原始日志字段 Parent Application 映射(如果不为空)。
principal.process.parent_process.file.md5 principal.process.parent_process.file.md5 如果原始日志字段 Parent MD5 Hash 与十六进制字符串模式匹配,则直接从该字段转换为小写后映射。
principal.process.pid principal.process.pid 转换为字符串后,直接从原始日志字段 Process PID 映射。
principal.user.company_name principal.user.company_name 直接从原始日志字段 Company Name 映射。
principal.user.userid principal.user.userid 直接从原始日志字段 User 映射。
security_result.action security_result.action 如果 Was Detail BlockedYes,请设置为 BLOCK。如果 Was Detail BlockedNo,请设置为 ALLOW
security_result.action_details security_result.action_details 直接从原始日志字段 Operation Type 映射。
src.file.full_path src.file.full_path 直接从原始日志字段 Source File Path 映射。
src.file.mime_type src.file.mime_type 如果原始日志字段 Source File Extension 不是 no extension[no extension],则直接从该字段映射。
src.resource.id src.resource.id 从前缀为 GUID: 的原始日志字段 Device GUID 映射而来。
src.resource.name src.resource.name 直接从原始日志字段 Printer Name 映射。
target.administrative_domain target.administrative_domain 直接从原始日志字段 Process Domain 映射。
target.asset.hardware.model target.asset.hardware.model 直接从原始日志字段 dg_dst_dev.dev_prdname 映射。
target.asset.hardware.serial_number target.asset.hardware.serial_number 直接从原始日志字段 dg_dst_dev.dev_sernum 映射。
target.asset.hostname target.asset.hostname 直接从原始日志字段 DNS Hostname 映射。
target.asset.product_object_id target.asset.product_object_id 直接从原始日志字段 Adapter Name 映射。
target.file.full_path target.file.full_path 直接从原始日志字段 Destination File Path 映射。
target.file.mime_type target.file.mime_type 如果原始日志字段 Destination File Extension 不是 no extension[no extension],则直接从该字段映射。
target.mac target.mac 直接从原始日志字段 MAC Address 映射(如果不为空)。
target.port target.port 直接从原始日志字段 Remote Port 映射(如果不为空),并转换为整数。
target.process.command_line target.process.command_line 直接从原始日志字段 Command Line 映射。
target.process.file.full_path target.process.file.full_path 直接从原始日志字段 Process Path 映射。
target.process.file.md5 target.process.file.md5 从原始日志字段 MD5 Hash 转换为小写后直接映射。
target.process.file.mime_type target.process.file.mime_type 如果原始日志字段 Process File Extension 不是 no extension[no extension],则直接从该字段映射。
target.process.file.sha1 target.process.file.sha1 从原始日志字段 SHA1 Hash 转换为小写后直接映射。
target.process.file.sha256 target.process.file.sha256 从原始日志字段 SHA256 Hash 转换为小写后直接映射。
target.process.parent_process.command_line target.process.parent_process.command_line 直接从原始日志字段 Parent Application 映射(如果不为空)。
target.process.parent_process.file.md5 target.process.parent_process.file.md5 如果原始日志字段 Parent MD5 Hash 与十六进制字符串模式匹配,则直接从该字段转换为小写后映射。
target.resource.type target.resource.type 直接从原始日志字段 Event Display Name 映射。
target.url target.url 直接从原始日志字段 URL Path 映射。
extensions.auth.type extensions.auth.type 如果 Operation TypeUser LogoffUser Logon,则设置为 AUTHTYPE_UNSPECIFIED

变化

2023-06-02

  • 将字段“dg_recipients.uad_mr”的映射从“src.user.email_addresses”更改为“network.email.to”。

2022-11-30

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。