收集 Fortra Digital Guardian DLP 記錄

支援的國家/地區:

本文說明如何使用 Bindplane 代理程式,將 Fortra Digital Guardian DLP 記錄收集至 Google Security Operations。剖析器程式碼會將原始 JSON 格式的記錄轉換為統一資料模型 (UDM)。系統會先從原始 JSON 擷取欄位,然後執行資料清理和正規化作業,再將擷取的欄位對應至相應的 UDM 屬性,並根據識別出的活動,以特定事件類型擴充資料。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您擁有 Fortra Digital Guardian DLP 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: DIGITALGUARDIAN_DLP
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

設定 Fortra Digital Guardian 系統記錄檔匯出功能

  1. 登入 Digital Guardian Management Console
  2. 依序前往「Workspace」「資料匯出」「建立匯出作業」
  3. 從「資料來源」清單中,選取「快訊」或「事件」做為資料來源。
  4. 選取「系統記錄」Syslog做為匯出類型。

  5. 從「類型」清單中選取「UDP」(您也可以根據 Bindplane 設定,選取 TCP 做為傳輸通訊協定)。

  6. 在「伺服器」欄位下方,輸入 Bindplane 代理程式 IP 位址。

  7. 在「Port」(通訊埠) 欄位中,輸入 514 (您可以根據 Bindplane 代理程式設定提供其他通訊埠)。

  8. 從「嚴重程度等級」清單中選取嚴重程度等級。

  9. 勾選「Is Active」核取方塊。

  10. 點選「下一步」

  11. 從可用欄位清單中,新增「所有」快訊和事件欄位,以匯出資料。

  12. 選取資料匯出中欄位的條件

  13. 點選「下一步」

  14. 選取條件的群組

  15. 點選「下一步」

  16. 按一下「測試查詢」

  17. 點選「下一步」

  18. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
代理程式版本 observer.platform_version 直接從原始記錄欄位對應 Agent Version
應用程式 principal.process.command_line 如果原始記錄欄位 Application 不為空白,則直接對應。
指令列 target.process.command_line 直接從原始記錄欄位對應 Command Line
公司名稱 principal.user.company_name 直接從原始記錄欄位對應 Company Name
電腦名稱 principal.hostname 直接從原始記錄欄位對應 Computer Name
DNS 主機名稱 target.asset.hostname 直接從原始記錄欄位對應 DNS Hostname
目的地磁碟機類型 about.labels.value 直接從原始記錄欄位對應 Destination Drive Type。對應的鍵已設為 Destination Drive Type
目的地副檔名 target.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Destination File Extension 對應。
目的地檔案路徑 target.file.full_path 直接從原始記錄欄位對應 Destination File Path
裝置 GUID src.resource.id 從前置字串為 GUID: 的原始記錄欄位 Device GUID 對應而來。
電子郵件寄件者 network.email.from 如果原始記錄欄位 Email Sender 不為空白,則直接對應。
電子郵件主旨 network.email.subject 如果 Email Sender 不為空白,則直接從原始記錄欄位 Email Subject 對應。
活動顯示名稱 target.resource.type 直接從原始記錄欄位對應 Event Display Name
事件時間 metadata.event_timestamp.seconds 使用 yyyy-MM-dd HH:mm:ss ATIMESTAMP_ISO8601 格式,從原始記錄欄位 Event Time 轉換為時間戳記。
檔案說明 metadata.description 直接從原始記錄欄位對應 File Description
檔案大小 about.labels.value 直接從原始記錄欄位對應 File Size。對應的鍵已設為 File Size
檔案版本 about.labels.value 直接從原始記錄欄位對應 File Version。對應的鍵已設為 File Version
IP 位址 principal.ip 如果 Source IP Address 為空,則直接從原始記錄欄位 IP Address 對應。
本機通訊埠 principal.port 如果原始記錄欄位 Local Port 不為空,則直接對應,並轉換為整數。
MAC 位址 target.mac 如果原始記錄欄位 MAC Address 不為空白,則直接對應。
機器 ID principal.asset.asset_id 從前置字串為 MachineId: 的原始記錄欄位 Machine ID 對應而來。
機器類型 principal.asset.category 直接從原始記錄欄位對應 Machine Type
MD5 雜湊 target.process.file.md5 轉換為小寫後,直接從原始記錄欄位 MD5 Hash 對應。
網路方向 network.direction 對應自原始記錄檔欄位 Network Direction。如果 Inbound,請設為 INBOUND。如果 Outbound,請設為 OUTBOUND
作業類型 security_result.action_details 直接從原始記錄欄位對應 Operation Type
上層應用程式 principal.process.parent_process.command_line 如果原始記錄欄位 Parent Application 不為空白,則直接對應。
父項 MD5 雜湊 target.process.parent_process.file.md5 直接從原始記錄欄位 Parent MD5 Hash 對應,並在符合十六進位字串模式時轉換為小寫。
程序網域 target.administrative_domain 直接從原始記錄欄位對應 Process Domain
處理檔案副檔名 target.process.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Process File Extension 對應。
處理路徑 target.process.file.full_path 直接從原始記錄欄位對應 Process Path
程序 PID principal.process.pid 轉換為字串後,直接從原始記錄欄位 Process PID 對應。
產品名稱 metadata.product_name 直接從原始記錄欄位對應 Product Name
產品版本 metadata.product_version 直接從原始記錄欄位對應 Product Version
通訊協定 network.application_protocol 如果 HTTPHTTPS,請設為 HTTPS
印表機名稱 src.resource.name 直接從原始記錄欄位對應 Printer Name
遠端通訊埠 target.port 如果原始記錄欄位 Remote Port 不為空,則直接對應,並轉換為整數。
SHA1 雜湊 target.process.file.sha1 轉換為小寫後,直接從原始記錄欄位 SHA1 Hash 對應。
SHA256 雜湊 target.process.file.sha256 轉換為小寫後,直接從原始記錄欄位 SHA256 Hash 對應。
簽章核發者 network.tls.server.certificate.issuer 直接從原始記錄欄位對應 Signature Issuer
簽名主題 network.tls.server.certificate.subject 直接從原始記錄欄位對應 Signature Subject
來源檔案副檔名 src.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Source File Extension 對應。
來源檔案路徑 src.file.full_path 直接從原始記錄欄位對應 Source File Path
來源 IP 位址 principal.ip 如果原始記錄欄位 Source IP Address 不為空白,則直接對應。
大小總計 about.labels.value 直接從原始記錄欄位對應 Total Size。對應的鍵已設為 Total Size
網址路徑 target.url 直接從原始記錄欄位對應 URL Path
專屬 ID metadata.product_log_id 直接從原始記錄欄位對應 Unique ID
使用者 principal.user.userid 直接從原始記錄欄位對應 User
詳細資料是否遭到封鎖 security_result.action 如果 Yes,請設為 BLOCK。如果 No,請設為 ALLOW
dg_dst_dev.dev_prdname target.asset.hardware.model 直接從原始記錄欄位對應 dg_dst_dev.dev_prdname
dg_dst_dev.dev_sernum target.asset.hardware.serial_number 直接從原始記錄欄位對應 dg_dst_dev.dev_sernum
dg_recipients.uad_mr network.email.to 如果符合電子郵件地址模式,則直接從原始記錄欄位 dg_recipients.uad_mr 對應。
dg_src_dev.dev_prdname principal.asset.hardware.model 直接從原始記錄欄位對應 dg_src_dev.dev_prdname
dg_src_dev.dev_sernum principal.asset.hardware.serial_number 直接從原始記錄欄位對應 dg_src_dev.dev_sernum
metadata.event_type metadata.event_type 一開始請設為 GENERIC_EVENT。根據特定條件變更:
- NETWORK_HTTP:如果主機名稱、HTTP/HTTPS 通訊協定和 MAC 位址存在,
- FILE_COPY:如果目的地和來源檔案路徑存在,且 Operation TypeFile Copy
- FILE_MOVE:如果目的地和來源檔案路徑存在,且 Operation TypeFile Move
- FILE_UNCATEGORIZED:如果目的地檔案路徑、程序路徑/指令列存在,且 Operation Type 包含 File
- USER_LOGOUT:如果使用者 ID 存在,且 Operation Type 包含 Logoff
- USER_LOGIN:如果使用者 ID 存在,且 Operation Type 包含 Logon
- NETWORK_UNCATEGORIZED:如果程序路徑/指令列、程序 ID、輸出網路方向和 MAC 位址存在,
- SCAN_PROCESS:如果程序路徑/指令列和程序 ID 存在,
- PROCESS_UNCATEGORIZED:如果程序路徑/指令列存在。
metadata.log_type metadata.log_type 設為 DIGITALGUARDIAN_DLP
metadata.product_log_id metadata.product_log_id 直接從原始記錄欄位對應 Unique ID
metadata.product_name metadata.product_name 直接從原始記錄欄位對應 Product Name
metadata.product_version metadata.product_version 直接從原始記錄欄位對應 Product Version
metadata.vendor_name metadata.vendor_name 設為 DigitalGuardian
network.application_protocol network.application_protocol 如果 ProtocolHTTPHTTPS,請設為 HTTPS
network.direction network.direction 對應自原始記錄檔欄位 Network Direction。如果 Inbound,請設為 INBOUND。如果 Outbound,請設為 OUTBOUND
network.email.from network.email.from 如果原始記錄欄位 Email Sender 不為空白,則直接對應。
network.email.subject network.email.subject 如果 Email Sender 不為空白,則直接從原始記錄欄位 Email Subject 對應。
network.email.to network.email.to 如果符合電子郵件地址模式,則直接從原始記錄欄位 dg_recipients.uad_mr 對應。
network.tls.server.certificate.issuer network.tls.server.certificate.issuer 直接從原始記錄欄位對應 Signature Issuer
network.tls.server.certificate.subject network.tls.server.certificate.subject 直接從原始記錄欄位對應 Signature Subject
observer.platform_version observer.platform_version 直接從原始記錄欄位對應 Agent Version
principal.asset.asset_id principal.asset.asset_id 從前置字串為 MachineId: 的原始記錄欄位 Machine ID 對應而來。
principal.asset.category principal.asset.category 直接從原始記錄欄位對應 Machine Type
principal.asset.hardware.model principal.asset.hardware.model 直接從原始記錄欄位對應 dg_src_dev.dev_prdname
principal.asset.hardware.serial_number principal.asset.hardware.serial_number 直接從原始記錄欄位對應 dg_src_dev.dev_sernum
principal.hostname principal.hostname 直接從原始記錄欄位對應 Computer Name
principal.ip principal.ip 如果原始記錄欄位 Source IP Address 不為空白,則直接對應。否則,如果 IP Address 不為空白,則會從該欄位對應。
principal.port principal.port 如果原始記錄欄位 Local Port 不為空,則直接對應,並轉換為整數。
principal.process.command_line principal.process.command_line 如果原始記錄欄位 Application 不為空白,則直接對應。
principal.process.parent_process.command_line principal.process.parent_process.command_line 如果原始記錄欄位 Parent Application 不為空白,則直接對應。
principal.process.parent_process.file.md5 principal.process.parent_process.file.md5 直接從原始記錄欄位 Parent MD5 Hash 對應,並在符合十六進位字串模式時轉換為小寫。
principal.process.pid principal.process.pid 轉換為字串後,直接從原始記錄欄位 Process PID 對應。
principal.user.company_name principal.user.company_name 直接從原始記錄欄位對應 Company Name
principal.user.userid principal.user.userid 直接從原始記錄欄位對應 User
security_result.action security_result.action 如果 Was Detail BlockedYes,則設為 BLOCK。如果 Was Detail BlockedNo,請設為 ALLOW
security_result.action_details security_result.action_details 直接從原始記錄欄位對應 Operation Type
src.file.full_path src.file.full_path 直接從原始記錄欄位對應 Source File Path
src.file.mime_type src.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Source File Extension 對應。
src.resource.id src.resource.id 從前置字串為 GUID: 的原始記錄欄位 Device GUID 對應而來。
src.resource.name src.resource.name 直接從原始記錄欄位對應 Printer Name
target.administrative_domain target.administrative_domain 直接從原始記錄欄位對應 Process Domain
target.asset.hardware.model target.asset.hardware.model 直接從原始記錄欄位對應 dg_dst_dev.dev_prdname
target.asset.hardware.serial_number target.asset.hardware.serial_number 直接從原始記錄欄位對應 dg_dst_dev.dev_sernum
target.asset.hostname target.asset.hostname 直接從原始記錄欄位對應 DNS Hostname
target.asset.product_object_id target.asset.product_object_id 直接從原始記錄欄位對應 Adapter Name
target.file.full_path target.file.full_path 直接從原始記錄欄位對應 Destination File Path
target.file.mime_type target.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Destination File Extension 對應。
target.mac target.mac 如果原始記錄欄位 MAC Address 不為空白,則直接對應。
target.port target.port 如果原始記錄欄位 Remote Port 不為空,則直接對應,並轉換為整數。
target.process.command_line target.process.command_line 直接從原始記錄欄位對應 Command Line
target.process.file.full_path target.process.file.full_path 直接從原始記錄欄位對應 Process Path
target.process.file.md5 target.process.file.md5 轉換為小寫後,直接從原始記錄欄位 MD5 Hash 對應。
target.process.file.mime_type target.process.file.mime_type 如果不是 no extension[no extension],則直接從原始記錄欄位 Process File Extension 對應。
target.process.file.sha1 target.process.file.sha1 轉換為小寫後,直接從原始記錄欄位 SHA1 Hash 對應。
target.process.file.sha256 target.process.file.sha256 轉換為小寫後,直接從原始記錄欄位 SHA256 Hash 對應。
target.process.parent_process.command_line target.process.parent_process.command_line 如果原始記錄欄位 Parent Application 不為空白,則直接對應。
target.process.parent_process.file.md5 target.process.parent_process.file.md5 直接從原始記錄欄位 Parent MD5 Hash 對應,並在符合十六進位字串模式時轉換為小寫。
target.resource.type target.resource.type 直接從原始記錄欄位對應 Event Display Name
target.url target.url 直接從原始記錄欄位對應 URL Path
extensions.auth.type extensions.auth.type 如果 Operation TypeUser LogoffUser Logon,請設為 AUTHTYPE_UNSPECIFIED

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。