Diese Seite wurde von der Cloud Translation API übersetzt.

Trellix DLP-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Trellix DLP-Logs (Data Loss Prevention, Schutz vor Datenverlust) mit Bindplane in Google Security Operations aufnehmen. Dieser Parser verarbeitet McAfee DLP-Logs im CSV-Format und wandelt sie in das Unified Data Model (UDM) um. Sie bereinigt die Eingabe, parst die CSV-Daten, ordnet Felder dem UDM zu, verarbeitet bestimmte DLP-Ereignistypen und ‑Schweregrade und reichert das UDM mit zusätzlichen Metadaten und Details zu Sicherheitsergebnissen an.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf McAfee EPO
Die McAfee DLP Endpoint-Erweiterung ist installiert und aktiv.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_DLP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Server in McAfee ePO konfigurieren

Melden Sie sich in der McAfee ePO-Konsole an.
Gehen Sie zu Menü > Konfiguration > Registrierte Server.
Klicken Sie auf New Server> Syslog Server (Neuer Server > Syslog-Server).
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Eindeutiger Name für den Syslog-Server (z. B. Google SecOps).
- Serveradresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein (Standard ist 514).
- Protocol (Protokoll): Wählen Sie UDP oder TCP aus (je nach Bindplane Agent-Installation).
- Format: Verwenden Sie CSV oder CEF.
Klicken Sie auf Speichern.

DLP-Ereignisweiterleitung konfigurieren

Gehen Sie zu Menü > Datenschutz > DLP Policy Manager.
Klicken Sie auf den Tab Regeln für die Zuweisung von DLP-Richtlinien.
Bearbeiten Sie die Regel, die für Ihre Zielsysteme gilt, oder erstellen Sie eine neue.
Rufen Sie den Tab Aktionen der Regel auf.
Klicken Sie das Kästchen für Im Syslog-Server protokollieren an und wählen Sie den Syslog-Server aus, den Sie zuvor erstellt haben.
Speichern Sie die Regel.

DLP-Vorfallweiterleitung aktivieren

Gehen Sie zu Menü > Datenschutz > DLP Incident Manager.
Klicken Sie auf Incident Actions (Vorfallsaktionen).
Aktion zum Weiterleiten an den Syslog-Server erstellen oder bearbeiten
Weisen Sie diese Aktion einer Regel in Ihrer DLP-Richtlinie zu.

Richtlinie bereitstellen

Gehen Sie zum Systembaum> wählen Sie die gewünschte Gruppe oder das gewünschte System aus.
Klicken Sie auf Aktionen > Agent > Agents aktivieren.
Wählen Sie die Send Policies (Richtlinien für das Senden) aus.
Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action_details`	Direkt aus dem Feld `action` zugeordnet.
`action`	`security_result.action`	Abgeleitet aus dem Feld `action`. Wenn `action` = 1, ist es BLOCK. Wenn `action` = 0, ist ALLOW festgelegt. Wenn `action` = 6, ist es UNKNOWN_ACTION.
`agent_ver`	`metadata.product_version`	Direkt aus dem Feld `agent_ver` zugeordnet (das aus `column8` stammt).
`class_count`	`additional.fields[4].key`	Der Wert ist `ClassCount`.
`class_count`	`additional.fields[4].value.string_value`	Direkt aus dem Feld `class_count` zugeordnet.
`class_display`	`additional.fields[5].key`	Der Wert ist `ClassDisplay`.
`class_display`	`additional.fields[5].value.string_value`	Direkt aus dem Feld `class_display` zugeordnet.
`count`	`additional.fields[6].key`	Der Wert ist `Count`.
`count`	`additional.fields[6].value.string_value`	Direkt aus dem Feld `count` zugeordnet.
`device_name`	`principal.hostname`	Direkt aus dem Feld `device_name` zugeordnet.
`dst`	`target.hostname`	Direkt aus dem Feld `dst` zugeordnet, wenn `inc_type` gleich `10000` ist.
`dst`	`target.user.userid`	Direkt aus dem Feld `dst` zugeordnet, wenn `inc_type` nicht `10000` ist.
`dst_app`	`target.application`	Direkt aus dem Feld `dst_app` zugeordnet.
`dst_url`	`target.url`	Direkt aus dem Feld `dst_url` zugeordnet.
`encrypt`	`security_result.detection_fields[1].key`	Der Wert ist `EncryptionProvider`.
`encrypt`	`security_result.detection_fields[1].value`	Direkt aus dem Feld `encrypt` zugeordnet.
`evidence_count`	`additional.fields[2].key`	Der Wert ist `EvidenceCount`.
`evidence_count`	`additional.fields[2].value.string_value`	Direkt aus dem Feld `evidence_count` zugeordnet.
`fail_reason`	`additional.fields[3].key`	Der Wert ist `FailReason`.
`fail_reason`	`additional.fields[3].value.string_value`	Direkt aus dem Feld `fail_reason` zugeordnet.
`fail_reason`	`security_result.description`	Wenn `fail_reason` den Wert `0` hat, lautet der Wert `No Failure`. Andernfalls ist der Wert `Failure Occurred`.
`file`	`target.file.full_path`	Direkt aus dem Feld `file` zugeordnet.
`file_size`	`target.file.size`	Direkt aus dem Feld `file_size` abgeleitet und in eine vorzeichenlose Ganzzahl konvertiert.
`group`	`principal.user.attribute.labels.key`	Der Wert ist `group`.
`group`	`principal.user.attribute.labels.value`	Direkt aus dem Feld `group` zugeordnet.
`inc_id`	`metadata.product_log_id`	Direkt aus dem Feld `inc_id` zugeordnet (das aus `column1` stammt).
`inc_type`	`metadata.event_type`	Wird in der bedingten Logik verwendet, um die `metadata.event_type` zu bestimmen. Weitere Informationen finden Sie in der Logik.
`inc_type`	`metadata.product_event_type`	Direkt aus dem Feld `inc_type` zugeordnet (das aus `column2` stammt).
`ip`	`principal.ip`	Die IP-Adresse wurde mit „grok“ aus dem Feld `ip` extrahiert.
`local_date`	`metadata.event_timestamp`	Der Zeitstempel aus dem Feld `local_date`, geparst und in Sekunden seit der Epoche umgerechnet.
`name`	`principal.user.user_display_name`	Direkt aus dem Feld `name` zugeordnet. Wenn `inc_type` in [`10000`,`10001`,`10002`,`40101`,`40400`,`40500`,`40700`] enthalten ist und `ip` eine gültige IP-Adresse ist, lautet der Wert `SCAN_NETWORK`. Wenn `inc_type` den Wert `40102` hat und `file` nicht leer ist, lautet der Wert `SCAN_FILE`. Wenn `inc_type` im Bereich [`40301`,`40602`] liegt, ist der Wert `PROCESS_UNCATEGORIZED`. Andernfalls ist der Wert `GENERIC_EVENT`. Fest codierter Wert: `GCP_CLOUDAUDIT`. Fest codierter Wert: `Mcafee DLP`. Fest codierter Wert: `Mcafee`. Wenn `status_id` im Bereich [`1`,`2`] liegt, ist der Wert `NEW`. Wenn `status_id` im Bereich [`3`,`4`] liegt, ist der Wert `CLOSED`. Wenn `status_id` im Bereich [`5`,`6`] liegt, ist der Wert `REVIEWED`. Der Wert ist `StatusId`. Der Wert ist `Resolution Id`. Der Wert ist `Expected Action`.
`process_name`	`target.process.file.full_path`	Direkt aus dem Feld `process_name` zugeordnet.
`resolution_id`	`security_result.about.labels[0].value`	Direkt aus dem Feld `resolution_id` zugeordnet.
`rule_name`	`security_result.rule_name`	Direkt aus dem Feld `rule_name` zugeordnet.
`rule_set`	`security_result.rule_labels.key`	Der Wert ist `rule_set`.
`rule_set`	`security_result.rule_labels.value`	Direkt aus dem Feld `rule_set` zugeordnet.
`sev`	`security_result.severity`	Abgeleitet aus dem Feld `sev`. Wenn `sev` = 1, ist der Status INFORMATIONAL. Wenn `sev` = 2, ist es ERROR. Wenn `sev` = 3, ist die Wahrscheinlichkeit gering. Wenn `sev` = 4, ist der Wert HOCH. Wenn `sev` = 5, ist die Schwere CRITICAL.
`sev`	`security_result.severity_details`	Direkt aus dem Feld `sev` zugeordnet.
`status_id`	`principal.labels.value`	Direkt aus dem Feld `status_id` zugeordnet.
`total_count`	`additional.fields[1].key`	Der Wert ist `TotalCount`.
`total_count`	`additional.fields[1].value.string_value`	Direkt aus dem Feld `total_count` zugeordnet.
`total_size`	`additional.fields[0].key`	Der Wert ist `TotalSize`.
`total_size`	`additional.fields[0].value.string_value`	Direkt aus dem Feld `total_size` zugeordnet.
`usb_serial_number`	`security_result.detection_fields[0].key`	Der Wert ist `USBSerialNumber`.
`usb_serial_number`	`security_result.detection_fields[0].value`	Direkt aus dem Feld `usb_serial_number` zugeordnet.
`user`	`principal.user.userid`	Direkt aus dem Feld `user` zugeordnet.
`user_ou`	`principal.user.group_identifiers`	Direkt aus dem Feld `user_ou` zugeordnet.
`volume_serial_number`	`security_result.detection_fields[2].key`	Der Wert ist `VolumeSerialNumber`.
`volume_serial_number`	`security_result.detection_fields[2].value`	Direkt aus dem Feld `volume_serial_number` zugeordnet.
`expected_action`	`security_result.about.labels[1].value`	Direkt aus dem Feld `expected_action` zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten