Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Trellix DLP

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log DLP (Pencegahan Kehilangan Data) Trellix (sebelumnya McAfee) ke Google Security Operations menggunakan Bindplane. Parser ini memproses log McAfee DLP dalam format CSV, lalu mengubahnya menjadi Model Data Terpadu (UDM). Skrip ini membersihkan input, mengurai data CSV, memetakan kolom ke UDM, menangani jenis dan tingkat keparahan peristiwa DLP tertentu, serta memperkaya UDM dengan metadata tambahan dan detail hasil keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke McAfee EPO
Ekstensi McAfee DLP Endpoint diinstal dan aktif

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MCAFEE_DLP'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Server Syslog di McAfee ePO

Login ke konsol McAfee ePO.
Buka Menu > Konfigurasi > Server Terdaftar.
Klik New Server > Syslog Server.
Berikan detail konfigurasi berikut:
- Name: Nama unik untuk server Syslog (misalnya, Google SecOps).
- Alamat Server: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (defaultnya adalah 514).
- Protocol: Pilih UDP atau TCP (bergantung pada penginstalan Bindplane Agent Anda).
- Format: Gunakan CSV atau CEF.
Klik Simpan.

Mengonfigurasi Penerusan Peristiwa DLP

Buka Menu > Perlindungan Data > Pengelola Kebijakan DLP.
Klik tab DLP Policy Assignment Rules.
Edit aturan yang berlaku untuk sistem target Anda atau buat aturan baru.
Buka tab Tindakan pada aturan.
Centang kotak untuk Log to Syslog Server dan pilih Syslog Server yang Anda buat sebelumnya.
Simpan aturan.

Mengaktifkan Penerusan Insiden DLP

Buka Menu > Perlindungan Data > Pengelola Insiden DLP.
Klik Tindakan Insiden.
Buat atau edit tindakan untuk meneruskan ke server syslog.
Tetapkan tindakan ini ke aturan dalam kebijakan DLP Anda.

Deploy Kebijakan

Buka System Tree > pilih grup atau sistem yang diinginkan.
Klik Tindakan > Agen > Aktifkan Agen.
Pilih Kebijakan Pengiriman.
Klik Oke.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`action`	`security_result.action_details`	Dipetakan langsung dari kolom `action`.
`action`	`security_result.action`	Diperoleh dari kolom `action`. Jika `action` adalah 1, maka BLOCK. Jika `action` adalah 0, maka ALLOW. Jika `action` adalah 6, maka UNKNOWN_ACTION.
`agent_ver`	`metadata.product_version`	Dipetakan langsung dari kolom `agent_ver` (yang berasal dari `column8`).
`class_count`	`additional.fields[4].key`	Nilainya adalah `ClassCount`.
`class_count`	`additional.fields[4].value.string_value`	Dipetakan langsung dari kolom `class_count`.
`class_display`	`additional.fields[5].key`	Nilainya adalah `ClassDisplay`.
`class_display`	`additional.fields[5].value.string_value`	Dipetakan langsung dari kolom `class_display`.
`count`	`additional.fields[6].key`	Nilainya adalah `Count`.
`count`	`additional.fields[6].value.string_value`	Dipetakan langsung dari kolom `count`.
`device_name`	`principal.hostname`	Dipetakan langsung dari kolom `device_name`.
`dst`	`target.hostname`	Dipetakan langsung dari kolom `dst` jika `inc_type` adalah `10000`.
`dst`	`target.user.userid`	Dipetakan langsung dari kolom `dst` jika `inc_type` bukan `10000`.
`dst_app`	`target.application`	Dipetakan langsung dari kolom `dst_app`.
`dst_url`	`target.url`	Dipetakan langsung dari kolom `dst_url`.
`encrypt`	`security_result.detection_fields[1].key`	Nilainya adalah `EncryptionProvider`.
`encrypt`	`security_result.detection_fields[1].value`	Dipetakan langsung dari kolom `encrypt`.
`evidence_count`	`additional.fields[2].key`	Nilainya adalah `EvidenceCount`.
`evidence_count`	`additional.fields[2].value.string_value`	Dipetakan langsung dari kolom `evidence_count`.
`fail_reason`	`additional.fields[3].key`	Nilainya adalah `FailReason`.
`fail_reason`	`additional.fields[3].value.string_value`	Dipetakan langsung dari kolom `fail_reason`.
`fail_reason`	`security_result.description`	Jika `fail_reason` adalah `0`, nilainya adalah `No Failure`. Jika tidak, nilainya adalah `Failure Occurred`.
`file`	`target.file.full_path`	Dipetakan langsung dari kolom `file`.
`file_size`	`target.file.size`	Dipetakan langsung dari kolom `file_size`, dikonversi menjadi bilangan bulat yang tidak bertanda.
`group`	`principal.user.attribute.labels.key`	Nilainya adalah `group`.
`group`	`principal.user.attribute.labels.value`	Dipetakan langsung dari kolom `group`.
`inc_id`	`metadata.product_log_id`	Dipetakan langsung dari kolom `inc_id` (yang berasal dari `column1`).
`inc_type`	`metadata.event_type`	Digunakan dalam logika bersyarat untuk menentukan `metadata.event_type`. Lihat logika untuk mengetahui detailnya.
`inc_type`	`metadata.product_event_type`	Dipetakan langsung dari kolom `inc_type` (yang berasal dari `column2`).
`ip`	`principal.ip`	Mengekstrak alamat IP dari kolom `ip` menggunakan grok.
`local_date`	`metadata.event_timestamp`	Stempel waktu dari kolom `local_date`, diuraikan dan dikonversi ke detik sejak epoch.
`name`	`principal.user.user_display_name`	Dipetakan langsung dari kolom `name`. Jika `inc_type` ada di [`10000`,`10001`,`10002`,`40101`,`40400`,`40500`,`40700`] dan `ip` adalah IP yang valid, nilainya adalah `SCAN_NETWORK`. Jika `inc_type` adalah `40102` dan `file` tidak kosong, nilainya adalah `SCAN_FILE`. Jika `inc_type` berada dalam [`40301`,`40602`], nilainya adalah `PROCESS_UNCATEGORIZED`. Jika tidak, nilainya adalah `GENERIC_EVENT`. Nilai yang di-hardcode: `GCP_CLOUDAUDIT`. Nilai yang di-hardcode: `Mcafee DLP`. Nilai yang di-hardcode: `Mcafee`. Jika `status_id` berada dalam [`1`,`2`], nilainya adalah `NEW`. Jika `status_id` berada dalam [`3`,`4`], nilainya adalah `CLOSED`. Jika `status_id` berada dalam [`5`,`6`], nilainya adalah `REVIEWED`. Nilainya adalah `StatusId`. Nilainya adalah `Resolution Id`. Nilainya adalah `Expected Action`.
`process_name`	`target.process.file.full_path`	Dipetakan langsung dari kolom `process_name`.
`resolution_id`	`security_result.about.labels[0].value`	Dipetakan langsung dari kolom `resolution_id`.
`rule_name`	`security_result.rule_name`	Dipetakan langsung dari kolom `rule_name`.
`rule_set`	`security_result.rule_labels.key`	Nilainya adalah `rule_set`.
`rule_set`	`security_result.rule_labels.value`	Dipetakan langsung dari kolom `rule_set`.
`sev`	`security_result.severity`	Diperoleh dari kolom `sev`. Jika `sev` adalah 1, maka INFORMASI. Jika `sev` adalah 2, maka ERROR. Jika `sev` adalah 3, maka tingkatnya RENDAH. Jika `sev` adalah 4, maka TINGGI. Jika `sev` adalah 5, maka statusnya KRITIS.
`sev`	`security_result.severity_details`	Dipetakan langsung dari kolom `sev`.
`status_id`	`principal.labels.value`	Dipetakan langsung dari kolom `status_id`.
`total_count`	`additional.fields[1].key`	Nilainya adalah `TotalCount`.
`total_count`	`additional.fields[1].value.string_value`	Dipetakan langsung dari kolom `total_count`.
`total_size`	`additional.fields[0].key`	Nilainya adalah `TotalSize`.
`total_size`	`additional.fields[0].value.string_value`	Dipetakan langsung dari kolom `total_size`.
`usb_serial_number`	`security_result.detection_fields[0].key`	Nilainya adalah `USBSerialNumber`.
`usb_serial_number`	`security_result.detection_fields[0].value`	Dipetakan langsung dari kolom `usb_serial_number`.
`user`	`principal.user.userid`	Dipetakan langsung dari kolom `user`.
`user_ou`	`principal.user.group_identifiers`	Dipetakan langsung dari kolom `user_ou`.
`volume_serial_number`	`security_result.detection_fields[2].key`	Nilainya adalah `VolumeSerialNumber`.
`volume_serial_number`	`security_result.detection_fields[2].value`	Dipetakan langsung dari kolom `volume_serial_number`.
`expected_action`	`security_result.about.labels[1].value`	Dipetakan langsung dari kolom `expected_action`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.