Forcepoint Web Security
编辑Forcepoint Web Security
编辑此集成允许您从 Forcepoint Web Security 提取日志和事件数据。
目前,它仅限于使用官方 Forcepoint 日志导出 SIEM 工具导出的文件的提取,请参考此页面
数据流
编辑Forcepoint Web Security 集成收集一种类型的数据流:日志。
要求
编辑您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。
您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
设置
编辑首先阅读此页面。
虽然可以使用 AWS S3 作为 Forcepoint Web Security 可以将日志导出到的 BYO 存储,但目前集成不支持直接连接到 S3 存储桶。
存储类型的配置在此处描述。
Forcepoint 提供了一个 Perl 脚本,用于从“Forcepoint”存储中“拉取”日志,并且在此处描述。
可通过此GitHub 存储库获得 Forcepoint 日志导出 SIEM 工具的容器化版本。
Forcepoint Web Security 输出的 gzip 压缩 CSV 文件的格式是可配置的,请确保您阅读并理解此页面。
此集成假定的默认格式是
"%{date}","%{time}","%{user}","%{workstation}","%{category}","%{action}","%{risk_class}","%{policy_name}","%{url}","%{connection_ip}","%{destination_ip}","%{source_ip}","%{threat_type}","%{threat_name}","%{user_agent_string}","%{http_status_code}","%{http_request_method}"
此格式中使用的字段名称(封装在 %{} 中)将最终位于 forcepoint_web 字段对象下。
如果您选择导出其他字段,如果排序方式不同,您可能需要扩展或完全更改此内容。它可以作为每个集成策略实例的一部分进行自定义。请确保按照默认字符串转义字符串中的双引号 (")。
目前,这些字段的映射如下,
| 字段(在 forcepoint_web 下) | 字段(尽可能使用 ECS) |
|---|---|
日期 + 时间 |
@timestamp |
用户 |
user.id、user.name、user.domain、related.user |
工作站 |
host.name、related.hosts |
类别 |
- |
操作 |
event.action(小写) |
风险类别 |
- |
策略名称 |
rule.name |
网址 |
url.* |
连接 IP |
source.nat.ip、related.ip |
目标 IP |
destination.ip、related.ip |
源 IP |
source.ip、related.ip |
威胁类型 |
- |
威胁名称 |
- |
用户代理字符串 |
user_agent.* |
HTTP 状态代码 |
http.response.status_code |
HTTP 请求方法 |
http.request.method |
兼容性
编辑已使用 Log Export SIEM 工具 v2.0.1 版本针对 Forcepoint Web Security 测试此集成
预计更高版本也能工作,但尚未经过测试。
调试
编辑如果启用了“保留原始事件”,则会在事件中添加标签 preserve_original_event。event.original 将设置为原始消息内容,该内容是预 KV 和预 syslog 解析的。
如果在集成输入中添加了“preserve_log”标签,则将保留 log 对象及其下的所有字段。
日志参考
编辑forcepoint_web.logs
编辑forcepoint_web.logs 数据流提供来自 Forcepoint Web Security 的事件。
forcepoint_web.logs 的示例事件如下所示
示例
logs 的示例事件如下所示
{
"@timestamp": "2023-01-13T00:30:45.891Z",
"agent": {
"ephemeral_id": "07b2ae81-8fca-461c-aba7-9331c2aabc5e",
"id": "8cc7367b-4069-4535-8545-a477b8c273af",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.5.1"
},
"data_stream": {
"dataset": "forcepoint_web.logs",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "3.24.198.68"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8cc7367b-4069-4535-8545-a477b8c273af",
"snapshot": false,
"version": "8.5.1"
},
"event": {
"action": "allowed",
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "forcepoint_web.logs",
"ingested": "2023-01-13T00:30:46Z",
"kind": "event",
"type": [
"info"
]
},
"forcepoint_web": {
"action": "Allowed",
"category": [
"Reference Materials",
"Trusted Server Downloads"
],
"connection_ip": "202.4.188.96",
"date": "16/12/2022",
"destination_ip": "3.24.198.68",
"http_request_method": "Connect",
"http_status_code": "200",
"policy_name": "Org Internal Server Policy",
"risk_class": [
"Business Usage",
"None"
],
"time": "07:05:25",
"timestamp": "2022-12-16T07:05:25.000Z",
"user": "anonymous",
"user_agent_string": "Java/11.0.6"
},
"http": {
"request": {
"method": "CONNECT"
},
"response": {
"status_code": 200
}
},
"input": {
"type": "log"
},
"message": "\"16/12/2022\",\"07:05:25\",\"anonymous\",\"Not available\",\"Reference Materials,Trusted Server Downloads\",\"Allowed\",\"Business Usage,None\",\"Org Internal Server Policy\",\"aom-au.nearmap.com:443/\",\"202.4.188.96\",\"3.24.198.68\",\"Not available\",\"None\",\"None\",\"Java/11.0.6\",\"200\",\"Connect\"",
"related": {
"ip": [
"3.24.198.68",
"202.4.188.96"
],
"user": [
"anonymous"
]
},
"rule": {
"name": "Org Internal Server Policy"
},
"source": {
"nat": {
"ip": "202.4.188.96"
}
},
"tags": [
"forwarded"
],
"url": {
"domain": "aom-au.nearmap.com",
"original": "https://aom-au.nearmap.com:443/",
"path": "/",
"port": 443,
"registered_domain": "nearmap.com",
"scheme": "https",
"subdomain": "aom-au",
"top_level_domain": "com"
},
"user": {
"id": "anonymous",
"name": "anonymous"
},
"user_agent": {
"device": {
"name": "Spider"
},
"name": "Java",
"original": "Java/11.0.6",
"version": "0.6."
}
}
包可以使用以下字段
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
data_stream.dataset |
该字段可以包含任何有助于表示数据来源的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织其索引,现在数据流命名方案将此最佳实践作为默认设置。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。 |
constant_keyword |
forcepoint_web.action |
keyword |
|
forcepoint_web.category |
keyword |
|
forcepoint_web.connection_ip |
keyword |
|
forcepoint_web.date |
keyword |
|
forcepoint_web.destination_ip |
keyword |
|
forcepoint_web.http_request_method |
keyword |
|
forcepoint_web.http_status_code |
keyword |
|
forcepoint_web.policy_name |
keyword |
|
forcepoint_web.risk_class |
keyword |
|
forcepoint_web.source_ip |
keyword |
|
forcepoint_web.time |
keyword |
|
forcepoint_web.timestamp |
date |
|
forcepoint_web.user |
keyword |
|
forcepoint_web.user_agent_string |
keyword |
|
forcepoint_web.workstation |
keyword |
|
input.type |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.11.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.7.2 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.7.1 |
错误修复 (查看拉取请求) |
8.5.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
8.5.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.5.1 或更高版本 |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |