Mengumpulkan log Imperva Attack Analytics

Didukung di:

Dokumen ini menjelaskan cara menyerap log Imperva Attack Analytics ke Google Security Operations menggunakan Amazon S3. Imperva Attack Analytics memanfaatkan machine learning dan kecerdasan buatan untuk memberikan kemampuan analisis dan deteksi ancaman tingkat lanjut. Alat ini memantau traffic jaringan, log aplikasi, dan perilaku pengguna untuk mendeteksi anomali dan aktivitas mencurigakan, serta menghubungkan data dari berbagai sumber untuk memberikan insight keamanan yang komprehensif. Integrasi ini memungkinkan Anda mengirimkan log tersebut ke Google SecOps untuk dianalisis dan dipantau.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS
  • Akses istimewa ke Konsol Imperva

Mengumpulkan prasyarat Imperva Attack Analytics (kredensial API)

  1. Login ke Konsol Imperva di my.imperva.com.
  2. Buka Akun > Pengelolaan Akun.
  3. Di sidebar, klik Log SIEM > Konfigurasi Log.
  4. Klik Tambahkan koneksi.
  5. Pilih Amazon S3 sebagai metode pengiriman.
  6. Konfigurasi koneksi untuk Amazon S3:
    • Nama koneksi: Masukkan nama deskriptif (misalnya, Google SecOps Integration).
    • Kunci akses: Kunci akses S3 Anda.
    • Secret key: Kunci rahasia S3 Anda.
    • Path: Jalur bucket dalam format <bucket-name>/<folder> (misalnya, imperva-attack-analytics-logs/chronicle).

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, imperva-attack-analytics-logs).
  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
  12. Klik Done.
  13. Pilih tab Permissions.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Cari kebijakan AmazonS3FullAccess.
  18. Pilih kebijakan.
  19. Klik Berikutnya.
  20. Klik Add permissions.

Mengonfigurasi kebijakan dan peran IAM untuk upload S3

  1. Di konsol AWS, buka IAM > Policies.
  2. Klik Buat kebijakan > tab JSON.

  3. Masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • Ganti imperva-attack-analytics-logs jika Anda memasukkan nama bucket yang berbeda.

  4. Klik Berikutnya > Buat kebijakan.

  5. Buka IAM > Roles > Create role > AWS service > Lambda.

  6. Lampirkan kebijakan yang baru dibuat.

  7. Beri nama peran imperva-attack-analytics-s3-role, lalu klik Buat peran.

Mengonfigurasi koneksi S3 Imperva Attack Analytics

  1. Kembali ke konfigurasi Log SIEM Konsol Imperva.
  2. Perbarui koneksi Amazon S3 dengan kredensial AWS:
    • Kunci akses: Kunci akses Pengguna dengan akses ke bucket S3.
    • Kunci rahasia: Kunci rahasia Pengguna dengan akses ke bucket S3.
    • Jalur: Masukkan jalur dalam format imperva-attack-analytics-logs/chronicle.
  3. Klik Uji koneksi untuk memverifikasi konektivitas.
  4. Pastikan status koneksi menampilkan Tersedia.

Mengonfigurasi ekspor log Attack Analytics

  1. Di Connections table, luaskan koneksi Amazon S3 Anda.
  2. Klik Tambahkan jenis log.
  3. Berikan detail konfigurasi berikut:
    • Nama konfigurasi: Masukkan nama deskriptif (misalnya, Attack Analytics Logs to Google SecOps).
    • Pilih layanan: Pilih Attack Analytics.
    • Pilih jenis log: Pilih jenis log Attack Analytics yang ingin Anda ekspor.
    • Format: CEF (Common Event Format untuk log Attack Analytics).
    • Status: Setel ke Diaktifkan.
  4. Klik Tambahkan jenis log untuk menyimpan konfigurasi.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

  1. Buka Konsol AWS > IAM > Pengguna.
  2. Klik Add users.
  3. Berikan detail konfigurasi berikut:
    • Pengguna: Masukkan secops-reader.
    • Jenis akses: Pilih Kunci akses – Akses terprogram.
  4. Klik Buat pengguna.
  5. Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

  6. Di editor JSON, masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. Tetapkan nama ke secops-reader-policy.

  8. Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.

  9. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

  10. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk memproses log Imperva Attack Analytics

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Imperva Attack Analytics logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Imperva Attack Analytics sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://imperva-attack-analytics-logs/chronicle/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.