Raccogliere i log di Imperva Attack Analytics

Supportato in:

Questo documento spiega come importare i log di Imperva Attack Analytics in Google Security Operations utilizzando Amazon S3. Imperva Attack Analytics sfrutta il machine learning e l'intelligenza artificiale per fornire funzionalità avanzate di rilevamento e analisi delle minacce. Monitora il traffico di rete, i log delle applicazioni e il comportamento degli utenti per rilevare anomalie e attività sospette, mettendo in correlazione i dati di più origini per fornire informazioni complete sulla sicurezza. Questa integrazione ti consente di inviare questi log a Google SecOps per l'analisi e il monitoraggio.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso privilegiato ad AWS
  • Accesso privilegiato alla console Imperva

Raccogli i prerequisiti di Imperva Attack Analytics (credenziali API)

  1. Accedi alla console Imperva all'indirizzo my.imperva.com.
  2. Vai a Account > Gestione account.
  3. Nella barra laterale, fai clic su Log SIEM > Configurazione log.
  4. Fai clic su Aggiungi connessione.
  5. Seleziona Amazon S3 come metodo di pubblicazione.
  6. Configura la connessione per Amazon S3:
    • Nome connessione: inserisci un nome descrittivo (ad esempio, Google SecOps Integration).
    • Chiave di accesso: la chiave di accesso S3.
    • Chiave segreta: la chiave segreta S3.
    • Percorso: il percorso del bucket nel formato <bucket-name>/<folder> (ad esempio, imperva-attack-analytics-logs/chronicle).

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket.
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, imperva-attack-analytics-logs).
  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca i criteri AmazonS3FullAccess.
  18. Seleziona la policy.
  19. Fai clic su Avanti.
  20. Fai clic su Aggiungi autorizzazioni.

Configura il ruolo e il criterio IAM per i caricamenti S3

  1. Nella console AWS, vai a IAM > Policy.
  2. Fai clic su Crea criterio > scheda JSON.

  3. Inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • Sostituisci imperva-attack-analytics-logs se hai inserito un nome bucket diverso.

  4. Fai clic su Avanti > Crea policy.

  5. Vai a IAM > Ruoli > Crea ruolo > Servizio AWS > Lambda.

  6. Allega la policy appena creata.

  7. Assegna al ruolo il nome imperva-attack-analytics-s3-role e fai clic su Crea ruolo.

Configura la connessione S3 di Imperva Attack Analytics

  1. Torna alla configurazione dei log SIEM della console Imperva.
  2. Aggiorna la connessione Amazon S3 con le credenziali AWS:
    • Chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
    • Chiave segreta: la chiave segreta dell'utente con accesso al bucket S3.
    • Percorso: inserisci il percorso nel formato imperva-attack-analytics-logs/chronicle.
  3. Fai clic su Prova connessione per verificare la connettività.
  4. Assicurati che lo stato della connessione sia Disponibile.

Configura l'esportazione dei log di Attack Analytics

  1. Nella tabella Connessioni, espandi la connessione Amazon S3.
  2. Fai clic su Aggiungi tipo di log.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome configurazione: inserisci un nome descrittivo (ad esempio, Attack Analytics Logs to Google SecOps).
    • Seleziona servizio: scegli Attack Analytics.
    • Seleziona i tipi di log: seleziona i tipi di log di Attack Analytics che vuoi esportare.
    • Formato: CEF (Common Event Format per i log di Attack Analytics).
    • Stato: imposta su Attivato.
  4. Fai clic su Aggiungi tipo di log per salvare la configurazione.

(Facoltativo) Crea chiavi e utente IAM di sola lettura per Google SecOps

  1. Vai alla console AWS > IAM > Utenti.
  2. Fai clic su Add users (Aggiungi utenti).
  3. Fornisci i seguenti dettagli di configurazione:
    • Utente: inserisci secops-reader.
    • Tipo di accesso: seleziona Chiave di accesso - Accesso programmatico.
  4. Fai clic su Crea utente.
  5. Collega la criterio per la lettura minima (personalizzata): Utenti > secops-reader > Autorizzazioni > Aggiungi autorizzazioni > Collega le norme direttamente > Crea norma.

  6. Nell'editor JSON, inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. Imposta il nome su secops-reader-policy.

  8. Vai a Crea criterio > cerca/seleziona > Avanti > Aggiungi autorizzazioni.

  9. Vai a Credenziali di sicurezza > Chiavi di accesso > Crea chiave di accesso.

  10. Scarica il file CSV (questi valori vengono inseriti nel feed).

Configura un feed in Google SecOps per importare i log di Imperva Attack Analytics

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Imperva Attack Analytics logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Imperva Attack Analytics come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://imperva-attack-analytics-logs/chronicle/
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.