Imperva Attack Analytics 로그 수집

다음에서 지원:

이 문서에서는 Amazon S3를 사용하여 Imperva Attack Analytics 로그를 Google Security Operations로 수집하는 방법을 설명합니다. Imperva Attack Analytics는 머신러닝과 인공지능을 활용하여 고급 위협 감지 및 분석 기능을 제공합니다. 네트워크 트래픽, 애플리케이션 로그, 사용자 행동을 모니터링하여 이상치와 의심스러운 활동을 감지하고, 여러 소스의 데이터를 상호 연관시켜 포괄적인 보안 통계를 제공합니다. 이 통합을 사용하면 분석 및 모니터링을 위해 이러한 로그를 Google SecOps로 전송할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • AWS에 대한 액세스 권한
  • Imperva Console에 대한 액세스 권한

Imperva 공격 분석 필수사항 (API 사용자 인증 정보) 수집

  1. my.imperva.com에서 Imperva Console에 로그인합니다.
  2. 계정 > 계정 관리로 이동합니다.
  3. 사이드바에서 SIEM 로그 > 로그 구성을 클릭합니다.
  4. 연결 추가를 클릭합니다.
  5. 전송 방법으로 Amazon S3를 선택합니다.
  6. Amazon S3 연결을 구성합니다.
    • 연결 이름: 설명이 포함된 이름을 입력합니다 (예: Google SecOps Integration).
    • 액세스 키: S3 액세스 키입니다.
    • 보안 비밀 키: S3 보안 비밀 키입니다.
    • 경로: <bucket-name>/<folder> 형식의 버킷 경로입니다 (예: imperva-attack-analytics-logs/chronicle).

Google SecOps용 AWS S3 버킷 및 IAM 구성

  1. 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
  2. 나중에 참조할 수 있도록 버킷 이름리전을 저장합니다(예: imperva-attack-analytics-logs).
  3. 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
  4. 생성된 사용자를 선택합니다.
  5. 보안용 사용자 인증 정보 탭을 선택합니다.
  6. 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
  7. 사용 사례서드 파티 서비스를 선택합니다.
  8. 다음을 클릭합니다.
  9. 선택사항: 설명 태그를 추가합니다.
  10. 액세스 키 만들기를 클릭합니다.
  11. CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키보안 비밀 액세스 키를 저장합니다.
  12. 완료를 클릭합니다.
  13. 권한 탭을 선택합니다.
  14. 권한 정책 섹션에서 권한 추가를 클릭합니다.
  15. 권한 추가를 선택합니다.
  16. 정책 직접 연결을 선택합니다.
  17. AmazonS3FullAccess 정책을 검색합니다.
  18. 정책을 선택합니다.
  19. 다음을 클릭합니다.
  20. 권한 추가를 클릭합니다.

S3 업로드용 IAM 정책 및 역할 구성

  1. AWS 콘솔에서 IAM > 정책으로 이동합니다.
  2. 정책 만들기 > JSON 탭을 클릭합니다.

  3. 다음 정책을 입력합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • 다른 버킷 이름을 입력한 경우 imperva-attack-analytics-logs을 바꿉니다.

  4. 다음 > 정책 만들기를 클릭합니다.

  5. IAM > 역할 > 역할 생성 > AWS 서비스 > Lambda로 이동합니다.

  6. 새로 만든 정책을 연결합니다.

  7. 역할 이름을 imperva-attack-analytics-s3-role로 지정하고 역할 만들기를 클릭합니다.

Imperva Attack Analytics S3 연결 구성

  1. Imperva Console SIEM 로그 구성으로 돌아갑니다.
  2. AWS 사용자 인증 정보로 Amazon S3 연결을 업데이트합니다.
    • 액세스 키: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키입니다.
    • 보안 비밀 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.
    • 경로: imperva-attack-analytics-logs/chronicle 형식으로 경로를 입력합니다.
  3. 연결 테스트를 클릭하여 연결을 확인합니다.
  4. 연결 상태가 사용 가능으로 표시되는지 확인합니다.

공격 분석 로그 내보내기 구성

  1. 연결 표에서 Amazon S3 연결을 펼칩니다.
  2. 로그 유형 추가를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 구성 이름: 설명이 포함된 이름 (예: Attack Analytics Logs to Google SecOps)을 입력합니다.
    • 서비스 선택: 공격 분석을 선택합니다.
    • 로그 유형 선택: 내보낼 공격 분석 로그 유형을 선택합니다.
    • 형식: CEF (공격 분석 로그의 공통 이벤트 형식)
    • 상태: 사용 설정됨으로 설정합니다.
  4. 로그 유형 추가를 클릭하여 구성을 저장합니다.

선택사항: Google SecOps용 읽기 전용 IAM 사용자 및 키 만들기

  1. AWS 콘솔 > IAM > 사용자로 이동합니다.
  2. Add users를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 사용자: secops-reader를 입력합니다.
    • 액세스 유형: 액세스 키 – 프로그래매틱 액세스를 선택합니다.
  4. 사용자 만들기를 클릭합니다.
  5. 최소 읽기 정책(맞춤) 연결: 사용자 > secops-reader > 권한 > 권한 추가 > 정책 직접 연결 > 정책 만들기

  6. JSON 편집기에 다음 정책을 입력합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. 이름을 secops-reader-policy로 설정합니다.

  8. 정책 만들기 > 검색/선택 > 다음 > 권한 추가로 이동합니다.

  9. 보안용 사용자 인증 정보> 액세스 키> 액세스 키 만들기로 이동합니다.

  10. CSV를 다운로드합니다(이러한 값은 피드에 입력됨).

Imperva Attack Analytics 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정> 피드로 이동합니다.
  2. + 새 피드 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다(예: Imperva Attack Analytics logs).
  4. 소스 유형으로 Amazon S3 V2를 선택합니다.
  5. 로그 유형으로 Imperva Attack Analytics를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 파라미터의 값을 지정합니다.
    • S3 URI: s3://imperva-attack-analytics-logs/chronicle/
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
    • 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키
    • 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
  8. 다음을 클릭합니다.
  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.