Recolha registos do Imperva Attack Analytics

Suportado em:

Este documento explica como carregar registos do Imperva Attack Analytics para o Google Security Operations através do Amazon S3. O Imperva Attack Analytics tira partido da aprendizagem automática e da inteligência artificial para oferecer capacidades avançadas de deteção e análise de ameaças. Monitoriza o tráfego de rede, os registos de aplicações e o comportamento do utilizador para detetar anomalias e atividades suspeitas, correlacionando dados de várias origens para fornecer informações de segurança abrangentes. Esta integração permite-lhe enviar estes registos para o Google SecOps para análise e monitorização.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Acesso privilegiado à AWS
  • Acesso privilegiado à consola do Imperva

Recolha os pré-requisitos da Imperva Attack Analytics (credenciais da API)

  1. Inicie sessão na consola do Imperva em my.imperva.com.
  2. Aceda a Conta > Gestão da conta.
  3. Na barra lateral, clique em Registos SIEM > Configuração de registos.
  4. Clique em Adicionar associação.
  5. Selecione Amazon S3 como método de transferência.
  6. Configure a ligação para o Amazon S3:
    • Nome da associação: introduza um nome descritivo (por exemplo, Google SecOps Integration).
    • Chave de acesso: a sua chave de acesso do S3.
    • Chave secreta: a sua chave secreta do S3.
    • Caminho: o caminho do contentor no formato <bucket-name>/<folder> (por exemplo, imperva-attack-analytics-logs/chronicle).

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor.
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, imperva-attack-analytics-logs).
  3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para referência futura.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise a política AmazonS3FullAccess.
  18. Selecione a política.
  19. Clicar em Seguinte.
  20. Clique em Adicionar autorizações.

Configure a política e a função de IAM para carregamentos do S3

  1. Na consola da AWS, aceda a IAM > Políticas.
  2. Clique em Criar política > separador JSON.

  3. Introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • Substitua imperva-attack-analytics-logs se tiver introduzido um nome de contentor diferente.

  4. Clique em Seguinte > Criar política.

  5. Aceda a IAM > Funções > Criar função > Serviço AWS > Lambda.

  6. Anexe a política criada recentemente.

  7. Dê o nome imperva-attack-analytics-s3-role à função e clique em Criar função.

Configure a ligação S3 do Imperva Attack Analytics

  1. Regresse à configuração de registos SIEM da consola do Imperva.
  2. Atualize a associação do Amazon S3 com as credenciais da AWS:
    • Chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave secreta: a chave secreta do utilizador com acesso ao contentor do S3.
    • Caminho: introduza o caminho no formato imperva-attack-analytics-logs/chronicle.
  3. Clique em Testar ligação para verificar a conetividade.
  4. Certifique-se de que o estado da ligação mostra Disponível.

Configure a exportação de registos do Attack Analytics

  1. Na tabela de associações, expanda a associação do Amazon S3.
  2. Clique em Adicionar tipo de registo.
  3. Forneça os seguintes detalhes de configuração:
    • Nome da configuração: introduza um nome descritivo (por exemplo, Attack Analytics Logs to Google SecOps).
    • Selecionar serviço: escolha Attack Analytics.
    • Selecionar tipos de registos: selecione os tipos de registos da Attack Analytics que quer exportar.
    • Formato: CEF (formato de evento comum para registos de estatísticas de ataques).
    • Estado: definido como Ativado.
  4. Clique em Adicionar tipo de registo para guardar a configuração.

Opcional: crie um utilizador e chaves da IAM só de leitura para o Google SecOps

  1. Aceda a AWS Console > IAM > Users.
  2. Clique em Adicionar utilizadores.
  3. Forneça os seguintes detalhes de configuração:
    • Utilizador: introduza secops-reader.
    • Tipo de acesso: selecione Chave de acesso – Acesso programático.
  4. Clique em Criar utilizador.
  5. Anexe a política de leitura mínima (personalizada): Users > secops-reader > Permissions > Add permissions > Attach policies directly > Create policy.

  6. No editor JSON, introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Aceda a Criar política > pesquise/selecione > Seguinte > Adicionar autorizações.

  9. Aceda a Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Transfira o CSV (estes valores são introduzidos no feed).

Configure um feed no Google SecOps para carregar registos do Imperva Attack Analytics

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Imperva Attack Analytics logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Imperva Attack Analytics como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://imperva-attack-analytics-logs/chronicle/
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.