收集 Imperva Attack Analytics 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Amazon S3,將 Imperva Attack Analytics 記錄擷取至 Google Security Operations。Imperva Attack Analytics 運用機器學習和人工智慧,提供進階威脅偵測和分析功能。這項服務會監控網路流量、應用程式記錄和使用者行為,偵測異常和可疑活動,並關聯多個來源的資料,提供全面的安全深入分析。整合這項資源後,即可將這些記錄傳送至 Google SecOps 進行分析和監控。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- AWS 的特殊存取權
- Imperva 控制台的特殊權限
收集 Imperva Attack Analytics 的必要條件 (API 憑證)
- 前往
my.imperva.com登入 Imperva 控制台。 - 依序前往「帳戶」>「帳戶管理」。
- 在側欄中,依序按一下「SIEM Logs」>「Log Configuration」。
- 按一下「新增連線」。
- 選取「Amazon S3」做為傳送方式。
- 設定 Amazon S3 的連線:
- 連線名稱:輸入描述性名稱 (例如
Google SecOps Integration)。 - 存取金鑰:您的 S3 存取金鑰。
- 密鑰:您的 S3 密鑰。
- 路徑:bucket 路徑,格式為
<bucket-name>/<folder>(例如imperva-attack-analytics-logs/chronicle)。
- 連線名稱:輸入描述性名稱 (例如
為 Google SecOps 設定 AWS S3 值區和 IAM
- 按照這份使用者指南建立 Amazon S3 bucket:建立 bucket。
- 儲存 bucket 的「名稱」和「地區」,以供日後參考 (例如
imperva-attack-analytics-logs)。 - 請按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
- 按一下 [完成]。
- 選取「權限」分頁標籤。
- 在「權限政策」部分中,按一下「新增權限」。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋 AmazonS3FullAccess 政策。
- 選取政策。
- 點選「下一步」。
- 按一下「Add permissions」。
設定 S3 上傳的身分與存取權管理政策和角色
- 在 AWS 控制台中,前往「IAM」>「Policies」。
- 按一下「建立政策」>「JSON」分頁。
輸入下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*" }, { "Sid": "AllowGetObjects", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*" }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::imperva-attack-analytics-logs" } ] }- 如果您輸入其他 bucket 名稱,請替換
imperva-attack-analytics-logs。
- 如果您輸入其他 bucket 名稱,請替換
依序點選「下一步」>「建立政策」。
依序前往「IAM」>「Roles」>「Create role」>「AWS service」>「Lambda」。
附加新建立的政策。
為角色命名
imperva-attack-analytics-s3-role,然後按一下「建立角色」。
設定 Imperva Attack Analytics S3 連線
- 返回 Imperva 控制台 SIEM 記錄設定。
- 使用 AWS 憑證更新 Amazon S3 連線:
- 存取金鑰:具有 S3 bucket 存取權的使用者存取金鑰。
- 私密金鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- 路徑:以
imperva-attack-analytics-logs/chronicle格式輸入路徑。
- 按一下「測試連線」,驗證連線。
- 確認連線狀態顯示為「可用」。
設定 Attack Analytics 記錄匯出作業
- 在「連線」表格中,展開 Amazon S3 連線。
- 按一下「新增記錄類型」。
- 提供下列設定詳細資料:
- 設定名稱:輸入描述性名稱 (例如
Attack Analytics Logs to Google SecOps)。 - 選取服務:選擇「Attack Analytics」。
- 選取記錄類型:選取要匯出的攻擊分析記錄類型。
- 格式:CEF (攻擊分析記錄的通用事件格式)。
- 狀態:設為「已啟用」。
- 設定名稱:輸入描述性名稱 (例如
- 按一下「新增記錄類型」即可儲存設定。
選用:為 Google SecOps 建立唯讀 IAM 使用者和金鑰
- 前往 AWS 控制台 > IAM > Users。
- 點選 [Add users] (新增使用者)。
- 提供下列設定詳細資料:
- 使用者:輸入
secops-reader。 - 存取類型:選取「存取金鑰 - 程式輔助存取」。
- 使用者:輸入
- 按一下「建立使用者」。
- 附加最低讀取權限政策 (自訂):依序點選「Users」(使用者) >「secops-reader」>「Permissions」(權限) >「Add permissions」(新增權限) >「Attach policies directly」(直接附加政策) >「Create policy」(建立政策)。
在 JSON 編輯器中輸入下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::imperva-attack-analytics-logs" } ] }將名稱設為
secops-reader-policy。依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。
依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。
下載 CSV (這些值會輸入至動態饋給)。
在 Google SecOps 中設定動態饋給,擷取 Imperva Attack Analytics 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「+ 新增動態消息」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Imperva Attack Analytics logs)。 - 選取「Amazon S3 V2」做為「來源類型」。
- 選取「Imperva Attack Analytics」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- S3 URI:
s3://imperva-attack-analytics-logs/chronicle/ - 來源刪除選項:根據偏好設定選取刪除選項。
- 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
- 存取金鑰 ID:具有 S3 儲存空間存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- S3 URI:
- 點選「下一步」。
- 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。