Collecter les journaux Imperva Advanced Bot Protection

Compatible avec :

Ce document explique comment ingérer les journaux Imperva Advanced Bot Protection dans Google Security Operations à l'aide d'Amazon S3. Imperva Advanced Bot Protection génère des données opérationnelles sous forme de journaux qui offrent une visibilité détaillée sur le trafic des bots sur les canaux Web, mobile et API. Cette intégration vous permet d'envoyer ces journaux à Google SecOps pour analyse et surveillance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Un accès privilégié à AWS
  • Un accès privilégié à la console Imperva

Obtenir les identifiants d'API Imperva Advanced Bot Protection

  1. Connectez-vous à la console Imperva sur my.imperva.com.
  2. Accédez à Compte > Gestion du compte.
  3. Dans la barre latérale, cliquez sur Journaux SIEM > Configuration des journaux.
  4. Cliquez sur Ajouter une connexion.
  5. Sélectionnez Amazon S3 comme méthode de livraison.
  6. Configurez la connexion pour Amazon S3 :
    • Nom de la connexion : saisissez un nom descriptif (par exemple, Google SecOps Integration).
    • Clé d'accès : votre clé d'accès S3.
    • Clé secrète : votre clé secrète S3.
    • Chemin d'accès : chemin d'accès au bucket au format <bucket-name>/<folder> (par exemple, imperva-abp-logs/secops).

Configurer le bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, imperva-abp-logs).
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Identifiants de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Associer directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer la règle et le rôle IAM pour les importations S3

  1. Dans la console AWS, accédez à IAM > Règles.
  2. Cliquez sur Créer une règle > Onglet JSON.

  3. Saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-abp-logs"
    }
  ]
}
    • Remplacez imperva-abp-logs si vous avez saisi un autre nom de bucket.

  4. Cliquez sur Suivant > Créer une règle.

  5. Accédez à IAM > Rôles > Créer un rôle > Service AWS > Lambda.

  6. Associez la règle nouvellement créée.

  7. Nommez le rôle imperva-abp-s3-role, puis cliquez sur Créer un rôle.

Configurer la connexion Imperva Advanced Bot Protection S3

  1. Revenez à la configuration des journaux SIEM de la console Imperva.
  2. Mettez à jour la connexion Amazon S3 avec les identifiants AWS :
    • Clé d'accès : clé d'accès de l'utilisateur avec accès au bucket S3.
    • Clé secrète : clé secrète de l'utilisateur avec accès au bucket S3.
    • Chemin d'accès : saisissez le chemin d'accès au format imperva-abp-logs/chronicle.
  3. Cliquez sur Tester la connexion pour vérifier la connectivité.
  4. Assurez-vous que l'état de la connexion indique Disponible.

Configurer l'exportation des journaux Advanced Bot Protection

  1. Dans le tableau des connexions, développez votre connexion Amazon S3.
  2. Cliquez sur Ajouter un type de journal.
  3. Fournissez les informations de configuration suivantes :
    • Nom de la configuration : saisissez un nom descriptif (par exemple, ABP Logs to Google SecOps).
    • Sélectionner un service : choisissez Advanced Bot Protection (ABP).
    • Sélectionner des types de journaux : sélectionnez les types de journaux ABP que vous souhaitez exporter.
    • Format : JSON (format structuré pour les journaux Advanced Bot Protection).
    • État : définissez la valeur sur Activé.
  4. Cliquez sur Ajouter un type de journal pour enregistrer la configuration.

Facultatif : Créer un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Accédez à Console AWS > IAM > Utilisateurs.
  2. Cliquez sur Ajouter des utilisateurs.
  3. Fournissez les informations de configuration suivantes :
    • Utilisateur : saisissez secops-reader.
    • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
  4. Cliquez sur Créer un utilisateur.
  5. Associez une règle de lecture minimale (personnalisée) : Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Associer directement des règles > Créer une règle.

  6. Dans l'éditeur JSON, saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-abp-logs"
    }
  ]
}

  7. Définissez le nom sur secops-reader-policy.

  8. Accédez à Créer une règle > Rechercher/Sélectionner > Suivant > Ajouter des autorisations.

  9. Accédez à Identifiants de sécurité > Clés d’accès > Créer une clé d’accès.

  10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux Imperva Advanced Bot Protection

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Imperva Advanced Bot Protection logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Imperva Advanced Bot Protection comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3: s3://imperva-abp-logs/chronicle/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès de l'utilisateur avec accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur avec accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.