Imperva Advanced Bot Protection のログを収集する

以下でサポートされています。

このドキュメントでは、Amazon S3 を使用して Imperva Advanced Bot Protection ログを Google Security Operations に取り込む方法について説明します。Imperva Advanced Bot Protection は、ウェブ、モバイル、API チャネル全体の bot トラフィックの詳細な可視性を提供するログ形式の運用データを生成します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • AWS への特権アクセス
  • Imperva コンソールへの特権アクセス

Imperva Advanced Bot Protection API 認証情報を取得する

  1. my.imperva.comImperva Console にログインします。
  2. [アカウント] > [アカウント管理] に移動します。
  3. サイドバーで、[SIEM ログ > ログ構成] をクリックします。
  4. [Add connection] をクリックします。
  5. 配信方法として [Amazon S3] を選択します。
  6. Amazon S3 の接続を構成します。
    • 接続名: わかりやすい名前(例: Google SecOps Integration)を入力します。
    • アクセスキー: S3 アクセスキー。
    • 秘密鍵: S3 秘密鍵。
    • パス: <bucket-name>/<folder> 形式のバケットパス(例: imperva-abp-logs/secops)。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: imperva-abp-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、今後の参照に備えます。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで [権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索します。
  18. ポリシーを選択します。
  19. [次へ] をクリックします。
  20. [権限を追加] をクリックします。

S3 アップロードの IAM ポリシーとロールを構成する

  1. AWS コンソールで、[IAM] > [ポリシー] に移動します。
  2. [ポリシーを作成> [JSON] タブ] をクリックします。

  3. 次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-abp-logs"
    }
  ]
}
    • 別のバケット名を入力した場合は、imperva-abp-logs を置き換えます。

  4. [次へ] > [ポリシーを作成] をクリックします。

  5. [IAM] > [ロール] > [ロールの作成] > [AWS サービス] > [Lambda] に移動します。

  6. 新しく作成したポリシーを関連付けます。

  7. ロールに「imperva-abp-s3-role」という名前を付けて、[ロールを作成] をクリックします。

Imperva Advanced Bot Protection の S3 接続を構成する

  1. Imperva Console の SIEM ログ構成に戻ります。
  2. AWS 認証情報を使用して Amazon S3 接続を更新します。
    • アクセスキー: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット キー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • パス: パスを imperva-abp-logs/chronicle の形式で入力します。
  3. [接続をテスト] をクリックして、接続を確認します。
  4. 接続ステータスが [使用可能] になっていることを確認します。

高度な bot 保護のログ エクスポートを構成する

  1. [接続テーブル] で、Amazon S3 接続を開きます。
  2. [ログタイプを追加] をクリックします。
  3. 次の構成の詳細を入力します。
    • 構成名: わかりやすい名前を入力します(例: ABP Logs to Google SecOps)。
    • サービスを選択: [高度な bot 保護(ABP)] を選択します。
    • ログタイプを選択: エクスポートする ABP ログタイプを選択します。
    • 形式: JSON(高度なボット保護ログの構造化形式)。
    • 状態: [有効] に設定します。
  4. [ログタイプを追加] をクリックして、構成を保存します。

省略可: Google SecOps 用の読み取り専用の IAM ユーザーと鍵を作成する

  1. AWS コンソール > IAM > [Users] に移動します。
  2. [ユーザーを追加] をクリックします。
  3. 次の構成の詳細を入力します。
    • ユーザー: 「secops-reader」と入力します。
    • アクセスの種類: [アクセスキー - プログラムによるアクセス] を選択します。
  4. [Create user] をクリックします。
  5. 最小限の読み取りポリシー(カスタム)を適用する: [ユーザー] > [secops-reader] > [権限] > [権限を追加] > [ポリシーを直接適用] > [ポリシーを作成]

  6. JSON エディタで、次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-abp-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-abp-logs"
    }
  ]
}

  7. 名前を secops-reader-policy に設定します。

  8. [Create policy] > を検索して選択 > [Next] > [Add permissions] に移動します。

  9. [セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] に移動します。

  10. CSV をダウンロードします(これらの値はフィードに入力されます)。

Imperva Advanced Bot Protection のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Imperva Advanced Bot Protection logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Imperva Advanced Bot Protection] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://imperva-abp-logs/chronicle/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。