Imperva Attack Analytics-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Imperva Attack Analytics-Logs mit Amazon S3 in Google Security Operations aufnehmen. Imperva Attack Analytics nutzt Machine Learning und künstliche Intelligenz, um erweiterte Funktionen zur Erkennung und Analyse von Bedrohungen bereitzustellen. Der Dienst überwacht Netzwerkverkehr, Anwendungsprotokolle und Nutzerverhalten, um Anomalien und verdächtige Aktivitäten zu erkennen. Dabei werden Daten aus mehreren Quellen korreliert, um umfassende Sicherheitsinformationen zu liefern. Mit dieser Integration können Sie diese Logs zur Analyse und Überwachung an Google SecOps senden.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf AWS
  • Privilegierter Zugriff auf die Imperva-Konsole

Voraussetzungen für die Erfassung von Imperva Attack Analytics-Logs (API-Anmeldedaten)

  1. Melden Sie sich unter my.imperva.com in der Imperva-Konsole an.
  2. Rufen Sie Konto > Kontoverwaltung auf.
  3. Klicken Sie in der Seitenleiste auf SIEM-Logs > Logkonfiguration.
  4. Klicken Sie auf Verbindung hinzufügen.
  5. Wählen Sie Amazon S3 als Bereitstellungsmethode aus.
  6. Konfigurieren Sie die Verbindung für Amazon S3:
    • Verbindungsname: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Integration.
    • Zugriffsschlüssel: Ihr S3-Zugriffsschlüssel.
    • Geheimer Schlüssel: Ihr geheimer S3-Schlüssel.
    • Pfad: Der Bucket-Pfad im Format <bucket-name>/<folder>, z. B. imperva-attack-analytics-logs/chronicle.

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket gemäß dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung, z. B. imperva-attack-analytics-logs.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall die Option Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen , um den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die spätere Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Abschnitt Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

IAM-Richtlinie und ‑Rolle für S3-Uploads konfigurieren

  1. Rufen Sie in der AWS-Konsole IAM > Richtlinien auf.
  2. Klicken Sie auf Richtlinie erstellen > Tab „JSON“.

  3. Geben Sie die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • Ersetzen Sie imperva-attack-analytics-logs, wenn Sie einen anderen Bucket-Namen eingegeben haben.

  4. Klicken Sie auf Weiter > Richtlinie erstellen.

  5. Rufen Sie IAM > Rollen > Rolle erstellen > AWS-Dienst > Lambda auf.

  6. Hängen Sie die neu erstellte Richtlinie an.

  7. Geben Sie der Rolle den Namen imperva-attack-analytics-s3-role und klicken Sie auf Rolle erstellen.

Imperva Attack Analytics S3-Verbindung konfigurieren

  1. Kehren Sie zur Konfiguration der SIEM-Logs in der Imperva-Konsole zurück.
  2. Aktualisieren Sie die Amazon S3-Verbindung mit den AWS-Anmeldedaten:
    • Zugriffsschlüssel: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Schlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Pfad: Geben Sie den Pfad im Format imperva-attack-analytics-logs/chronicle ein.
  3. Klicken Sie auf Verbindung testen , um die Verbindung zu prüfen.
  4. Der Verbindungsstatus muss Verfügbar lauten.

Attack Analytics-Logexport konfigurieren

  1. Erweitern Sie in der Verbindungstabelle Ihre Amazon S3-Verbindung.
  2. Klicken Sie auf Logtyp hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Konfigurationsname: Geben Sie einen aussagekräftigen Namen ein, z. B. Attack Analytics Logs to Google SecOps.
    • Dienst auswählen: Wählen Sie Attack Analytics aus.
    • Logtypen auswählen: Wählen Sie die Attack Analytics-Logtypen aus, die Sie exportieren möchten.
    • Format: CEF (Common Event Format für Attack Analytics-Logs).
    • Status: Setzen Sie den Status auf Aktiviert.
  4. Klicken Sie auf Logtyp hinzufügen , um die Konfiguration zu speichern.

Optional: Schreibgeschützten IAM-Nutzer und ‑Schlüssel für Google SecOps erstellen

  1. Rufen Sie die AWS-Konsole > IAM > Nutzer auf.
  2. Klicken Sie auf Nutzer hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzer: Geben Sie secops-reader ein.
    • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
  4. Klicken Sie auf Nutzer erstellen.
  5. Hängen Sie eine benutzerdefinierte Richtlinie mit minimalen Leseberechtigungen an: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

  6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. Legen Sie als Name secops-reader-policy fest.

  8. Rufen Sie Richtlinie erstellen > Suchen/Auswählen > Weiter > Berechtigungen hinzufügen auf.

  9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

  10. Laden Sie die CSV herunter. Diese Werte werden in den Feed eingegeben.

Feed in Google SecOps konfigurieren, um Imperva Attack Analytics-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Imperva Attack Analytics logs.
  4. Wählen Sie als Quelltyp die Option Amazon S3 V2 aus.
  5. Wählen Sie als Logtyp die Option Imperva Attack Analytics aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: s3://imperva-attack-analytics-logs/chronicle/
    • Optionen für das Löschen von Quellen: Wählen Sie die gewünschte Löschoption aus.
    • Maximale Dateialter: Schließen Sie Dateien ein, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die Konfiguration des neuen Feeds auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten