Imperva Attack Analytics のログを収集する

以下でサポートされています。

このドキュメントでは、Amazon S3 を使用して Imperva Attack Analytics のログを Google Security Operations に取り込む方法について説明します。Imperva Attack Analytics は、機械学習と人工知能を活用して、高度な脅威の検出と分析機能を提供します。ネットワーク トラフィック、アプリケーション ログ、ユーザーの行動をモニタリングして、異常や疑わしいアクティビティを検出し、複数のソースからのデータを関連付けて包括的なセキュリティ インサイトを提供します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • AWS への特権アクセス
  • Imperva コンソールへの特権アクセス

Imperva Attack Analytics の前提条件(API 認証情報)を収集する

  1. my.imperva.comImperva コンソール にログインします。
  2. [アカウント] > [アカウント管理] に移動します。
  3. サイドバーで、[SIEM ログ > ログ構成] をクリックします。
  4. [Add connection] をクリックします。
  5. 配信方法として [Amazon S3] を選択します。
  6. Amazon S3 の接続を構成します。
    • 接続名: わかりやすい名前を入力します(例: Google SecOps Integration)。
    • アクセスキー: S3 アクセスキー。
    • 秘密鍵: S3 シークレット キー。
    • パス: バケットパス(<bucket-name>/<folder> 形式)。例: imperva-attack-analytics-logs/chronicle

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケット を作成します。
  2. バケットの名前リージョン を保存して、今後の参照に備えます(例: imperva-attack-analytics-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザー を作成します。
  4. 作成したユーザー を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [Create Access Key] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. (省略可)説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、アクセスキーシークレット アクセスキー を保存し、今後の参照に備えます。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで [権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索します。
  18. ポリシーを選択します。
  19. [次へ] をクリックします。
  20. [権限を追加] をクリックします。

S3 アップロードの IAM ポリシーとロールを構成する

  1. [AWS コンソール]で、[IAM >ポリシー]に移動します。
  2. [ポリシーを作成] > [JSON] タブ をクリックします。

  3. 次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}
    • 別のバケット名を入力した場合は、imperva-attack-analytics-logs を置き換えます。

  4. [次へ] > [ポリシーを作成] をクリックします。

  5. [IAM] > [ロール] > [ロールを作成] > [AWS サービス] > [Lambda] に移動します。

  6. 新しく作成したポリシーをアタッチします。

  7. ロールに imperva-attack-analytics-s3-role という名前を付けて、[ロールを作成] をクリックします。

Imperva Attack Analytics S3 接続を構成する

  1. Imperva コンソール の [SIEM ログ] 構成に戻ります。
  2. AWS 認証情報で Amazon S3 接続を更新します。
    • アクセスキー: S3 バケットにアクセスできるユーザー アクセスキー。
    • 秘密鍵: S3 バケットにアクセスできるユーザーのシークレット キー。
    • パス: imperva-attack-analytics-logs/chronicle 形式でパスを入力します。
  3. [接続をテスト] をクリックして接続を確認します。
  4. 接続ステータスが [利用可能] と表示されていることを確認します。

Attack Analytics のログ エクスポートを構成する

  1. [接続] テーブルで、Amazon S3 接続を開きます。
  2. [ログタイプを追加] をクリックします。
  3. 次の構成情報を提供してください。
    • 設定名: わかりやすい名前を入力します(例: Attack Analytics Logs to Google SecOps)。
    • **サービスを選択** : [**Attack Analytics**] を選択します。
    • ログタイプを選択: エクスポートする Attack Analytics のログタイプを選択します。
    • 形式: CEF(Attack Analytics ログの共通イベント形式)。
    • [状態]: [有効] に設定します。
  4. [ログタイプを追加] をクリックして、構成を保存します。

省略可: Google SecOps 用の読み取り専用 IAM ユーザーとキーを作成する

  1. [AWS コンソール] > [IAM] > [ユーザー] に移動します。
  2. [ユーザーを追加] をクリックします。
  3. 次の構成情報を提供してください。
    • ユーザー: secops-readerと入力します。
    • アクセスタイプ: [アクセスキー - プログラムによるアクセス] を選択します。
  4. [Create user] をクリックします。
  5. 最小限の読み取りポリシー(カスタム)をアタッチします。ユーザー > secops-reader > 権限 > 権限を追加 > ポリシーを直接アタッチする > ポリシーを作成

  6. JSON エディタに次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-attack-analytics-logs"
    }
  ]
}

  7. 名前を secops-reader-policy に設定します。

  8. [ポリシーを作成]> [検索/選択]> [次へ]> [権限を追加] に移動します。

  9. [セキュリティ認証情報]> [アクセスキー]> [アクセスキーを作成] に移動します。

  10. CSV をダウンロードします(これらの値はフィードに入力されます)。

Imperva Attack Analytics のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Imperva Attack Analytics logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Imperva Attack Analytics] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://imperva-attack-analytics-logs/chronicle/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • Maximum File Age: 過去何日間に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。