Collecter les journaux d'audit Imperva

Compatible avec :

Ce document explique comment ingérer des journaux de piste d'audit Imperva dans Google Security Operations à l'aide d'Amazon S3. Le journal d'audit Imperva fournit un enregistrement complet de toutes les actions administratives effectuées dans votre compte Imperva, y compris les connexions utilisateur, les modifications de configuration, les modifications de règles et les événements système. Cette intégration vous permet d'envoyer ces journaux d'audit à Google SecOps pour la surveillance de la conformité et l'analyse de la sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Accès privilégié à AWS
  • Accès privilégié à la console Imperva

Recueillir les conditions préalables du journal d'audit Imperva (identifiants de l'API)

  1. Connectez-vous à la console Imperva sur my.imperva.com.
  2. Accédez à Compte > Gestion du compte.
  3. Dans la barre latérale, cliquez sur Journaux SIEM > Configuration des journaux.
  4. Cliquez sur Ajouter une connexion.
  5. Sélectionnez Amazon S3 comme méthode de livraison.
  6. Configurez la connexion pour Amazon S3 :
    • Nom de la connexion : saisissez un nom descriptif (par exemple, Google SecOps Integration).
    • Clé d'accès : votre clé d'accès S3.
    • Clé secrète : votre clé secrète S3.
    • Chemin d'accès : chemin d'accès au bucket au format <bucket-name>/<folder> (par exemple, imperva-audit-trail-logs/chronicle).

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, imperva-audit-trail-logs).
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : Ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer la stratégie et le rôle IAM pour les importations S3

  1. Dans la console AWS, accédez à IAM > Stratégies.
  2. Cliquez sur Créer une règle> onglet "JSON".

  3. Saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
    }
  ]
}
    • Remplacez imperva-audit-trail-logs si vous avez saisi un autre nom de bucket.

  4. Cliquez sur Suivant > Créer une règle.

  5. Accédez à IAM > Rôles > Créer un rôle > Service AWS > Lambda.

  6. Associez la règle nouvellement créée.

  7. Nommez le rôle imperva-audit-trail-s3-role, puis cliquez sur Créer un rôle.

Configurer la connexion S3 à Imperva Audit Trail

  1. Revenez à la configuration des journaux SIEM de la console Imperva.
  2. Mettez à jour la connexion Amazon S3 avec les identifiants AWS :
    • Clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Chemin d'accès : saisissez le chemin d'accès au format imperva-audit-trail-logs/chronicle.
  3. Cliquez sur Tester la connexion pour vérifier la connectivité.
  4. Assurez-vous que l'état de la connexion indique Disponible.

Configurer l'exportation des journaux du journal d'audit

  1. Dans le tableau des connexions, développez votre connexion Amazon S3.
  2. Cliquez sur Ajouter un type de journal.
  3. Fournissez les informations de configuration suivantes :
    • Nom de la configuration : saisissez un nom descriptif (par exemple, Audit Trail Logs to Chronicle).
    • Sélectionner un service : choisissez Piste d'audit.
    • Sélectionnez les types de journaux : sélectionnez le type de journal AUDIT_TRAIL.
    • Format : JSON (format structuré pour les journaux d'audit).
    • État : définissez la valeur sur Activé.
  4. Cliquez sur Ajouter un type de journal pour enregistrer la configuration.

Facultatif : Créez un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Accédez à la console AWS > IAM > Utilisateurs.
  2. Cliquez sur Add users (Ajouter des utilisateurs).
  3. Fournissez les informations de configuration suivantes :
    • Utilisateur : saisissez secops-reader.
    • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
  4. Cliquez sur Créer un utilisateur.
  5. Associez une stratégie de lecture minimale (personnalisée) : Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Associer des stratégies directement > Créer une stratégie.

  6. Dans l'éditeur JSON, saisissez la stratégie suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
    }
  ]
}

  7. Définissez le nom sur secops-reader-policy.

  8. Accédez à Créer une règle > recherchez/sélectionnez > Suivant > Ajouter des autorisations.

  9. Accédez à Identifiants de sécurité> Clés d'accès> Créer une clé d'accès.

  10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux Imperva Audit Trail

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Imperva Audit Trail logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Piste d'audit Imperva comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://imperva-audit-trail-logs/chronicle/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.