Coletar registros da trilha de auditoria do Imperva

Compatível com:

Este documento explica como ingerir registros de trilha de auditoria do Imperva no Google Security Operations usando o Amazon S3. O rastreamento de auditoria da Imperva oferece um registro abrangente de todas as ações administrativas realizadas na sua conta da Imperva, incluindo logins de usuários, mudanças de configuração, modificações de política e eventos do sistema. Com essa integração, é possível enviar esses registros de auditoria para o Google SecOps para monitoramento de compliance e análise de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Acesso privilegiado à AWS
  • Acesso privilegiado ao console da Imperva

Coletar os pré-requisitos do rastreamento de auditoria do Imperva (credenciais da API)

  1. Faça login no Console da Imperva em my.imperva.com.
  2. Acesse Conta > Gerenciamento da conta.
  3. Na barra lateral, clique em Registros do SIEM > Configuração de registros.
  4. Clique em Adicionar conexão.
  5. Selecione Amazon S3 como o método de entrega.
  6. Configure a conexão para o Amazon S3:
    • Nome da conexão: insira um nome descritivo, por exemplo, Google SecOps Integration.
    • Chave de acesso: sua chave de acesso do S3.
    • Chave secreta: sua chave secreta do S3.
    • Caminho: o caminho do bucket no formato <bucket-name>/<folder> (por exemplo, imperva-audit-trail-logs/chronicle).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket.
  2. Salve o Nome e a Região do bucket para referência futura (por exemplo, imperva-audit-trail-logs).
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para referência futura.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise a política AmazonS3FullAccess.
  18. Selecione a política.
  19. Clique em Próxima.
  20. Clique em Adicionar permissões

Configurar a política e o papel do IAM para uploads do S3

  1. No console da AWS, acesse IAM > Políticas.
  2. Clique em Criar política > guia JSON.

  3. Insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Sid": "AllowGetObjects",
      "Effect": "Allow", 
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": "s3:ListBucket", 
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
    }
  ]
}
    • Substitua imperva-audit-trail-logs se você tiver inserido um nome de bucket diferente.

  4. Clique em Próxima > Criar política.

  5. Acesse IAM > Funções > Criar função > Serviço da AWS > Lambda.

  6. Anexe a política recém-criada.

  7. Nomeie a função como imperva-audit-trail-s3-role e clique em Criar função.

Configurar a conexão do Amazon S3 do rastreamento de auditoria do Imperva

  1. Volte para a configuração de registros do SIEM do Console do Imperva.
  2. Atualize a conexão do Amazon S3 com as credenciais da AWS:
    • Chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
    • Chave secreta: a chave secreta do usuário com acesso ao bucket do S3.
    • Caminho: insira o caminho no formato imperva-audit-trail-logs/chronicle.
  3. Clique em Testar conexão para verificar a conectividade.
  4. Verifique se o status da conexão é Disponível.

Configurar a exportação de registros da trilha de auditoria

  1. Na tabela de conexões, abra sua conexão do Amazon S3.
  2. Clique em Adicionar tipo de registro.
  3. Informe os seguintes detalhes de configuração:
    • Nome da configuração: insira um nome descritivo, por exemplo, Audit Trail Logs to Chronicle.
    • Selecionar serviço: escolha Trilha de auditoria.
    • Selecionar tipos de registros: selecione o tipo de registro AUDIT_TRAIL.
    • Formato: JSON (formato estruturado para registros de rastreamento de auditoria).
    • Estado: defina como Ativado.
  4. Clique em Adicionar tipo de registro para salvar a configuração.

Opcional: criar um usuário e chaves do IAM somente leitura para o Google SecOps

  1. Acesse Console da AWS > IAM > Usuários.
  2. Clique em Add users.
  3. Informe os seguintes detalhes de configuração:
    • Usuário: insira secops-reader.
    • Tipo de acesso: selecione Chave de acesso – Acesso programático.
  4. Clique em Criar usuário.
  5. Anexe a política de leitura mínima (personalizada): Usuários > secops-reader > Permissões > Adicionar permissões > Anexar políticas diretamente > Criar política.

  6. No editor JSON, insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Acesse Criar política > pesquise/selecione > Próxima > Adicionar permissões.

  9. Acesse Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Faça o download do CSV (esses valores são inseridos no feed).

Configurar um feed no Google SecOps para ingerir registros de trilha de auditoria do Imperva

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Imperva Audit Trail logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Rastreamento de auditoria do Imperva como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://imperva-audit-trail-logs/chronicle/
    • Opções de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.