收集 Imperva 审核跟踪日志

本文档介绍了如何使用 Amazon S3 将 Imperva 审核跟踪日志注入到 Google Security Operations。Imperva 审核跟踪记录功能可全面记录您在 Imperva 账号中执行的所有管理操作，包括用户登录、配置更改、政策修改和系统事件。通过此集成，您可以将这些审核日志发送到 Google SecOps，以便进行合规性监控和安全分析。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• 对 AWS 的特权访问权限
• 对 Imperva 控制台的特权访问权限

收集 Imperva 审核轨迹前提条件（API 凭据）

1. 在 my.imperva.com 中登录 Imperva 控制台。
2. 依次前往账号 > 账号管理。
3. 在边栏中，依次点击 SIEM 日志 > 日志配置。
4. 点击添加连接。
5. 选择 Amazon S3 作为交付方式。
6. 为 Amazon S3 配置连接：
   • 连接名称：输入一个描述性名称（例如 Google SecOps Integration）。
   • 访问密钥：您的 S3 访问密钥。
   • 密钥：您的 S3 密钥。
   • 路径：存储桶路径，格式为 <bucket-name>/<folder>（例如 imperva-audit-trail-logs/chronicle）。

为 Google SecOps 配置 AWS S3 存储桶和 IAM

1. 按照以下用户指南创建 Amazon S3 存储桶：创建存储桶。
2. 保存存储桶名称和区域以供日后参考（例如 imperva-audit-trail-logs）。
3. 按照以下用户指南创建用户：创建 IAM 用户。
4. 选择创建的用户。
5. 选择安全凭据标签页。
6. 在访问密钥部分中，点击创建访问密钥。
7. 选择第三方服务作为使用情形。
8. 点击下一步。
9. 可选：添加说明标记。
10. 点击创建访问密钥。
11. 点击下载 CSV 文件，保存访问密钥和不公开的访问密钥以供日后参考。
12. 点击完成。
13. 选择权限标签页。
14. 在权限政策部分中，点击添加权限。
15. 选择添加权限。
16. 选择直接附加政策。
17. 搜索 AmazonS3FullAccess 政策。
18. 选择相应政策。
19. 点击下一步。
20. 点击添加权限。

为 S3 上传配置 IAM 政策和角色

1. 在 AWS 控制台中，依次前往 IAM > 政策。
2. 依次点击创建政策 > JSON 标签页。

3. 输入以下政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Sid": "AllowGetObjects",
         "Effect": "Allow", 
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Sid": "AllowListBucket",
         "Effect": "Allow",
         "Action": "s3:ListBucket", 
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
       }
     ]
   }
   

   • 如果您输入了其他存储桶名称，请替换 imperva-audit-trail-logs。

4. 依次点击下一步 > 创建政策。

5. 依次前往 IAM > 角色 > 创建角色 > AWS 服务 > Lambda。

6. 附加新创建的政策。

7. 将角色命名为 imperva-audit-trail-s3-role，然后点击创建角色。

配置 Imperva 审核跟踪 S3 连接

1. 返回 Imperva 控制台 SIEM 日志配置。
2. 使用 AWS 凭据更新 Amazon S3 连接：
   • 访问密钥：有权访问 S3 存储桶的用户访问密钥。
   • 密钥：具有 S3 存储桶访问权限的用户密钥。
   • 路径：以 imperva-audit-trail-logs/chronicle 格式输入路径。
3. 点击测试连接以验证连接。
4. 确保连接状态显示为可用。

配置审核跟踪日志导出

1. 在连接表中，展开您的 Amazon S3 连接。
2. 点击添加日志类型。
3. 提供以下配置详细信息：
   • 配置名称：输入一个描述性名称（例如 Audit Trail Logs to Chronicle）。
   • 选择服务：选择 Audit Trail。
   • 选择日志类型：选择 AUDIT_TRAIL 日志类型。
   • 格式：JSON（审核轨迹日志的结构化格式）。
   • 状态：设置为已启用。
4. 点击添加日志类型以保存配置。

可选：为 Google SecOps 创建只读 IAM 用户和密钥

1. 前往 AWS 控制台 > IAM > 用户。
2. 点击 Add users（添加用户）。
3. 提供以下配置详细信息：
   • 用户：输入 secops-reader。
   • 访问类型：选择访问密钥 - 以程序化方式访问。
4. 点击创建用户。
5. 附加最低限度的读取政策（自定义）：用户 > secops-reader > 权限 > 添加权限 > 直接附加政策 > 创建政策。

6. 在 JSON 编辑器中，输入以下政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
       }
     ]
   }
   

7. 将名称设置为 secops-reader-policy。

8. 依次前往创建政策 > 搜索/选择 > 下一步 > 添加权限。

9. 依次前往安全凭据 > 访问密钥 > 创建访问密钥。

10. 下载 CSV（这些值会输入到 Feed 中）。

在 Google SecOps 中配置 Feed 以注入 Imperva 审核跟踪日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击 + 添加新 Feed。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 Imperva Audit Trail logs）。
4. 选择 Amazon S3 V2 作为来源类型。
5. 选择 Imperva 审核轨迹作为日志类型。
6. 点击下一步。
7. 为以下输入参数指定值：
   • S3 URI：s3://imperva-audit-trail-logs/chronicle/
   • 源删除选项：根据您的偏好选择删除选项。
   • 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
   • 私有访问密钥：有权访问 S3 存储桶的用户私有密钥。
   • 资产命名空间：资产命名空间。
   • 注入标签：应用于此 Feed 中事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。