Diese Seite wurde von der Cloud Translation API übersetzt.

CEF-Logs von Imperva erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Imperva CEF-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert die Logs im CEF-Format aus Syslog-Nachrichten und konvertiert sie in das UDM-Format. Es werden verschiedene Logformate verarbeitet, Schlüssel/Wert-Paare aus der Nutzlast extrahiert, Datentransformationen und -anreicherungen durchgeführt und die extrahierten Felder den entsprechenden UDM-Feldern zugeordnet, einschließlich Netzwerkinformationen, Nutzerdetails, Geolocation und Sicherheitsergebnissen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder höher- oder Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Imperva-Verwaltungskonsole oder ‑Appliance

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_CEF'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Imperva WAF Gateway (SecureSphere) für das Senden von CEF über Syslog konfigurieren

Erstellen Sie in der MX-Konsole eine Aktionsgruppe:
- Gehen Sie zu Richtlinien > Aktionssets.
- Klicken Sie auf Neu und geben Sie einen Namen ein (z. B. Google SecOps CEF).
Fügen Sie die CEF-Syslog-Aktionsschnittstelle hinzu:
- Öffnen Sie unter Available Action Interfaces (Verfügbare Aktionsschnittstellen) System Log (Systemprotokoll) und fügen Sie nach Bedarf eine oder mehrere der folgenden Optionen hinzu:
  - Sicherheitsereignis mit dem CEF-Standard im Systemlog (syslog) protokollieren
  - Netzwerksicherheitsereignis mit dem CEF-Standard im Systemprotokoll (Syslog) protokollieren
  - Systemereignis mit dem CEF-Standard im Systemlog (Syslog) protokollieren
  - Benutzerdefiniertes Sicherheitsereignis mit dem CEF-Standard im Systemprotokoll (Syslog) protokollieren
Parameter der Aktionsschnittstelle konfigurieren:
- Syslog-Host: Geben Sie die IP-Adresse Ihres Bindplane-Agents ein. Wenn Sie einen anderen Port als den Standardport verwenden möchten, hängen Sie :PORT an (der Standardwert ist 514, wenn Sie keinen Port angeben). Beispiel: 10.0.0.10:514.
- Einrichtung / Protokollebene: Gemäß Ihren Richtlinienanforderungen festlegen.
- Message: Übernehmen Sie die Standardwerte des Anbieters für CEF, sofern Sie keine benutzerdefinierte Zuordnung haben.
Aktionsgruppe an Richtlinien anhängen:
- Bei Ereignissen vom Typ Sicherheit / Netzwerksicherheit: Öffnen Sie die entsprechenden Richtlinien und legen Sie Ausgeführte Aktion auf Ihr Aktionsset fest.
- Für System Events: Erstellen oder überprüfen Sie eine System Events-Richtlinie und legen Sie Followed Action auf Ihre Aktionsgruppe fest, damit diese Ereignisse auch über CEF gesendet werden.
Optional: Gatewayspezifische Ziele konfigurieren:
- Wenn verschiedene Gateway-Gruppen an verschiedene Syslog-Server gesendet werden müssen, konfigurieren Sie jede Gateway-Gruppe>Externer Logger und aktivieren Sie Gateway-Konfiguration verwenden, falls vorhanden in der Richtlinie.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`act`	`security_result.action`	Abgeleitet. Wenn `act` „allowed“ oder „alert“ ist oder mit „REQ_PASSED“ oder „REQ_CACHED“ beginnt, ist `action` „ALLOW“. Wenn `act` „deny“ oder „blocked“ ist, mit „REQ_BLOCKED“ oder „REQ_CHALLENGE“ beginnt, ist `action` „BLOCK“. Wenn `act` mit dem regulären Ausdruck `(?i)REQ_BAD` übereinstimmt, ist `action` „FAIL“. Andernfalls ist `action` „UNKNOWN_ACTION“. `security_result.action` wird dann auf den Wert von `action` gesetzt.
`act`	`security_result.action_details`	Abgeleitet. Anhand des Werts von `act` wird eine detaillierte Beschreibung generiert. Beispiele: „REQ_CACHED_FRESH: response was returned from the data center's cache“ (REQ_CACHED_FRESH: Die Antwort wurde aus dem Cache des Rechenzentrums zurückgegeben), „REQ_BLOCKED: the request was blocked“ (REQ_BLOCKED: Die Anfrage wurde blockiert).
`app`	`network.application_protocol`	Direkt zugeordnet, nachdem sie in Großbuchstaben konvertiert wurden.
`cs1`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn `cs1` nicht leer oder „NA“ ist. `security_result.detection_fields.key` wird auf den Wert von `cs1Label` gesetzt.
`cs1Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs1` nicht leer oder „NA“ ist. `security_result.detection_fields.value` wird auf den Wert von `cs1` gesetzt.
`cs2`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` wird auf den Wert von `cs2Label` gesetzt.
`cs2Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs2` nicht leer ist. `security_result.detection_fields.value` wird auf den Wert von `cs2` gesetzt.
`cs3`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer oder „-“. `security_result.detection_fields.key` wird auf den Wert von `cs3Label` gesetzt.
`cs3Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs3` nicht leer oder „-“ ist. `security_result.detection_fields.value` wird auf den Wert von `cs3` festgelegt.
`cs4`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` wird auf den Wert von `cs4Label` gesetzt.
`cs4Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs4` nicht leer ist. `security_result.detection_fields.value` wird auf den Wert von `cs4` gesetzt.
`cs5`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` wird auf den Wert von `cs5Label` gesetzt.
`cs5Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs5` nicht leer ist. `security_result.detection_fields.value` wird auf den Wert von `cs5` gesetzt.
`cs6`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` wird auf den Wert von `cs6Label` gesetzt.
`cs6Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cs6` nicht leer ist. `security_result.detection_fields.value` wird auf den Wert von `cs6` gesetzt.
`cs7`	`principal.location.region_latitude`	Wird bedingt zugeordnet, wenn `cs7Label` „latitude“ ist.
`cs8`	`principal.location.region_longitude`	Wird bedingt zugeordnet, wenn `cs8Label` „longitude“ ist.
`cn1`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer und `cn1Label` nicht leer ist. `security_result.detection_fields.key` wird auf den Wert von `cn1Label` gesetzt.
`cn1Label`	`security_result.detection_fields.key`	Wird bedingt zugeordnet, wenn `cn1` und `cn1Label` nicht leer sind. `security_result.detection_fields.value` wird auf den Wert von `cn1` gesetzt.
`fileType`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` ist auf „fileType“ festgelegt.
`filePermission`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` ist auf „filePermission“ festgelegt.
`request`	`target.url`	Direkt zugeordnet.
`requestClientApplication`	`network.http.user_agent`	Wird bedingt zugeordnet, wenn nicht leer. Überschreibt den Wert, der aus dem Feld `user_agent` extrahiert und den Schlüssel/Wert-Paaren `requestContext` oder `requestClientApplication` in der CEF-Nutzlast zugeordnet wurde.
`requestMethod`	`network.http.method`	Direkt zugeordnet.
`siteid`	`security_result.detection_fields.value`	Wird bedingt zugeordnet, wenn nicht leer. `security_result.detection_fields.key` ist auf „siteid“ festgelegt.
`sourceServiceName`	`target.hostname`	Direkt zugeordnet. Überschreibt den Wert von `dhost`, falls vorhanden.
`src`	`principal.ip`	Direkt zugeordnet.
`start`	`metadata.event_timestamp.seconds`	Extrahierte Daten mithilfe eines Grok-Musters und in einen Zeitstempel konvertiert. Wird als Fallback für `deviceReceiptTime` verwendet, wenn es nicht vorhanden ist. Wenn sowohl `deviceReceiptTime` als auch `start` leer sind, wird der Zeitstempel des Logs verwendet.
`suid`	`principal.user.userid`	Wird bedingt zugeordnet, wenn nicht leer.
–	`metadata.event_type`	Fest codiert auf „NETWORK_HTTP“.
–	`metadata.log_type`	Direkt aus dem Feld `log_type` der obersten Ebene abgeleitet.
–	`metadata.product_event_type`	Wird aus `csv.event_id` zugeordnet, sofern nicht leer.
–	`metadata.product_name`	Fest codiert auf „Web Application Firewall“.
–	`metadata.vendor_name`	Fest codiert auf „Imperva“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten