このページは Cloud Translation API によって翻訳されました。

Imperva CEF ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Imperva CEF ログを Google Security Operations に取り込む方法について説明します。パーサーは、Syslog メッセージから CEF 形式のログを抽出し、UDM 形式に変換します。さまざまなログ形式を処理し、ペイロードから Key-Value ペアを抽出し、データ変換と拡充を行い、抽出されたフィールドを対応する UDM フィールド（ネットワーク情報、ユーザーの詳細、位置情報、セキュリティ結果など）にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
Imperva 管理コンソールまたはアプライアンスへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_CEF'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

syslog 経由で CEF を送信するように Imperva WAF Gateway（SecureSphere）を構成する

MX コンソールで、アクションセットを作成します。
- [Policies]（ポリシー） > [Action Sets]（アクションセット） に移動します。
- [新規] をクリックして名前を付けます（例: Google SecOps CEF）。
CEF syslog アクションインターフェースを追加します。
- [利用可能なアクションインターフェース] で [システムログ] を開き、必要に応じて次の 1 つ以上を追加します。
  - CEF 標準を使用してセキュリティイベントをシステムログ（syslog）に記録する
  - CEF 標準を使用してネットワークセキュリティイベントをシステムログ（syslog）に記録する
  - CEF 標準を使用してシステムイベントをシステムログ（syslog）に記録する
  - CEF 標準を使用してカスタムセキュリティイベントをシステムログ（syslog）に記録する
Action Interface のパラメータを構成します。
- Syslog ホスト: Bindplane エージェントの IP アドレスを入力します。デフォルト以外のポートを使用するには、:PORT を追加します（指定しない場合のデフォルトは 514 です）。例: 10.0.0.10:514
- ファシリティ / ログレベル: ポリシーの要件に従って設定します。
- メッセージ: カスタムマッピングがない限り、CEF のベンダーのデフォルトのままにします。
アクションセットをポリシーにアタッチします。
- セキュリティ / ネットワークセキュリティ イベントの場合: 関連するポリシーを開き、[実行されたアクション] をアクションセットに設定します。
- システムイベントの場合: システムイベント ポリシーを作成または確認し、[Followed Action] をアクションセットに設定して、これらのイベントも CEF 経由で送信されるようにします。
省略可: ゲートウェイ固有のターゲットを構成します。
- 異なるゲートウェイグループが異なる syslog サーバーに送信する必要がある場合は、各 [Gateway Group] > [External Logger] を構成し、ポリシーで [Use gateway configuration if exists] を有効にします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`act`	`security_result.action`	派生。`act` が「allowed」、「alert」、「REQ_PASSED」で始まる、または「REQ_CACHED」で始まる場合、`action` は「ALLOW」です。`act` が「deny」、「blocked」、「REQ_BLOCKED」で始まる文字列、または「REQ_CHALLENGE」で始まる文字列の場合、`action` は「BLOCK」になります。`act` が正規表現 `(?i)REQ_BAD` と一致する場合、`action` は「FAIL」になります。それ以外の場合、`action` は「UNKNOWN_ACTION」になります。次に、`security_result.action` が `action` の値に設定されます。
`act`	`security_result.action_details`	派生。`act` の値に基づいて、詳細な説明が生成されます。例: 「REQ_CACHED_FRESH: レスポンスがデータセンターのキャッシュから返されました」、「REQ_BLOCKED: リクエストがブロックされました」。
`app`	`network.application_protocol`	大文字に変換された後、直接マッピングされます。
`cs1`	`security_result.detection_fields.value`	`cs1` が空でないか「NA」でない場合、条件付きでマッピングされます。`security_result.detection_fields.key` は `cs1Label` の値に設定されます。
`cs1Label`	`security_result.detection_fields.key`	`cs1` が空でないか「NA」でない場合、条件付きでマッピングされます。`security_result.detection_fields.value` は `cs1` の値に設定されます。
`cs2`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は `cs2Label` の値に設定されます。
`cs2Label`	`security_result.detection_fields.key`	`cs2` が空でない場合は条件付きでマッピングされます。`security_result.detection_fields.value` は `cs2` の値に設定されます。
`cs3`	`security_result.detection_fields.value`	空でないか「-」でない場合、条件付きでマッピングされます。`security_result.detection_fields.key` は `cs3Label` の値に設定されます。
`cs3Label`	`security_result.detection_fields.key`	`cs3` が空でないか「-」でない場合、条件付きでマッピングされます。`security_result.detection_fields.value` は `cs3` の値に設定されます。
`cs4`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は `cs4Label` の値に設定されます。
`cs4Label`	`security_result.detection_fields.key`	`cs4` が空でない場合は条件付きでマッピングされます。`security_result.detection_fields.value` は `cs4` の値に設定されます。
`cs5`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は `cs5Label` の値に設定されます。
`cs5Label`	`security_result.detection_fields.key`	`cs5` が空でない場合は条件付きでマッピングされます。`security_result.detection_fields.value` は `cs5` の値に設定されます。
`cs6`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は `cs6Label` の値に設定されます。
`cs6Label`	`security_result.detection_fields.key`	`cs6` が空でない場合は条件付きでマッピングされます。`security_result.detection_fields.value` は `cs6` の値に設定されます。
`cs7`	`principal.location.region_latitude`	`cs7Label` が「latitude」の場合、条件付きでマッピングされます。
`cs8`	`principal.location.region_longitude`	`cs8Label` が「longitude」の場合、条件付きでマッピングされます。
`cn1`	`security_result.detection_fields.value`	空でなく、`cn1Label` が空でない場合、条件付きでマッピングされます。`security_result.detection_fields.key` は `cn1Label` の値に設定されます。
`cn1Label`	`security_result.detection_fields.key`	`cn1` と `cn1Label` が空でない場合、条件付きでマッピングされます。`security_result.detection_fields.value` は `cn1` の値に設定されます。
`fileType`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は「fileType」に設定されます。
`filePermission`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は「filePermission」に設定されます。
`request`	`target.url`	直接マッピングされます。
`requestClientApplication`	`network.http.user_agent`	空でない場合は条件付きでマッピングされます。CEF ペイロードの `requestContext` または `requestClientApplication` Key-Value ペアから抽出された `user_agent` フィールドからマッピングされた値を上書きします。
`requestMethod`	`network.http.method`	直接マッピングされます。
`siteid`	`security_result.detection_fields.value`	空でない場合は条件付きでマッピングされます。`security_result.detection_fields.key` は「siteid」に設定されています。
`sourceServiceName`	`target.hostname`	直接マッピングされます。`dhost` が存在する場合は、その値を上書きします。
`src`	`principal.ip`	直接マッピングされます。
`start`	`metadata.event_timestamp.seconds`	Grok パターンを使用して抽出され、タイムスタンプに変換されます。`deviceReceiptTime` が存在しない場合、フォールバックとして使用されます。`deviceReceiptTime` と `start` の両方が空の場合、ログのタイムスタンプが使用されます。
`suid`	`principal.user.userid`	空でない場合、条件付きでマッピングされます。
なし	`metadata.event_type`	「NETWORK_HTTP」にハードコードされています。
なし	`metadata.log_type`	最上位の `log_type` フィールドから直接マッピングされます。
なし	`metadata.product_event_type`	空でない場合、`csv.event_id` からマッピングされます。
なし	`metadata.product_name`	「Web Application Firewall」にハードコードされています。
なし	`metadata.vendor_name`	「Imperva」にハードコードされています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。