Imperva-Datenbanklogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Imperva-Datenbanklogs mit Bindplane in Google Security Operations aufnehmen. Der Parser versucht zuerst, Felder aus verschiedenen strukturierten Logformaten wie CEF, LEEF und JSON zu extrahieren. Wenn diese Formate nicht gefunden werden, werden Grok-Muster verwendet, um Felder aus unstrukturierten Syslog-Nachrichten zu extrahieren und die extrahierten Daten einem einheitlichen Datenmodell (Unified Data Model, UDM) zuzuordnen. Imperva Database Security bietet umfassende Funktionen für die Überwachung, Prüfung und den Schutz von Datenbankaktivitäten.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die Imperva SecureSphere-Verwaltungskonsole

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Konfigurationsdatei aufrufen:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_DB'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
    • Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
    • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog-Weiterleitung auf Imperva Database konfigurieren

  1. Melden Sie sich in der Imperva SecureSphere Management Console an.
  2. Rufen Sie Konfiguration > Aktionssets auf.
  3. Klicken Sie auf Hinzufügen, um eine neue Aktionsgruppe zu erstellen oder eine vorhandene zu bearbeiten.
  4. Klicken Sie auf Aktion hinzufügen und geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Syslog.
    • Aktionstyp: Wählen Sie GW Syslog aus.
    • Host: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Port: Geben Sie die Portnummer des BindPlane-Agents ein (Standard: 514).
    • Protokoll: Wählen Sie je nach BindPlane Agent-Konfiguration UDP oder TCP aus.
    • Syslog-Logebene: Wählen Sie DEBUG für eine umfassende Protokollierung aus.
    • Syslog Facility (Syslog-Einrichtung): Wählen Sie LOCAL0 oder die entsprechende Einrichtung aus.
    • Action Interface (Aktionsschnittstelle): Wählen Sie Gateway Log – Security Event – System Log (syslog) – JSON format (Extended) (Gateway-Log – Sicherheitsereignis – Systemlog (Syslog) – JSON-Format (erweitert)) für das SYSLOG+JSON-Format oder Gateway Log – Security Event – System Log (syslog) (Gateway-Log – Sicherheitsereignis – Systemlog (Syslog)) für das Standard-SYSLOG-Format aus.
  5. Speichern Sie die Aktionskonfiguration.
  6. Rufen Sie Richtlinien > Sicherheitsrichtlinien oder Richtlinien > Richtlinien für die Datenbankprüfung auf.
  7. Bearbeiten Sie die entsprechenden Richtlinien und fügen Sie das Aktionsset mit Ihrer Syslog-Aktion hinzu, damit Ereignisse an Google SecOps weitergeleitet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Konto principal.user.userid Wenn acct „admin“ ist, wird target.user.userid zugeordnet, andernfalls principal.user.userid. Entfernen Sie Anführungszeichen und Leerzeichen aus acct, bevor Sie die Zuordnung vornehmen.
Aktion security_result.action_details Wert des Felds action aus dem Rohlog
alertSev security_result.severity Wenn alertSev „Informative“ ist, ordnen Sie sie als „INFORMATIONAL“ zu. Andernfalls ordnen Sie sie als Großbuchstaben von alertSev zu.
Anwendung principal.application Wenn application „pam_unix(sudo:session)“ ist oder description „pam_unix“ enthält, ordnen Sie „pam_unix“ zu. Wenn message „run-parts“ enthält, ordnen Sie es als „run-parts“ zu. Wenn message „audispd“ enthält, ordnen Sie es als „audispd“ zu. Wenn message „FSS audit“ enthält, ordnen Sie es als „FSS audit“ zu. Andernfalls als application-Feld aus dem Rohlog zuordnen
application-name target.application Wert des Felds application-name aus dem Rohlog
audit-policy security_result.category_details Wert des Felds audit-policy aus dem Rohlog
bind-variables additional.fields.bind_variables_label.value.string_value Wert des Felds bind-variables aus dem Rohlog
Kategorie security_result.category_details Wert des Felds category aus dem Rohlog
COMMAND target.process.command_line Wenn exe nicht leer ist, wird es als exe-Feld aus dem Rohlog zugeordnet. Andernfalls als COMMAND-Feld aus dem Rohlog zuordnen
createTime Nicht zugeordnet
db-schema-pair additional.fields.DB Name_{index}.value.string_value, additional.fields.Schema Name_{index}.value.string_value Extrahieren Sie für jedes db-schema-pair-Objekt im Rohlog die Felder db-name und schema-name und ordnen Sie sie in der UDM DB Name_{index} bzw. Schema Name_{index} zu. Dabei ist index der Index des Objekts im Array.
db-user principal.user.userid Wenn db-user nicht leer ist, wird es als db-user-Feld aus dem Rohlog zugeordnet. Andernfalls, wenn os-user nicht leer und db-user leer ist, wird das Feld os-user aus dem Rohlog zugeordnet.
dbName target.resource.name Wert des Felds dbName aus dem Rohlog
dest-ip target.ip, target.asset.ip Wert des Felds dest-ip aus dem Rohlog
dest-port target.port Wert des Felds dest-port aus dem Rohlog
Beschreibung metadata.description Wenn description „user:“ enthält, extrahieren Sie die Nutzer-ID aus description und ordnen Sie sie userid zu. Wenn userid nicht leer ist und description „Invalid“ oder „invalid“ enthält, ersetzen Sie „Invalid user“ durch „Invalid“. Wenn application „sshd“ ist, entferne „from“ und „by“ aus description. Andernfalls als description-Feld aus dem Rohlog zuordnen
dst target.ip, target.asset.ip Wert des Felds dst aus dem Rohlog
dstIP target.ip, target.asset.ip Wert des Felds dstIP aus dem Rohlog
dstPort target.port Wert des Felds dstPort aus dem Rohlog
event-type metadata.product_event_type Wert des Felds event-type aus dem Rohlog
eventType metadata.product_event_type, metadata.event_type Wenn eventType nicht leer ist und srcIP und dstIP nicht leer sind, ordnen Sie eventType metadata.product_event_type und „NETWORK_CONNECTION“ metadata.event_type zu.
evntDesc security_result.description Wert des Felds evntDesc aus dem Rohlog
exe target.process.command_line Wert des Felds exe aus dem Rohlog
von network.email.from Entferne „<“ und „>“ aus from und ordne es network.email.from zu.
Gruppe target.user.group_identifiers Wert des Felds group aus dem Rohlog
gw-ip intermediary.ip, intermediary.asset.ip Wert des Felds gw-ip aus dem Rohlog
Host target.hostname, target.asset.hostname Wert des Felds host aus dem Rohlog
host-name hauptkonto.hostname, hauptkonto.asset.hostname Wert des Felds host-name aus dem Rohlog
Hostname hauptkonto.hostname, hauptkonto.asset.hostname Wert des Felds hostname aus dem Rohlog
ip target.ip, target.asset.ip Wert des Felds ip aus dem Rohlog
mx-ip intermediary.ip, intermediary.asset.ip Wert des Felds mx-ip aus dem Rohlog
objects-list additional.fields.Object_{index}.value.string_value Extrahieren Sie für jedes objects-list-Objekt im Rohlog das Objekt und ordnen Sie es Object_{index} in der UDM zu, wobei index der Index des Objekts im Array ist.
Vorgang about.labels.Operation.value Wert des Felds Operation aus dem Rohlog
Operation type about.labels.Operation Type.value Wert des Felds Operation type aus dem Rohlog
os-user principal.user.userid, additional.fields.OS User.value.string_value Wenn os-user nicht leer und db-user leer ist, wird das Feld os-user aus dem Rohlog zugeordnet. Andernfalls als OS User-Feld aus dem Rohlog zuordnen
Geparste Abfrage target.process.command_line Wert des Felds Parsed Query aus dem Rohlog
parsed-query additional.fields.Parsed Query.value.string_value Wert des Felds parsed-query aus dem Rohlog
pid target.process.pid Wert des Felds pid aus dem Rohlog
policy-id security_result.detection_fields.Policy_ID_{index}.value Extrahieren Sie für jedes policy-id-Objekt im Rohlog die Richtlinie und ordnen Sie sie Policy_ID_{index} in UDM zu, wobei index der Index des Objekts im Array ist.
policyName security_result.detection_fields.policyName_label.value Wert des Felds policyName aus dem Rohlog
Port target.port Wert des Felds port aus dem Rohlog
Privilegiert about.labels.Privileged.value Wenn Privileged „true“ ist, wird „True“ zugeordnet, andernfalls „False“.
Proto network.ip_protocol Wert des Felds proto aus dem Rohlog
Protokoll network.ip_protocol Wenn protocol „TCP“ oder „UDP“ ist, ordnen Sie es als protocol-Feld aus dem Rohlog zu.
PWD target.file.full_path Wert des Felds PWD aus dem Rohlog
Raw Data target.resource.attribute.labels.raw_Data.value Wert des Felds Raw Data aus dem Rohlog
raw-query additional.fields.Raw Query.value.string_value Wert des Felds raw-query aus dem Rohlog
ruleName security_result.rule_name Wert des Felds ruleName aus dem Rohlog
server-group additional.fields.serve_group_label.value.string_value Wert des Felds server-group aus dem Rohlog
service-name additional.fields.service_name_label.value.string_value Wert des Felds service-name aus dem Rohlog
Service Type additional.fields.Service Type.value.string_value Wert des Felds Service Type aus dem Rohlog
Größe network.received_bytes Wert des Felds size aus dem Rohlog
Stored Proc about.labels.Stored_Proc.value Wenn Stored Proc „true“ ist, wird „True“ zugeordnet, andernfalls „False“.
Table Group target.group.group_display_name Wert des Felds Table Group aus dem Rohlog
timestamp metadata.event_timestamp Wert des Felds timestamp aus dem Rohlog
bis network.email.to Entferne „<“ und „>“ aus to und ordne es network.email.to zu.
NUTZER principal.user.userid, target.user.userid Wenn USER nicht leer ist und USER „admin“ ist, wird das Feld USER aus dem Rohlog dem Feld target.user.userid zugeordnet. Andernfalls, wenn USER nicht leer ist, wird das Feld USER aus dem Rohlog dem Feld principal.user.userid zugeordnet.
Nutzerauthentifizierung security_result.detection_fields.user_authenticated.value Wert des Felds user-authenticated aus dem Rohlog
user-group additional.fields.user_group_label.value.string_value Wert des Felds user-group aus dem Rohlog
Nutzername principal.user.user_display_name Wert des Felds username aus dem Rohlog
usrName principal.user.userid Wert des Felds usrName aus dem Rohlog
extensions.auth.mechanism Fest codiert auf „USERNAME_PASSWORD“, wenn description „authentication failure“ (Authentifizierungsfehler), „check pass; user unknown“ (Karte prüfen; Nutzer unbekannt), „Invalid user“ (Ungültiger Nutzer) oder „invalid user“ (ungültiger Nutzer) enthält oder error nicht leer ist
extensions.auth.type Fest codiert auf „AUTHTYPE_UNSPECIFIED“, wenn has_principal „true“ ist und has_target „true“ ist und event-type „Login“ ist.
metadata.event_type Wenn PWD nicht leer ist, wird der Wert fest auf „PROCESS_OPEN“ codiert. Fest codiert auf „PROCESS_OPEN“, wenn message „starting“ enthält oder application „pman“, „CROND“ oder „run-parts“ ist und event_type leer ist. Fest codiert auf „NETWORK_CONNECTION“, wenn description „Syslog connection established“ (Syslog-Verbindung hergestellt), „Syslog connection broken“ (Syslog-Verbindung unterbrochen) oder „Syslog connection failed“ (Syslog-Verbindung fehlgeschlagen) ist. Fest codiert auf „EMAIL_UNCATEGORIZED“, wenn application „postfix/qmgr“, „postfix/local“ oder „postfix/pickup“ ist. Fest codiert auf „EMAIL_TRANSACTION“, wenn application „postfix/local“ oder „postfix/pickup“ und status „sent (delivered to mailbox)“ ist. Fest codiert auf „NETWORK_HTTP“, wenn application „sshd“ ist und description nicht „check pass; user unknown“, „authentication failure“ oder „invalid“ enthält.descriptiondescription Fest codiert auf „USER_LOGIN“, wenn description „authentication failure“, „check pass; user unknown“, „Invalid user“ oder „invalid user“ enthält oder error nicht leer ist. Wenn file_path nicht leer ist, ist der Wert fest auf „FILE_SYNC“ codiert. Fest codiert auf „PROCESS_UNCATEGORIZED“, wenn message „reconfigure“ enthält und application „pman“ ist. Fest codiert auf „PROCESS_TERMINATION“, wenn message „exit code 1“ enthält und application „pman“ ist. Fest codiert auf „NETWORK_CONNECTION“, wenn eventType nicht leer ist und srcIP und dstIP nicht leer sind. Bei has_principal = „true“, has_target = „true“ und event-type = „Login“ ist der Wert fest auf „USER_LOGIN“ codiert. Fest codiert auf „NETWORK_CONNECTION“, wenn has_principal „true“ ist, has_target „true“ ist und protocol nicht leer ist. Bei has_principal = „true“ ist der Wert fest auf „STATUS_UPDATE“ codiert. Fest codiert auf „GENERIC_EVENT“, wenn event_type leer oder „GENERIC_EVENT“ ist
metadata.log_type Fest codiert auf „IMPERVA_DB“
metadata.product_name Fest codiert auf „IMPERVA DB“
metadata.vendor_name Fest codiert auf „IMPERVA DB“
security_result.action Fest codiert auf „ALLOW“, wenn description nicht „authentication failure“ (Authentifizierungsfehler), „check pass; user unknown“ (Prüfung bestanden; Nutzer unbekannt), „Invalid user“ (Ungültiger Nutzer) oder „invalid user“ (ungültiger Nutzer) enthält und error leer ist. Fest codiert auf „BLOCK“, wenn description „authentication failure“ (Authentifizierungsfehler), „check pass; user unknown“ (Prüfung bestanden; Nutzer unbekannt), „Invalid user“ (Ungültiger Nutzer) oder „invalid user“ (ungültiger Nutzer) enthält oder error nicht leer ist
security_result.rule_id Wenn description „alert_score“ oder „new_alert_score“ enthält, extrahieren Sie die „ruleid“ aus description und ordnen Sie sie security_result.rule_id zu.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten