Collecter les journaux de base de données Imperva
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer les journaux de base de données Imperva dans Google Security Operations à l'aide de Bindplane. L'analyseur tente d'abord d'extraire les champs de différents formats de journaux structurés tels que CEF, LEEF et JSON. Si ces formats ne sont pas trouvés, il utilise des modèles grok pour extraire les champs des messages syslog non structurés, en mappant finalement les données extraites à un modèle de données unifié (UDM). Imperva Database Security offre des fonctionnalités complètes de surveillance, d'audit et de protection de l'activité des bases de données.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows 2016 ou version ultérieure, ou un hôte Linux avec
systemd - Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à la console de gestion Imperva SecureSphere
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
- Pour plus d'options d'installation, consultez ce guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Accédez au fichier de configuration :
- Trouvez le fichier
config.yaml. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Trouvez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'IMPERVA_DB' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez
<customer_id>par le numéro client réel. - Mettez à jour
/path/to/ingestion-authentication-file.jsonavec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer le transfert Syslog sur Imperva Database
- Connectez-vous à la console de gestion Imperva SecureSphere.
- Accédez à Configuration > Ensembles d'actions.
- Cliquez sur Ajouter pour créer un ensemble d'actions ou en modifier un existant.
- Cliquez sur Ajouter une action et fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple,
Google SecOps Syslog). - Type d'action : sélectionnez Syslog GW.
- Hôte : saisissez l'adresse IP de l'agent BindPlane.
- Port : saisissez le numéro de port de l'agent BindPlane (
514par défaut). - Protocole : sélectionnez UDP ou TCP, selon la configuration de votre agent BindPlane.
- Niveau de journalisation Syslog : sélectionnez DEBUG pour une journalisation complète.
- Installation Syslog : sélectionnez LOCAL0 ou l'installation appropriée.
- Interface d'action : sélectionnez Journal de la passerelle – Événement de sécurité – Journal système (syslog) – Format JSON (étendu) pour le format SYSLOG+JSON, ou Journal de la passerelle – Événement de sécurité – Journal système (syslog) pour le format SYSLOG standard.
- Nom : saisissez un nom descriptif (par exemple,
- Enregistrez la configuration de l'action.
- Accédez à Règles > Règles de sécurité ou Règles > Règles d'audit de base de données.
- Modifiez les règles concernées et ajoutez l'ensemble d'actions contenant votre action Syslog pour vous assurer que les événements sont transférés vers Google SecOps.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| acct | principal.user.userid | Si acct est "admin", mappez-le sur target.user.userid, sinon mappez-le sur principal.user.userid. Supprimez les guillemets et les espaces de acct avant le mappage. |
| action | security_result.action_details | Valeur du champ action du journal brut |
| alertSev | security_result.severity | Si alertSev est "Informative", mappez-le sur "INFORMATIONAL". Sinon, mappez-le sur la version en majuscules de alertSev. |
| application | principal.application | Si application est "pam_unix(sudo:session)" ou si description contient "pam_unix", mappez-le en tant que "pam_unix". Si message contient " run-parts", mappez-le comme "run-parts". Si message contient "audispd", mappez-le en tant que "audispd". Si message contient "FSS audit", mappez-le sur "FSS audit". Sinon, mappez-le comme champ application à partir du journal brut. |
| application-name | target.application | Valeur du champ application-name du journal brut |
| audit-policy | security_result.category_details | Valeur du champ audit-policy du journal brut |
| bind-variables | additional.fields.bind_variables_label.value.string_value | Valeur du champ bind-variables du journal brut |
| category | security_result.category_details | Valeur du champ category du journal brut |
| COMMAND | target.process.command_line | Si exe n'est pas vide, mappez-le en tant que champ exe à partir du journal brut. Sinon, mappez-le comme champ COMMAND à partir du journal brut. |
| createTime | Non mappé | |
| db-schema-pair | additional.fields.DB Name_{index}.value.string_value, additional.fields.Schema Name_{index}.value.string_value |
Pour chaque objet db-schema-pair du journal brut, extrayez les champs db-name et schema-name, puis mappez-les respectivement à DB Name_{index} et Schema Name_{index} dans l'UDM, où index correspond à l'index de l'objet dans le tableau. |
| db-user | principal.user.userid | Si db-user n'est pas vide, mappez-le en tant que champ db-user à partir du journal brut. Sinon, si os-user n'est pas vide et que db-user est vide, mappez-le en tant que champ os-user à partir du journal brut. |
| dbName | target.resource.name | Valeur du champ dbName du journal brut |
| dest-ip | target.ip, target.asset.ip | Valeur du champ dest-ip du journal brut |
| dest-port | target.port | Valeur du champ dest-port du journal brut |
| description | metadata.description | Si description contient "user:", extrayez l'ID utilisateur de description et mappez-le sur userid. Si userid n'est pas vide et que description contient "Invalid" ou "invalid", remplacez "Invalid user" par "Invalid". Si application est "sshd", supprimez " de" et " par" de description. Sinon, mappez-le comme champ description à partir du journal brut. |
| dst | target.ip, target.asset.ip | Valeur du champ dst du journal brut |
| dstIP | target.ip, target.asset.ip | Valeur du champ dstIP du journal brut |
| dstPort | target.port | Valeur du champ dstPort du journal brut |
| event-type | metadata.product_event_type | Valeur du champ event-type du journal brut |
| eventType | metadata.product_event_type, metadata.event_type | Si eventType, srcIP et dstIP ne sont pas vides, mappez eventType sur metadata.product_event_type et "NETWORK_CONNECTION" sur metadata.event_type. |
| evntDesc | security_result.description | Valeur du champ evntDesc du journal brut |
| exe | target.process.command_line | Valeur du champ exe du journal brut |
| de | network.email.from | Supprimez "<" et ">" de from et mappez-le à network.email.from |
| groupe | target.user.group_identifiers | Valeur du champ group du journal brut |
| gw-ip | intermediary.ip, intermediary.asset.ip | Valeur du champ gw-ip du journal brut |
| hôte | target.hostname, target.asset.hostname | Valeur du champ host du journal brut |
| host-name | principal.hostname, principal.asset.hostname | Valeur du champ host-name du journal brut |
| nom d'hôte | principal.hostname, principal.asset.hostname | Valeur du champ hostname du journal brut |
| ip | target.ip, target.asset.ip | Valeur du champ ip du journal brut |
| mx-ip | intermediary.ip, intermediary.asset.ip | Valeur du champ mx-ip du journal brut |
| objects-list | additional.fields.Object_{index}.value.string_value |
Pour chaque objet objects-list du journal brut, extrayez l'objet et mappez-le à Object_{index} dans l'UDM, où index est l'index de l'objet dans le tableau. |
| Opération | about.labels.Operation.value | Valeur du champ Operation du journal brut |
Operation type |
about.labels.Operation Type.value |
Valeur du champ Operation type du journal brut |
| os-user | principal.user.userid, additional.fields.OS User.value.string_value |
Si os-user n'est pas vide et que db-user est vide, mappez-le en tant que champ os-user à partir du journal brut. Sinon, mappez-le comme champ OS User à partir du journal brut. |
| Requête analysée | target.process.command_line | Valeur du champ Parsed Query du journal brut |
| parsed-query | additional.fields.Parsed Query.value.string_value |
Valeur du champ parsed-query du journal brut |
| pid | target.process.pid | Valeur du champ pid du journal brut |
| policy-id | security_result.detection_fields.Policy_ID_{index}.value |
Pour chaque objet policy-id du journal brut, extrayez la règle et mappez-la à Policy_ID_{index} dans l'UDM, où index est l'index de l'objet dans le tableau. |
| policyName | security_result.detection_fields.policyName_label.value | Valeur du champ policyName du journal brut |
| port | target.port | Valeur du champ port du journal brut |
| Privilégié | about.labels.Privileged.value | Si Privileged est défini sur "true", la valeur est "True". Sinon, elle est "False". |
| proto | network.ip_protocol | Valeur du champ proto du journal brut |
| protocol | network.ip_protocol | Si protocol est "TCP" ou "UDP", mappez-le en tant que champ protocol à partir du journal brut. |
| PWD | target.file.full_path | Valeur du champ PWD du journal brut |
Raw Data |
target.resource.attribute.labels.raw_Data.value | Valeur du champ Raw Data du journal brut |
| raw-query | additional.fields.Raw Query.value.string_value |
Valeur du champ raw-query du journal brut |
| ruleName | security_result.rule_name | Valeur du champ ruleName du journal brut |
| server-group | additional.fields.serve_group_label.value.string_value | Valeur du champ server-group du journal brut |
| service-name | additional.fields.service_name_label.value.string_value | Valeur du champ service-name du journal brut |
Service Type |
additional.fields.Service Type.value.string_value |
Valeur du champ Service Type du journal brut |
| taille | network.received_bytes | Valeur du champ size du journal brut |
Stored Proc |
about.labels.Stored_Proc.value | Si Stored Proc est défini sur "true", la valeur est "True". Sinon, elle est "False". |
Table Group |
target.group.group_display_name | Valeur du champ Table Group du journal brut |
| timestamp | metadata.event_timestamp | Valeur du champ timestamp du journal brut |
| à | network.email.to | Supprimez "<" et ">" de to et mappez-le à network.email.to |
| UTILISATEUR | principal.user.userid, target.user.userid | Si USER n'est pas vide et que USER est défini sur "admin", mappez le champ USER du journal brut sur target.user.userid. Sinon, si USER n'est pas vide, mappez le champ USER du journal brut sur principal.user.userid. |
| authentifié par l'utilisateur | security_result.detection_fields.user_authenticated.value | Valeur du champ user-authenticated du journal brut |
| user-group | additional.fields.user_group_label.value.string_value | Valeur du champ user-group du journal brut |
| nom d'utilisateur | principal.user.user_display_name | Valeur du champ username du journal brut |
| usrName | principal.user.userid | Valeur du champ usrName du journal brut |
| extensions.auth.mechanism | Codé en dur sur "USERNAME_PASSWORD" si description contient "authentication failure" (échec de l'authentification), "check pass; user unknown" (vérifier le mot de passe ; utilisateur inconnu), "Invalid user" (utilisateur non valide) ou "invalid user" (utilisateur non valide), ou si error n'est pas vide |
|
| extensions.auth.type | Codé en dur sur "AUTHTYPE_UNSPECIFIED" si has_principal est défini sur "true", has_target sur "true" et event-type sur "Login" |
|
| metadata.event_type | Codé en dur sur "PROCESS_OPEN" si PWD n'est pas vide. Codé en dur sur "PROCESS_OPEN" si message contient "starting" ou si application est "pman", "CROND" ou "run-parts" et que event_type est vide. Codé en dur sur "NETWORK_CONNECTION" si description est "Syslog connection established" (Connexion Syslog établie), "Syslog connection broken" (Connexion Syslog interrompue) ou "Syslog connection failed" (Échec de la connexion Syslog). Codé en dur sur "EMAIL_UNCATEGORIZED" si application est "postfix/qmgr", "postfix/local" ou "postfix/pickup". Codé en dur sur "EMAIL_TRANSACTION" si application est "postfix/local" ou "postfix/pickup" et status est "sent (delivered to mailbox)". Codé en dur sur "NETWORK_HTTP" si application est "sshd" et que description ne contient pas "check pass; user unknown", "authentication failure" ni "invalid".descriptiondescription Codé en dur sur "USER_LOGIN" si description contient "authentication failure" (échec de l'authentification), "check pass; user unknown" (vérification réussie, utilisateur inconnu), "Invalid user" (utilisateur non valide) ou "invalid user" (utilisateur non valide), ou si error n'est pas vide. Codé en dur sur "FILE_SYNC" si file_path n'est pas vide. Codé en dur sur "PROCESS_UNCATEGORIZED" si message contient "reconfigure" et que application est "pman". Codé en dur sur "PROCESS_TERMINATION" si message contient "exit code 1" et que application est "pman". Codé en dur sur "NETWORK_CONNECTION" si eventType, srcIP et dstIP ne sont pas vides. Codé en dur sur "USER_LOGIN" si has_principal est défini sur "true", has_target sur "true" et event-type sur "Login". Codé en dur sur "NETWORK_CONNECTION" si has_principal est défini sur "true", has_target est défini sur "true" et protocol n'est pas vide. Codé en dur sur "STATUS_UPDATE" si has_principal est défini sur "true". Codé en dur sur "GENERIC_EVENT" si event_type est vide ou "GENERIC_EVENT" |
|
| metadata.log_type | Codé en dur sur "IMPERVA_DB" | |
| metadata.product_name | Codé en dur sur "IMPERVA DB" | |
| metadata.vendor_name | Codé en dur sur "IMPERVA DB" | |
| security_result.action | Codé en dur sur "ALLOW" si description ne contient pas "authentication failure" (échec de l'authentification), "check pass; user unknown" (vérification réussie ; utilisateur inconnu), "Invalid user" (utilisateur non valide) ou "invalid user" (utilisateur non valide), et si error est vide. Codé en dur sur "BLOCK" si description contient "authentication failure" (échec de l'authentification), "check pass; user unknown" (vérification réussie, utilisateur inconnu), "Invalid user" (utilisateur non valide) ou "invalid user" (utilisateur non valide), ou si error n'est pas vide |
|
| security_result.rule_id | Si description contient "alert_score" ou "new_alert_score", extrayez le ruleid de description et mappez-le à security_result.rule_id. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.