Mengumpulkan log Imperva Database

Didukung di:

Dokumen ini menjelaskan cara menyerap log Imperva Database ke Google Security Operations menggunakan agen Bindplane.

Parser mengekstrak kolom dari log yang diformat syslog Imperva Database. Parser ini menggunakan grok dan/atau kv untuk mem-parsing pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Parser ini juga menetapkan nilai metadata default untuk jenis dan sumber peristiwa. Imperva Database Security menyediakan kemampuan pemantauan, audit, dan perlindungan aktivitas database yang komprehensif.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke konsol pengelolaan Imperva SecureSphere

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agents.
  3. Download File Autentikasi Penyerapan.
  4. Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    • Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_DB'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <CUSTOMER_ID> dengan ID Pelanggan yang sebenarnya.
    • Ganti /path/to/ingestion-authentication-file.json dengan jalur file tempat file autentikasi disimpan di Langkah 1.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  1. Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

  2. Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop observiq-otel-collector && net start observiq-otel-collector

Mengonfigurasi penerusan Syslog di Imperva Database

  1. Login ke Konsol Pengelolaan Imperva SecureSphere.
  2. Buka Configuration > Action Sets.
  3. Klik Tambahkan untuk membuat Set Tindakan baru atau mengedit Set Tindakan yang ada.
  4. Klik Add Action, lalu berikan detail konfigurasi berikut:
    • Name: Masukkan nama deskriptif (misalnya, Google SecOps Syslog).
    • Action Type: Pilih GW Syslog.
    • Host: Masukkan alamat IP agen Bindplane.
    • Port: Masukkan nomor port agen Bindplane (default 514).
    • Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
    • Syslog Log Level: Pilih DEBUG untuk logging yang komprehensif.
    • Syslog Facility: Pilih LOCAL0 atau fasilitas yang sesuai.
    • Action Interface: Pilih Gateway Log - Security Event - System Log (syslog) - JSON format (Extended) untuk format SYSLOG+JSON, atau Gateway Log - Security Event - System Log (syslog) untuk format SYSLOG standar.
  5. Simpan konfigurasi tindakan.
  6. Buka Policies > Security Policies atau Policies > Database Audit Policies.
  7. Edit kebijakan yang relevan dan tambahkan Kumpulan Tindakan yang berisi tindakan syslog Anda untuk memastikan peristiwa diteruskan ke Google SecOps.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
acct principal.user.userid Jika acct adalah "admin", petakan ke target.user.userid, jika tidak, petakan ke principal.user.userid. Hapus tanda petik dan spasi dari acct sebelum pemetaan.
tindakan security_result.action_details Nilai kolom action dari log mentah
alertSev security_result.severity Jika alertSev adalah "Informative", petakan sebagai "INFORMATIONAL", jika tidak, petakan sebagai huruf besar dari alertSev
application principal.application Jika application adalah "pam_unix(sudo:session)" atau description berisi "pam_unix", petakan sebagai "pam_unix". Jika message berisi "run-parts", petakan sebagai "run-parts". Jika message berisi "audispd", petakan sebagai "audispd". Jika message berisi "FSS audit", petakan sebagai "FSS audit". Jika tidak, petakan sebagai kolom application dari log mentah
application-name target.application Nilai kolom application-name dari log mentah
audit-policy security_result.category_details Nilai kolom audit-policy dari log mentah
bind-variables additional.fields.bind_variables_label.value.string_value Nilai kolom bind-variables dari log mentah
category security_result.category_details Nilai kolom category dari log mentah
PERINTAH target.process.command_line Jika exe tidak kosong, petakan sebagai kolom exe dari log mentah. Jika tidak, petakan sebagai kolom COMMAND dari log mentah
Waktu pembuatan Tidak Dipetakan
db-schema-pair additional.fields.DB Name_{index}.value.string_value, additional.fields.Schema Name_{index}.value.string_value Untuk setiap objek db-schema-pair dalam log mentah, ekstrak kolom db-name dan schema-name, lalu petakan ke DB Name_{index} dan Schema Name_{index} masing-masing di UDM, dengan index adalah indeks objek dalam array.
db-user principal.user.userid Jika db-user tidak kosong, petakan sebagai kolom db-user dari log mentah. Jika os-user tidak kosong dan db-user kosong, petakan sebagai kolom os-user dari log mentah
dbName target.resource.name Nilai kolom dbName dari log mentah
dest-ip target.ip, target.asset.ip Nilai kolom dest-ip dari log mentah
dest-port target.port Nilai kolom dest-port dari log mentah
deskripsi metadata.description Jika description berisi "user:", ekstrak userid dari description dan petakan ke userid. Jika userid tidak kosong dan description berisi "Invalid" atau "invalid", ganti "Invalid user" dengan "Invalid". Jika application adalah "sshd", hapus " from" dan " by" dari description. Jika tidak, petakan sebagai kolom description dari log mentah
dst target.ip, target.asset.ip Nilai kolom dst dari log mentah
dstIP target.ip, target.asset.ip Nilai kolom dstIP dari log mentah
dstPort target.port Nilai kolom dstPort dari log mentah
event-type metadata.product_event_type Nilai kolom event-type dari log mentah
eventType metadata.product_event_type, metadata.event_type Jika eventType tidak kosong dan srcIP serta dstIP tidak kosong, petakan eventType ke metadata.product_event_type dan petakan "NETWORK_CONNECTION" ke metadata.event_type
evntDesc security_result.description Nilai kolom evntDesc dari log mentah
exe target.process.command_line Nilai kolom exe dari log mentah
dari network.email.from Hapus "<" dan ">" dari from dan petakan ke network.email.from
grup target.user.group_identifiers Nilai kolom group dari log mentah
gw-ip intermediary.ip, intermediary.asset.ip Nilai kolom gw-ip dari log mentah
host target.hostname, target.asset.hostname Nilai kolom host dari log mentah
host-name principal.hostname, principal.asset.hostname Nilai kolom host-name dari log mentah
hostname principal.hostname, principal.asset.hostname Nilai kolom hostname dari log mentah
ip target.ip, target.asset.ip Nilai kolom ip dari log mentah
mx-ip intermediary.ip, intermediary.asset.ip Nilai kolom mx-ip dari log mentah
objects-list additional.fields.Object_{index}.value.string_value Untuk setiap objek objects-list dalam log mentah, ekstrak objek dan petakan ke Object_{index} di UDM, dengan index adalah indeks objek dalam array.
Operasi about.labels.Operation.value Nilai kolom Operation dari log mentah
Operation type about.labels.Operation Type.value Nilai kolom Operation type dari log mentah
os-user principal.user.userid, additional.fields.OS User.value.string_value Jika os-user tidak kosong dan db-user kosong, petakan sebagai kolom os-user dari log mentah. Jika tidak, petakan sebagai kolom OS User dari log mentah
Kueri yang Diurai target.process.command_line Nilai kolom Parsed Query dari log mentah
parsed-query additional.fields.Parsed Query.value.string_value Nilai kolom parsed-query dari log mentah
pid target.process.pid Nilai kolom pid dari log mentah
policy-id security_result.detection_fields.Policy_ID_{index}.value Untuk setiap objek policy-id dalam log mentah, ekstrak kebijakan dan petakan ke Policy_ID_{index} di UDM, dengan index adalah indeks objek dalam array.
policyName security_result.detection_fields.policyName_label.value Nilai kolom policyName dari log mentah
port target.port Nilai kolom port dari log mentah
Diberi Hak Istimewa about.labels.Privileged.value Jika Privileged benar, petakan sebagai "Benar", jika tidak, petakan sebagai "Salah"
proto network.ip_protocol Nilai kolom proto dari log mentah
protokol network.ip_protocol Jika protocol adalah "TCP" atau "UDP", petakan sebagai kolom protocol dari log mentah
PWD target.file.full_path Nilai kolom PWD dari log mentah
Raw Data target.resource.attribute.labels.raw_Data.value Nilai kolom Raw Data dari log mentah
raw-query additional.fields.Raw Query.value.string_value Nilai kolom raw-query dari log mentah
ruleName security_result.rule_name Nilai kolom ruleName dari log mentah
server-group additional.fields.serve_group_label.value.string_value Nilai kolom server-group dari log mentah
service-name additional.fields.service_name_label.value.string_value Nilai kolom service-name dari log mentah
Service Type additional.fields.Service Type.value.string_value Nilai kolom Service Type dari log mentah
ukuran network.received_bytes Nilai kolom size dari log mentah
Stored Proc about.labels.Stored_Proc.value Jika Stored Proc benar, petakan sebagai "Benar", jika tidak, petakan sebagai "Salah"
Table Group target.group.group_display_name Nilai kolom Table Group dari log mentah
timestamp metadata.event_timestamp Nilai kolom timestamp dari log mentah
sampai network.email.to Hapus "<" dan ">" dari to dan petakan ke network.email.to
PENGGUNA principal.user.userid, target.user.userid Jika USER tidak kosong dan USER adalah "admin", petakan sebagai kolom USER dari log mentah ke target.user.userid. Jika USER tidak kosong, petakan sebagai kolom USER dari log mentah ke principal.user.userid
diautentikasi pengguna security_result.detection_fields.user_authenticated.value Nilai kolom user-authenticated dari log mentah
grup pengguna additional.fields.user_group_label.value.string_value Nilai kolom user-group dari log mentah
nama pengguna principal.user.user_display_name Nilai kolom username dari log mentah
usrName principal.user.userid Nilai kolom usrName dari log mentah
extensions.auth.mechanism Dikodekan secara permanen ke "USERNAME_PASSWORD" jika description berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau error tidak kosong
extensions.auth.type Dikodekan secara permanen ke "AUTHTYPE_UNSPECIFIED" jika has_principal adalah "true" dan has_target adalah "true" dan event-type adalah "Login"
metadata.event_type Dikodekan secara permanen ke "PROCESS_OPEN" jika PWD tidak kosong. Dikodekan secara permanen ke "PROCESS_OPEN" jika message berisi "starting" atau application adalah "pman" atau "CROND" atau "run-parts" dan event_type kosong. Dikodekan secara permanen ke "NETWORK_CONNECTION" jika description adalah "Syslog connection established" atau "Syslog connection broken" atau "Syslog connection failed". Dikodekan secara permanen ke "EMAIL_UNCATEGORIZED" jika application adalah "postfix/qmgr" atau "postfix/local" atau "postfix/pickup". Dikodekan secara permanen ke "EMAIL_TRANSACTION" jika application adalah "postfix/local" atau "postfix/pickup" dan status adalah "sent (delivered to mailbox)". Dikodekan secara permanen ke "NETWORK_HTTP" jika application adalah "sshd" dan description tidak berisi "check pass; user unknown" dan description tidak berisi "authentication failure" dan description tidak berisi "invalid". Dikodekan secara permanen ke "USER_LOGIN" jika description berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau error tidak kosong. Dikodekan secara permanen ke "FILE_SYNC" jika file_path tidak kosong. Dikodekan secara permanen ke "PROCESS_UNCATEGORIZED" jika message berisi "reconfigure" dan application adalah "pman". Dikodekan secara permanen ke "PROCESS_TERMINATION" jika message berisi "exit code 1" dan application adalah "pman". Dikodekan secara permanen ke "NETWORK_CONNECTION" jika eventType tidak kosong dan srcIP dan dstIP tidak kosong. Dikodekan secara permanen ke "USER_LOGIN" jika has_principal adalah "true" dan has_target adalah "true" dan event-type adalah "Login". Dikodekan secara permanen ke "NETWORK_CONNECTION" jika has_principal adalah "true" dan has_target adalah "true" dan protocol tidak kosong. Dikodekan secara permanen ke "STATUS_UPDATE" jika has_principal adalah "true". Dikodekan secara permanen ke "GENERIC_EVENT" jika event_type kosong atau "GENERIC_EVENT"
metadata.log_type Dikodekan secara permanen ke "IMPERVA_DB"
metadata.product_name Dikodekan secara permanen ke "IMPERVA DB"
metadata.vendor_name Dikodekan secara permanen ke "IMPERVA DB"
security_result.action Dikodekan secara permanen ke "ALLOW" jika description tidak berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" dan error kosong. Dikodekan secara permanen ke "BLOCK" jika description berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau error tidak kosong
security_result.rule_id Jika description berisi "alert_score" atau "new_alert_score", ekstrak ruleid dari description dan petakan ke security_result.rule_id

Log Perubahan

Melihat Log Perubahan untuk parser ini

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.