このページは Cloud Translation API によって翻訳されました。

Imperva FlexProtect のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Imperva FlexProtect ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず受信したログをクリーンアップして前処理し、共通イベント形式（CEF）データの抽出を試みます。「src」や「sip」などの特定のフィールドの有無に応じて、UDM イベントタイプを割り当て、関連する CEF フィールドを UDM スキーマにマッピングし、最終的に追加のカスタムフィールドで出力を拡充します。Imperva FlexProtect は、ハイブリッドクラウド環境全体で Imperva セキュリティソリューション（SecureSphere、Cloud WAF、Bot Protection）を柔軟にデプロイできます。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します
Imperva FlexProtect 管理コンソールまたは個々のプロダクトコンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_FLEXPROTECT'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Imperva FlexProtect で Syslog 転送を構成する

SecureSphere コンポーネント（オンプレミス/クラウド）の場合

Imperva SecureSphere Management Console にログインします。
[構成> アクションセット] に移動します。
[追加] をクリックして、新しいアクションセットを作成します。
[アクションを追加] をクリックし、次の構成の詳細を指定します。
- 名前: わかりやすい名前を入力します（例: Google SecOps Syslog）。
- アクションタイプ: [Syslog] を選択します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号（デフォルトは 514）を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- Syslog ログレベル: [DEBUG] を選択します。
- Syslog Facility: [LOCAL0] を選択します。
- 形式: [CEF]（Common Event Format）を選択します。
アクション構成を保存し、関連するセキュリティポリシーに適用します。

Cloud WAF/Incapsula コンポーネントの場合

Imperva Cloud Console にログインします。
[ログ> ログ設定] に移動します。
syslog の宛先を構成します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号（デフォルトは 514）を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- 形式: [CEF] を選択します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
act	read_only_udm.security_result.action_details	`act` フィールドから直接マッピングされます。
アプリ	read_only_udm.network.application_protocol	`app` フィールドから直接マッピングされます。
ccode	read_only_udm.principal.location.country_or_region	`ccode` フィールドから直接マッピングされます。
cicode	read_only_udm.principal.location.city	`cicode` フィールドから直接マッピングされます。
cn1	read_only_udm.network.http.response_code	整数に変換した後、`cn1` フィールドから直接マッピングされます。
cs1	read_only_udm.additional.fields.value.string_value	`cs1` フィールドから直接マッピングされます。
cs2	read_only_udm.additional.fields.value.string_value	`cs2` フィールドから直接マッピングされます。
cs3	read_only_udm.additional.fields.value.string_value	`cs3` フィールドから直接マッピングされます。
cs4	read_only_udm.additional.fields.value.string_value	`cs4` フィールドから直接マッピングされます。
cs5	read_only_udm.additional.fields.value.string_value	`cs5` フィールドから直接マッピングされます。
cs6	read_only_udm.additional.fields.value.string_value	`cs6` フィールドから直接マッピングされます。
cs7	read_only_udm.additional.fields.value.string_value	`cs7` フィールドから直接マッピングされます。
cs8	read_only_udm.additional.fields.value.string_value	`cs8` フィールドから直接マッピングされます。
cs9	read_only_udm.additional.fields.value.string_value	`cs9` フィールドから直接マッピングされます。
cpt	read_only_udm.principal.port	整数に変換した後、`cpt` フィールドから直接マッピングされます。
顧客	read_only_udm.principal.user.user_display_name	`Customer` フィールドから直接マッピングされます。
deviceExternalId	read_only_udm.about.asset.asset_id	この値は、「Incapsula.SIEMintegration:」と `deviceExternalId` フィールドを連結することで導出されます。
deviceFacility	read_only_udm.principal.location.city	`deviceFacility` フィールドから直接マッピングされます。
dproc	read_only_udm.target.process.command_line	`dproc` フィールドから直接マッピングされます。
end	read_only_udm.security_result.detection_fields.value	`end` フィールドから直接マッピングされます。
fileId	read_only_udm.network.session_id	`fileId` フィールドから直接マッピングされます。
filePermission	read_only_udm.about.resource.attribute.permissions.name	`filePermission` フィールドから直接マッピングされます。
in	read_only_udm.network.received_bytes	`in` フィールドから直接マッピングされます。
qstr	read_only_udm.security_result.detection_fields.value	`qstr` フィールドから直接マッピングされます。
リクエスト	read_only_udm.target.url	`request` フィールドから直接マッピングされます。
requestClientApplication	read_only_udm.network.http.user_agent	`requestClientApplication` フィールドから直接マッピングされます。
requestMethod	read_only_udm.network.http.method	`requestMethod` フィールドから直接マッピングされます。
siteid	read_only_udm.security_result.detection_fields.value	`siteid` フィールドから直接マッピングされます。
sip	read_only_udm.target.ip	`sip` フィールドから直接マッピングされます。
sourceServiceName	read_only_udm.principal.application	`sourceServiceName` フィールドから直接マッピングされます。
spt	read_only_udm.target.port	整数に変換した後、`spt` フィールドから直接マッピングされます。
src	read_only_udm.principal.ip	`src` フィールドから直接マッピングされます。
start	read_only_udm.security_result.detection_fields.value	`start` フィールドから直接マッピングされます。
suid	read_only_udm.principal.user.userid	`suid` フィールドから直接マッピングされます。
ver	read_only_udm.network.tls.version	`ver` フィールドから直接マッピングされます。
	read_only_udm.about.asset.asset_id	この値は、「Incapsula.SIEMintegration:」と `deviceExternalId` フィールドを連結することで導出されます。
	read_only_udm.additional.fields.key	値は、フィールドのラベルに基づいてパーサーロジックによって決定されます。例: - `cs1Label` は「Cap Support」にマッピングされます。 - `cs2Label` は「Javascript Support」にマッピングされます。 - `cs3Label` は「CO Support」にマッピングされます。 - `cs4Label` は「VID」にマッピングされます。 - `cs5Label` は「clappsig」にマッピングされます。 - `cs6Label` は「clapp」にマッピングされます。 - `cs7Label` は「latitude」にマッピングされます。 - `cs8Label` は「longitude」にマッピングされます。 - `cs9Label` は「Rule name」にマッピングされます。
	read_only_udm.metadata.event_timestamp.nanos	`collection_time.nanos` フィールドから直接マッピングされます。
	read_only_udm.metadata.event_timestamp.seconds	`collection_time.seconds` フィールドから直接マッピングされます。
	read_only_udm.metadata.event_type	値は、`src` フィールドと `sip` フィールドの有無に基づいて決定されます。 - 両方が存在する場合、値は「NETWORK_HTTP」に設定されます。 - `src` のみ存在する場合、値は「USER_UNCATEGORIZED」に設定されます。 - それ以外の場合、値は「GENERIC_EVENT」に設定されます。
	read_only_udm.metadata.product_event_type	この値は、「["、インデックス 4 の CEF ヘッダーフィールドの数値、「] - "、インデックス 4 の CEF ヘッダーフィールドのテキスト説明を連結して導出されます。
	read_only_udm.metadata.product_name	値は静的に「SIEMintegration」に設定されます。
	read_only_udm.metadata.product_version	値は静的に「1」に設定されます。
	read_only_udm.metadata.vendor_name	値は静的に「Incapsula」に設定されます。
	read_only_udm.security_result.detection_fields.key	値は、処理される対応するフィールドに基づいて、「siteid」、「event_start_time」、「event_end_time」、「qstr」のいずれかに静的に設定されます。
	read_only_udm.security_result.severity	値は静的に「LOW」に設定されます。
	read_only_udm.target.port	整数に変換した後、`spt` フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。