Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux de gestion Imperva SecureSphere

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux de gestion Imperva SecureSphere dans Google Security Operations à l'aide de l'agent Bindplane.

Imperva SecureSphere est une plate-forme de pare-feu d'application Web, de sécurité des bases de données et de sécurité des fichiers qui génère des messages syslog au format CEF pour les événements liés à la sécurité, les événements système et les non-respects des règles. L'analyseur extrait les champs des messages CEF à l'aide de l'analyse grok et clé-valeur, puis les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur de gestion Imperva SecureSphere
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console de gestion Imperva SecureSphere

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/imperva_securesphere:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IMPERVA_SECURESPHERE
        raw_log_field: body

service:
    pipelines:
        logs/imperva_securesphere_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/imperva_securesphere

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog sur Imperva SecureSphere Management

Connectez-vous à la console de gestion Imperva SecureSphere.
Accédez à Configuration > Ensembles d'actions.
Cliquez sur Ajouter pour créer un ensemble d'actions.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple, Google SecOps Syslog).

Configurer une action d'événement de sécurité

Cliquez sur Ajouter une action et configurez les éléments suivants :
- Type d'action : sélectionnez Syslog.
- Hôte : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (514 par défaut).
- Protocole : sélectionnez UDP ou TCP.
- Niveau de journalisation Syslog : sélectionnez DEBUG.
- Installation Syslog : sélectionnez LOCAL0.
- Format du message : sélectionnez Journal de la passerelle – Événement de sécurité – Journal système (syslog) utilisant la norme CEF.

Configurer l'action d'événement système

Cliquez sur Ajouter une action et configurez les éléments suivants :
- Type d'action : sélectionnez Journal système.
- Hôte : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Protocole : sélectionnez UDP ou TCP.
- Format du message : sélectionnez Enregistrer l'événement système dans le journal système (syslog) à l'aide de la norme CEF.

Appliquer des ensembles d'actions aux règles

Accédez à Règles > Règles de sécurité.
Pour chaque règle pertinente, configurez les actions suivies afin d'utiliser votre ensemble d'actions.
Accédez à Règles > Règles relatives aux événements système.
Configurez des règles d'événements système pour utiliser l'ensemble d'actions afin d'assurer une surveillance complète.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`action`	`security_result.action_details`	La valeur du champ `action` est attribuée au champ `security_result.action_details`.
`application-name`	`target.application`	La valeur du champ `application-name` est attribuée au champ `target.application`.
`cat`	`security_result.category_details`	La valeur du champ `cat` est attribuée au champ `security_result.category_details`.
`class`	`security_result.detection_fields.value`	La valeur du champ `class` est attribuée au champ `value` dans `security_result.detection_fields`. Le `key` correspondant est "class".
`collection_time.seconds`	`metadata.event_timestamp.seconds`	La valeur de `collection_time.seconds` du journal brut est utilisée comme valeur en secondes pour `metadata.event_timestamp`.
`create-time`	`metadata.event_timestamp.seconds`	La valeur de `create-time` est analysée et sa valeur en secondes est utilisée comme valeur en secondes pour `metadata.event_timestamp`.
`cs1`	`security_result.rule_name`	La valeur du champ `cs1` est attribuée au champ `security_result.rule_name`.
`cs10`	`target.resource.attribute.labels.value`	La valeur du champ `cs10` est attribuée au champ `value` dans `target.resource.attribute.labels`.
`cs10Label`	`target.resource.attribute.labels.key`	La valeur du champ `cs10Label` est attribuée au champ `key` dans `target.resource.attribute.labels`.
`cs11`	`principal.application`	La valeur du champ `cs11` est attribuée au champ `principal.application`.
`cs12`	`security_result.description`	La valeur du champ `cs12`, après suppression des accolades et des signes dollar, est attribuée au champ `security_result.description`.
`cs14`	`target.resource.attribute.labels.value`	La valeur du champ `cs14` est attribuée au champ `value` dans `target.resource.attribute.labels`.
`cs14Label`	`target.resource.attribute.labels.key`	La valeur du champ `cs14Label` est attribuée au champ `key` dans `target.resource.attribute.labels`.
`cs15`	`security_result.summary`	La valeur du champ `cs15` est attribuée au champ `security_result.summary`.
`cs16`	`principal.process.command_line`	La valeur du champ `cs16` est attribuée au champ `principal.process.command_line`.
`cs17`	`target.resource.resource_subtype`	La valeur du champ `cs17` est attribuée au champ `target.resource.resource_subtype`.
`cs2`	`principal.group.group_display_name`	La valeur du champ `cs2` est attribuée au champ `principal.group.group_display_name`.
`cs3`	`principal.hostname`, `principal.asset.hostname`	La valeur du champ `cs3` est attribuée aux champs `principal.hostname` et `principal.asset.hostname`.
`cs4`	`target.application`	La valeur du champ `cs4` est attribuée au champ `target.application`, sauf si la valeur est "ProcessWitness".
`cs5`	`metadata.description`	La valeur du champ `cs5` est attribuée au champ `metadata.description`.
`cs6`	`target.resource_ancestors.name`	La valeur du champ `cs6` est attribuée au champ `target.resource_ancestors.name`.
`cs7`	`target.resource_ancestors.resource_subtype`	La valeur du champ `cs7` est attribuée au champ `target.resource_ancestors.resource_subtype`.
`cs8`	`target.resource.name`, `target.resource.resource_type`	La valeur du champ `cs8` est attribuée au champ `target.resource.name`, et `target.resource.resource_type` est défini sur "DATABASE".
`cs9`	`principal.user.userid`	La valeur du champ `cs9` est attribuée au champ `principal.user.userid`.
`description`	`security_result.description`	La valeur du champ `description` est attribuée au champ `security_result.description`.
`dest-ip`	`target.ip`, `target.asset.ip`	L'adresse IP extraite du champ `dest-ip` est attribuée aux champs `target.ip` et `target.asset.ip`.
`dest-port`	`target.port`	La valeur du champ `dest-port`, convertie en entier, est attribuée au champ `target.port`.
`deviceExternalId`	`intermediary.hostname`	La valeur du champ `deviceExternalId` est attribuée au champ `intermediary.hostname`.
`dpt`	`target.port`	La valeur du champ `dpt`, convertie en entier, est attribuée au champ `target.port`.
`dst`	`target.ip`, `target.asset.ip`	La valeur du champ `dst` est attribuée aux champs `target.ip` et `target.asset.ip`.
`duser`	`target.user.userid`	La valeur du champ `duser` est attribuée au champ `target.user.userid`.
`eventId`	`metadata.product_log_id`	La valeur du champ `eventId` est attribuée au champ `metadata.product_log_id`.
`gateway-name`	`security_result.detection_fields.value`	La valeur du champ `gateway-name` est attribuée au champ `value` dans `security_result.detection_fields`. Le `key` correspondant est "gateway-name".
`http.request.method`	`network.http.method`	La valeur du champ `http.request.method` est attribuée au champ `network.http.method`.
`http.request.user-agent`	`network.http.user_agent`	La valeur du champ `http.request.user_agent` est attribuée au champ `network.http.user_agent`.
`http.response.code`	`network.http.response_code`	La valeur du champ `http.response.code`, convertie en entier, est attribuée au champ `network.http.response_code`.
`http.session-id`	`network.session_id`	La valeur du champ `http.session-id` est attribuée au champ `network.session_id`.
`http.user-name`	`principal.user.userid`	La valeur du champ `http.user-name`, sans les guillemets qui l'entourent, est attribuée au champ `principal.user.userid`.
`log_type`	`metadata.log_type`	La valeur du champ `log_type` du journal brut est attribuée au champ `metadata.log_type`.
`mx-ip`	`intermediary.ip`	La valeur du champ `mx-ip` est attribuée au champ `intermediary.ip`.
`MxIP`	`intermediary.ip`	La valeur du champ `MxIP` est attribuée au champ `intermediary.ip`.
`OSUser`	`principal.user.userid`	La valeur du champ `OSUser` est attribuée au champ `principal.user.userid`.
`policy-name`	`security_result.detection_fields.value`	La valeur du champ `policy-name` est attribuée au champ `value` dans `security_result.detection_fields`. Le `key` correspondant est "policy-name".
`pquery`	`target.resource.name`, `target.process.command_line`	Si `pquery` n'est pas vide et contient le mot "from", le nom de la table est extrait et attribué à `target.resource.name`, `target.resource.resource_type` est défini sur "TABLE" et la valeur `pquery` entière est attribuée à `target.process.command_line`. Sinon, la valeur `pquery` entière est attribuée à `target.resource.name`.
`pro`	`security_result.description`	La valeur du champ `pro` est attribuée au champ `security_result.description`.
`product`	`metadata.product_name`	La valeur du champ `product` est attribuée au champ `metadata.product_name`.
`product_type`	`metadata.product_event_type`	La valeur du champ `product_type` est attribuée au champ `metadata.product_event_type`.
`protocol`	`network.ip_protocol`	Si la valeur du champ `protocol` est "TCP" ou "UDP", elle est attribuée au champ `network.ip_protocol`.
`proto`	`network.ip_protocol`	La valeur du champ `proto` est attribuée au champ `network.ip_protocol`.
`reason`	`security_result.rule_name`	La valeur du champ `reason` est attribuée au champ `security_result.rule_name`.
`rt`	`metadata.event_timestamp.seconds`	La valeur de `rt` est analysée et sa valeur en secondes est utilisée comme valeur en secondes pour `metadata.event_timestamp`.
`server-group-name`	`target.resource.attribute.labels.value`	La valeur du champ `server-group-name` est attribuée au champ `value` dans `target.resource.attribute.labels`. Le `key` correspondant est "server-group-name".
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	La valeur du champ `server-group-simulation-mode` est attribuée au champ `value` dans `target.resource.attribute.labels`. Le `key` correspondant est "server-group-simulation-mode".
`service-name`	`target.resource.attribute.labels.value`	La valeur du champ `service-name` est attribuée au champ `value` dans `target.resource.attribute.labels`. Le `key` correspondant est "service-name".
`ServiceName`	`target.application`	Si `ApplicationName` n'est pas vide et que `ServiceName` l'est, la valeur de `ApplicationName` est attribuée à `ServiceName`. La valeur de `ServiceName` est ensuite attribuée à `target.application`.
`severity`	`security_result.severity`, `security_result.severity_details`	La valeur du champ `severity` est convertie en majuscules. Si la valeur est "LOW", "MEDIUM", "HIGH" ou "CRITICAL", elle est attribuée à `security_result.severity`. Si la valeur est "INFORMATIVE" ou "INFO", `security_result.severity` est défini sur "INFORMATIONAL". La valeur d'origine est également attribuée à `security_result.severity_details`.
`severity_data`	`security_result.severity`	La valeur du champ `severity_data` est convertie en majuscules. Si la valeur est "HIGH", "LOW", "MEDIUM", "CRITICAL", "ERROR" ou "INFORMATIONAL", elle est attribuée à `security_result.severity`.
`source-ip`	`principal.ip`, `principal.asset.ip`	La valeur du champ `source-ip` est attribuée aux champs `principal.ip` et `principal.asset.ip`.
`source-port`	`principal.port`	La valeur du champ `source-port`, convertie en entier, est attribuée au champ `principal.port`.
`spt`	`principal.port`	La valeur du champ `spt`, convertie en entier, est attribuée au champ `principal.port`.
`src`	`principal.ip`, `principal.asset.ip`	La valeur du champ `src` est attribuée aux champs `principal.ip` et `principal.asset.ip`.
`srcapp`	`principal.application`	La valeur du champ `srcapp` est attribuée au champ `principal.application`.
`srchost`	`principal.hostname`, `principal.asset.hostname`	La valeur du champ `srchost` est attribuée aux champs `principal.hostname` et `principal.asset.hostname`.
`vendor`	`metadata.vendor_name`	La valeur du champ `vendor` est attribuée au champ `metadata.vendor_name`.
`version`	`metadata.product_version`	La valeur du champ `version` est attribuée au champ `metadata.product_version`.
`violation-id`	`security_result.detection_fields.value`	La valeur du champ `violation-id` est attribuée au champ `value` dans `security_result.detection_fields`. Le `key` correspondant est "violation-id".
`violation-type`	`security_result.detection_fields.value`	La valeur du champ `violation-type` est attribuée au champ `value` dans `security_result.detection_fields`. Le `key` correspondant est "violation-type".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.