Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Imperva SecureSphere Management のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Imperva SecureSphere Management ログを Google Security Operations に取り込む方法について説明します。

Imperva SecureSphere は、セキュリティイベント、システムイベント、ポリシー違反に関する CEF 形式の syslog メッセージを生成するウェブアプリケーションファイアウォール、データベースセキュリティ、ファイルセキュリティプラットフォームです。パーサーは、grok と Key-Value 解析を使用して CEF メッセージからフィールドを抽出し、統合データモデル（UDM）にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと Imperva SecureSphere Management サーバー間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します
Imperva SecureSphere Management Console への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [active (running)] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/imperva_securesphere:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IMPERVA_SECURESPHERE
        raw_log_field: body

service:
    pipelines:
        logs/imperva_securesphere_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/imperva_securesphere

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - ポート 514 は標準の syslog ポートです（Linux で root が必要。root 以外の場合は 1514 を使用）
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Imperva SecureSphere Management で syslog 転送を構成する

Imperva SecureSphere Management Console にログインします。
[構成 > アクションセット] に移動します。
[追加] をクリックして、新しいアクションセットを作成します。
次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します（例: Google SecOps Syslog）。

セキュリティイベントアクションを構成する

[アクションを追加] をクリックして、次のように構成します。
- アクションタイプ: [Syslog] を選択します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号（デフォルトは 514）を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- Syslog ログレベル: [DEBUG] を選択します。
- Syslog Facility: [LOCAL0] を選択します。
- メッセージ形式: [Gateway Log - Security Event - System Log (syslog) using CEF standard] を選択します。

システムイベントアクションを構成する

[アクションを追加] をクリックして、次のように構成します。
- Action Type: [System Log] を選択します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- メッセージ形式: [CEF 標準を使用してシステムログ（syslog）にシステムイベントを記録する] を選択します。

ポリシーにアクションセットを適用する

[ポリシー>セキュリティポリシー] に移動します。
関連するポリシーごとに、アクションセットを使用するように [フォローされたアクション] を構成します。
[Policies] > [System Events Policies] に移動します。
包括的なモニタリングのために、アクションセットを使用するようにシステムイベントポリシーを構成します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`action`	`security_result.action_details`	`action` フィールドの値が `security_result.action_details` フィールドに割り当てられます。
`application-name`	`target.application`	`application-name` フィールドの値が `target.application` フィールドに割り当てられます。
`cat`	`security_result.category_details`	`cat` フィールドの値が `security_result.category_details` フィールドに割り当てられます。
`class`	`security_result.detection_fields.value`	`class` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「class」です。
`collection_time.seconds`	`metadata.event_timestamp.seconds`	未加工ログの `collection_time.seconds` の値が、`metadata.event_timestamp` の秒の値として使用されます。
`create-time`	`metadata.event_timestamp.seconds`	`create-time` の値が解析され、その秒の値が `metadata.event_timestamp` の秒の値として使用されます。
`cs1`	`security_result.rule_name`	`cs1` フィールドの値が `security_result.rule_name` フィールドに割り当てられます。
`cs10`	`target.resource.attribute.labels.value`	`cs10` フィールドの値が `target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。
`cs10Label`	`target.resource.attribute.labels.key`	`cs10Label` フィールドの値が `target.resource.attribute.labels` 内の `key` フィールドに割り当てられます。
`cs11`	`principal.application`	`cs11` フィールドの値が `principal.application` フィールドに割り当てられます。
`cs12`	`security_result.description`	中かっこやドル記号を削除した後の `cs12` フィールドの値が `security_result.description` フィールドに割り当てられます。
`cs14`	`target.resource.attribute.labels.value`	`cs14` フィールドの値が `target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。
`cs14Label`	`target.resource.attribute.labels.key`	`cs14Label` フィールドの値が `target.resource.attribute.labels` 内の `key` フィールドに割り当てられます。
`cs15`	`security_result.summary`	`cs15` フィールドの値が `security_result.summary` フィールドに割り当てられます。
`cs16`	`principal.process.command_line`	`cs16` フィールドの値が `principal.process.command_line` フィールドに割り当てられます。
`cs17`	`target.resource.resource_subtype`	`cs17` フィールドの値が `target.resource.resource_subtype` フィールドに割り当てられます。
`cs2`	`principal.group.group_display_name`	`cs2` フィールドの値が `principal.group.group_display_name` フィールドに割り当てられます。
`cs3`	`principal.hostname`、`principal.asset.hostname`	`cs3` フィールドの値は、`principal.hostname` フィールドと `principal.asset.hostname` フィールドの両方に割り当てられます。
`cs4`	`target.application`	値が「ProcessWitness」でない限り、`cs4` フィールドの値が `target.application` フィールドに割り当てられます。
`cs5`	`metadata.description`	`cs5` フィールドの値が `metadata.description` フィールドに割り当てられます。
`cs6`	`target.resource_ancestors.name`	`cs6` フィールドの値が `target.resource_ancestors.name` フィールドに割り当てられます。
`cs7`	`target.resource_ancestors.resource_subtype`	`cs7` フィールドの値が `target.resource_ancestors.resource_subtype` フィールドに割り当てられます。
`cs8`	`target.resource.name`、`target.resource.resource_type`	`cs8` フィールドの値が `target.resource.name` フィールドに割り当てられ、`target.resource.resource_type` が「DATABASE」に設定されます。
`cs9`	`principal.user.userid`	`cs9` フィールドの値が `principal.user.userid` フィールドに割り当てられます。
`description`	`security_result.description`	`description` フィールドの値が `security_result.description` フィールドに割り当てられます。
`dest-ip`	`target.ip`、`target.asset.ip`	`dest-ip` フィールドから抽出された IP アドレスは、`target.ip` フィールドと `target.asset.ip` フィールドの両方に割り当てられます。
`dest-port`	`target.port`	`dest-port` フィールドの値が整数に変換され、`target.port` フィールドに割り当てられます。
`deviceExternalId`	`intermediary.hostname`	`deviceExternalId` フィールドの値が `intermediary.hostname` フィールドに割り当てられます。
`dpt`	`target.port`	`dpt` フィールドの値が整数に変換され、`target.port` フィールドに割り当てられます。
`dst`	`target.ip`、`target.asset.ip`	`dst` フィールドの値は、`target.ip` フィールドと `target.asset.ip` フィールドの両方に割り当てられます。
`duser`	`target.user.userid`	`duser` フィールドの値が `target.user.userid` フィールドに割り当てられます。
`eventId`	`metadata.product_log_id`	`eventId` フィールドの値が `metadata.product_log_id` フィールドに割り当てられます。
`gateway-name`	`security_result.detection_fields.value`	`gateway-name` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「gateway-name」です。
`http.request.method`	`network.http.method`	`http.request.method` フィールドの値が `network.http.method` フィールドに割り当てられます。
`http.request.user-agent`	`network.http.user_agent`	`http.request.user_agent` フィールドの値が `network.http.user_agent` フィールドに割り当てられます。
`http.response.code`	`network.http.response_code`	`http.response.code` フィールドの値が整数に変換され、`network.http.response_code` フィールドに割り当てられます。
`http.session-id`	`network.session_id`	`http.session-id` フィールドの値が `network.session_id` フィールドに割り当てられます。
`http.user-name`	`principal.user.userid`	`http.user-name` フィールドの値（囲み引用符が削除されたもの）が `principal.user.userid` フィールドに割り当てられます。
`log_type`	`metadata.log_type`	未加工ログの `log_type` フィールドの値が `metadata.log_type` フィールドに割り当てられます。
`mx-ip`	`intermediary.ip`	`mx-ip` フィールドの値が `intermediary.ip` フィールドに割り当てられます。
`MxIP`	`intermediary.ip`	`MxIP` フィールドの値が `intermediary.ip` フィールドに割り当てられます。
`OSUser`	`principal.user.userid`	`OSUser` フィールドの値が `principal.user.userid` フィールドに割り当てられます。
`policy-name`	`security_result.detection_fields.value`	`policy-name` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「policy-name」です。
`pquery`	`target.resource.name`、`target.process.command_line`	`pquery` が空ではなく、「from」という単語が含まれている場合、テーブル名が抽出されて `target.resource.name` に割り当てられ、`target.resource.resource_type` が「TABLE」に設定され、`pquery` の値全体が `target.process.command_line` に割り当てられます。それ以外の場合、`pquery` 値全体が `target.resource.name` に割り当てられます。
`pro`	`security_result.description`	`pro` フィールドの値が `security_result.description` フィールドに割り当てられます。
`product`	`metadata.product_name`	`product` フィールドの値が `metadata.product_name` フィールドに割り当てられます。
`product_type`	`metadata.product_event_type`	`product_type` フィールドの値が `metadata.product_event_type` フィールドに割り当てられます。
`protocol`	`network.ip_protocol`	`protocol` フィールドの値が「TCP」または「UDP」の場合、`network.ip_protocol` フィールドに割り当てられます。
`proto`	`network.ip_protocol`	`proto` フィールドの値が `network.ip_protocol` フィールドに割り当てられます。
`reason`	`security_result.rule_name`	`reason` フィールドの値が `security_result.rule_name` フィールドに割り当てられます。
`rt`	`metadata.event_timestamp.seconds`	`rt` の値が解析され、その秒の値が `metadata.event_timestamp` の秒の値として使用されます。
`server-group-name`	`target.resource.attribute.labels.value`	`server-group-name` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「server-group-name」です。
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	`server-group-simulation-mode` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「server-group-simulation-mode」です。
`service-name`	`target.resource.attribute.labels.value`	`service-name` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「service-name」です。
`ServiceName`	`target.application`	`ApplicationName` が空ではなく、`ServiceName` が空の場合、`ApplicationName` の値が `ServiceName` に割り当てられます。`ServiceName` の値が `target.application` に割り当てられます。
`severity`	`security_result.severity`、`security_result.severity_details`	`severity` フィールドの値は大文字に変換されます。「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」のいずれかの場合は、`security_result.severity` に割り当てられます。「INFORMATIVE」または「INFO」の場合、`security_result.severity` は「INFORMATIONAL」に設定されます。元の値は `security_result.severity_details` にも割り当てられます。
`severity_data`	`security_result.severity`	`severity_data` フィールドの値は大文字に変換されます。「HIGH」、「LOW」、「MEDIUM」、「CRITICAL」、「ERROR」、「INFORMATIONAL」のいずれかの場合は、`security_result.severity` に割り当てられます。
`source-ip`	`principal.ip`、`principal.asset.ip`	`source-ip` フィールドの値は、`principal.ip` フィールドと `principal.asset.ip` フィールドの両方に割り当てられます。
`source-port`	`principal.port`	`source-port` フィールドの値が整数に変換され、`principal.port` フィールドに割り当てられます。
`spt`	`principal.port`	`spt` フィールドの値が整数に変換され、`principal.port` フィールドに割り当てられます。
`src`	`principal.ip`、`principal.asset.ip`	`src` フィールドの値は、`principal.ip` フィールドと `principal.asset.ip` フィールドの両方に割り当てられます。
`srcapp`	`principal.application`	`srcapp` フィールドの値が `principal.application` フィールドに割り当てられます。
`srchost`	`principal.hostname`、`principal.asset.hostname`	`srchost` フィールドの値は、`principal.hostname` フィールドと `principal.asset.hostname` フィールドの両方に割り当てられます。
`vendor`	`metadata.vendor_name`	`vendor` フィールドの値が `metadata.vendor_name` フィールドに割り当てられます。
`version`	`metadata.product_version`	`version` フィールドの値が `metadata.product_version` フィールドに割り当てられます。
`violation-id`	`security_result.detection_fields.value`	`violation-id` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「violation-id」です。
`violation-type`	`security_result.detection_fields.value`	`violation-type` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「violation-type」です。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。