Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros de gerenciamento do Imperva SecureSphere

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros de gerenciamento do Imperva SecureSphere no Google Security Operations usando o agente Bindplane.

O Imperva SecureSphere é um firewall de aplicativos da Web, uma plataforma de segurança de banco de dados e de arquivos que gera mensagens syslog formatadas em CEF para eventos de segurança, eventos do sistema e violações de política. O analisador extrai campos de mensagens CEF usando grok e análise de chave-valor e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o servidor de gerenciamento do Imperva SecureSphere
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado ao console de gerenciamento do Imperva SecureSphere

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/imperva_securesphere:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IMPERVA_SECURESPHERE
        raw_log_field: body

service:
    pipelines:
        logs/imperva_securesphere_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/imperva_securesphere

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz).
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog no Imperva SecureSphere Management

Faça login no console de gerenciamento do Imperva SecureSphere.
Acesse Configuração > Conjuntos de ações.
Clique em Adicionar para criar um novo conjunto de ações.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo, por exemplo, Google SecOps Syslog.

Configurar ação de ocorrência de segurança

Clique em Adicionar ação e configure:
- Tipo de ação: selecione Syslog.
- Host: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente Bindplane (padrão 514).
- Protocolo: selecione UDP ou TCP.
- Nível de registro do Syslog: selecione DEBUG.
- Facilidade do Syslog: selecione LOCAL0.
- Formato da mensagem: selecione Registro do gateway - Evento de segurança - Registro do sistema (syslog) usando o padrão CEF.

Configurar ação de evento do sistema

Clique em Adicionar ação e configure:
- Tipo de ação: selecione Registro do sistema.
- Host: insira o endereço IP do agente do Bindplane.
- Porta: digite o número da porta do agente do Bindplane.
- Protocolo: selecione UDP ou TCP.
- Formato da mensagem: selecione Registrar evento do sistema no registro do sistema (syslog) usando o padrão CEF.

Aplicar conjuntos de ações a políticas

Acesse Políticas > Políticas de segurança.
Para cada política relevante, configure Ações seguidas para usar seu conjunto de ações.
Acesse Políticas > Políticas de eventos do sistema.
Configure políticas de eventos do sistema para usar o conjunto de ações e fazer um monitoramento abrangente.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`action`	`security_result.action_details`	O valor do campo `action` é atribuído ao campo `security_result.action_details`.
`application-name`	`target.application`	O valor do campo `application-name` é atribuído ao campo `target.application`.
`cat`	`security_result.category_details`	O valor do campo `cat` é atribuído ao campo `security_result.category_details`.
`class`	`security_result.detection_fields.value`	O valor do campo `class` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "class".
`collection_time.seconds`	`metadata.event_timestamp.seconds`	O valor de `collection_time.seconds` do registro bruto é usado como o valor de segundos para `metadata.event_timestamp`.
`create-time`	`metadata.event_timestamp.seconds`	O valor de `create-time` é analisado, e o valor em segundos dele é usado como o valor em segundos de `metadata.event_timestamp`.
`cs1`	`security_result.rule_name`	O valor do campo `cs1` é atribuído ao campo `security_result.rule_name`.
`cs10`	`target.resource.attribute.labels.value`	O valor do campo `cs10` é atribuído ao campo `value` em `target.resource.attribute.labels`.
`cs10Label`	`target.resource.attribute.labels.key`	O valor do campo `cs10Label` é atribuído ao campo `key` em `target.resource.attribute.labels`.
`cs11`	`principal.application`	O valor do campo `cs11` é atribuído ao campo `principal.application`.
`cs12`	`security_result.description`	O valor do campo `cs12`, depois de remover chaves e cifrões, é atribuído ao campo `security_result.description`.
`cs14`	`target.resource.attribute.labels.value`	O valor do campo `cs14` é atribuído ao campo `value` em `target.resource.attribute.labels`.
`cs14Label`	`target.resource.attribute.labels.key`	O valor do campo `cs14Label` é atribuído ao campo `key` em `target.resource.attribute.labels`.
`cs15`	`security_result.summary`	O valor do campo `cs15` é atribuído ao campo `security_result.summary`.
`cs16`	`principal.process.command_line`	O valor do campo `cs16` é atribuído ao campo `principal.process.command_line`.
`cs17`	`target.resource.resource_subtype`	O valor do campo `cs17` é atribuído ao campo `target.resource.resource_subtype`.
`cs2`	`principal.group.group_display_name`	O valor do campo `cs2` é atribuído ao campo `principal.group.group_display_name`.
`cs3`	`principal.hostname`, `principal.asset.hostname`	O valor do campo `cs3` é atribuído aos campos `principal.hostname` e `principal.asset.hostname`.
`cs4`	`target.application`	O valor do campo `cs4` é atribuído ao campo `target.application`, a menos que o valor seja "ProcessWitness".
`cs5`	`metadata.description`	O valor do campo `cs5` é atribuído ao campo `metadata.description`.
`cs6`	`target.resource_ancestors.name`	O valor do campo `cs6` é atribuído ao campo `target.resource_ancestors.name`.
`cs7`	`target.resource_ancestors.resource_subtype`	O valor do campo `cs7` é atribuído ao campo `target.resource_ancestors.resource_subtype`.
`cs8`	`target.resource.name`, `target.resource.resource_type`	O valor do campo `cs8` é atribuído ao campo `target.resource.name`, e o `target.resource.resource_type` é definido como "DATABASE".
`cs9`	`principal.user.userid`	O valor do campo `cs9` é atribuído ao campo `principal.user.userid`.
`description`	`security_result.description`	O valor do campo `description` é atribuído ao campo `security_result.description`.
`dest-ip`	`target.ip`, `target.asset.ip`	O endereço IP extraído do campo `dest-ip` é atribuído aos campos `target.ip` e `target.asset.ip`.
`dest-port`	`target.port`	O valor do campo `dest-port`, convertido em um número inteiro, é atribuído ao campo `target.port`.
`deviceExternalId`	`intermediary.hostname`	O valor do campo `deviceExternalId` é atribuído ao campo `intermediary.hostname`.
`dpt`	`target.port`	O valor do campo `dpt`, convertido em um número inteiro, é atribuído ao campo `target.port`.
`dst`	`target.ip`, `target.asset.ip`	O valor do campo `dst` é atribuído aos campos `target.ip` e `target.asset.ip`.
`duser`	`target.user.userid`	O valor do campo `duser` é atribuído ao campo `target.user.userid`.
`eventId`	`metadata.product_log_id`	O valor do campo `eventId` é atribuído ao campo `metadata.product_log_id`.
`gateway-name`	`security_result.detection_fields.value`	O valor do campo `gateway-name` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "gateway-name".
`http.request.method`	`network.http.method`	O valor do campo `http.request.method` é atribuído ao campo `network.http.method`.
`http.request.user-agent`	`network.http.user_agent`	O valor do campo `http.request.user_agent` é atribuído ao campo `network.http.user_agent`.
`http.response.code`	`network.http.response_code`	O valor do campo `http.response.code`, convertido em um número inteiro, é atribuído ao campo `network.http.response_code`.
`http.session-id`	`network.session_id`	O valor do campo `http.session-id` é atribuído ao campo `network.session_id`.
`http.user-name`	`principal.user.userid`	O valor do campo `http.user-name`, com as aspas removidas, é atribuído ao campo `principal.user.userid`.
`log_type`	`metadata.log_type`	O valor do campo `log_type` do registro bruto é atribuído ao campo `metadata.log_type`.
`mx-ip`	`intermediary.ip`	O valor do campo `mx-ip` é atribuído ao campo `intermediary.ip`.
`MxIP`	`intermediary.ip`	O valor do campo `MxIP` é atribuído ao campo `intermediary.ip`.
`OSUser`	`principal.user.userid`	O valor do campo `OSUser` é atribuído ao campo `principal.user.userid`.
`policy-name`	`security_result.detection_fields.value`	O valor do campo `policy-name` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "policy-name".
`pquery`	`target.resource.name`, `target.process.command_line`	Se `pquery` não estiver vazio e contiver a palavra "from", o nome da tabela será extraído e atribuído a `target.resource.name`, `target.resource.resource_type` será definido como "TABLE", e todo o valor de `pquery` será atribuído a `target.process.command_line`. Caso contrário, todo o valor `pquery` será atribuído a `target.resource.name`.
`pro`	`security_result.description`	O valor do campo `pro` é atribuído ao campo `security_result.description`.
`product`	`metadata.product_name`	O valor do campo `product` é atribuído ao campo `metadata.product_name`.
`product_type`	`metadata.product_event_type`	O valor do campo `product_type` é atribuído ao campo `metadata.product_event_type`.
`protocol`	`network.ip_protocol`	Se o valor do campo `protocol` for "TCP" ou "UDP", ele será atribuído ao campo `network.ip_protocol`.
`proto`	`network.ip_protocol`	O valor do campo `proto` é atribuído ao campo `network.ip_protocol`.
`reason`	`security_result.rule_name`	O valor do campo `reason` é atribuído ao campo `security_result.rule_name`.
`rt`	`metadata.event_timestamp.seconds`	O valor de `rt` é analisado, e o valor em segundos dele é usado como o valor em segundos de `metadata.event_timestamp`.
`server-group-name`	`target.resource.attribute.labels.value`	O valor do campo `server-group-name` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "server-group-name".
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	O valor do campo `server-group-simulation-mode` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "server-group-simulation-mode".
`service-name`	`target.resource.attribute.labels.value`	O valor do campo `service-name` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "service-name".
`ServiceName`	`target.application`	Se `ApplicationName` não estiver vazio e `ServiceName` estiver, o valor de `ApplicationName` será atribuído a `ServiceName`. O valor de `ServiceName` é atribuído a `target.application`.
`severity`	`security_result.severity`, `security_result.severity_details`	O valor do campo `severity` é convertido em letras maiúsculas. Se for "LOW", "MEDIUM", "HIGH" ou "CRITICAL", ela será atribuída a `security_result.severity`. Se for "INFORMATIVE" ou "INFO", `security_result.severity` será definido como "INFORMATIONAL". O valor original também é atribuído a `security_result.severity_details`.
`severity_data`	`security_result.severity`	O valor do campo `severity_data` é convertido em letras maiúsculas. Se for "HIGH", "LOW", "MEDIUM", "CRITICAL", "ERROR" ou "INFORMATIONAL", ele será atribuído a `security_result.severity`.
`source-ip`	`principal.ip`, `principal.asset.ip`	O valor do campo `source-ip` é atribuído aos campos `principal.ip` e `principal.asset.ip`.
`source-port`	`principal.port`	O valor do campo `source-port`, convertido em um número inteiro, é atribuído ao campo `principal.port`.
`spt`	`principal.port`	O valor do campo `spt`, convertido em um número inteiro, é atribuído ao campo `principal.port`.
`src`	`principal.ip`, `principal.asset.ip`	O valor do campo `src` é atribuído aos campos `principal.ip` e `principal.asset.ip`.
`srcapp`	`principal.application`	O valor do campo `srcapp` é atribuído ao campo `principal.application`.
`srchost`	`principal.hostname`, `principal.asset.hostname`	O valor do campo `srchost` é atribuído aos campos `principal.hostname` e `principal.asset.hostname`.
`vendor`	`metadata.vendor_name`	O valor do campo `vendor` é atribuído ao campo `metadata.vendor_name`.
`version`	`metadata.product_version`	O valor do campo `version` é atribuído ao campo `metadata.product_version`.
`violation-id`	`security_result.detection_fields.value`	O valor do campo `violation-id` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "violation-id".
`violation-type`	`security_result.detection_fields.value`	O valor do campo `violation-type` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "violation-type".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.