Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Imperva SecureSphere Management 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 代理将 Imperva SecureSphere Management 日志注入到 Google Security Operations。

Imperva SecureSphere 是一个 Web 应用防火墙、数据库安全和文件安全平台，可针对安全事件、系统事件和政策违规行为生成 CEF 格式的 syslog 消息。解析器使用 Grok 和键值对解析从 CEF 消息中提取字段，并将这些字段映射到统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
Bindplane 代理与 Imperva SecureSphere 管理服务器之间的网络连接
如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
对 Imperva SecureSphere 管理控制台的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。

注意：此 JSON 文件包含用于向 Google SecOps 验证 Bindplane 代理身份的凭据。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

注意：配置 Bindplane 代理导出器时需要客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令，验证安装是否成功：
```
sc query observiq-otel-collector
```
该服务应显示为 RUNNING。

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。
运行以下命令，验证安装是否成功：
```
sudo systemctl status observiq-otel-collector
```
该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/imperva_securesphere:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IMPERVA_SECURESPHERE
        raw_log_field: body

service:
    pipelines:
        logs/imperva_securesphere_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/imperva_securesphere

配置参数

替换以下占位符：

接收器配置：
- listen_address：要监听的 IP 地址和端口：
  - 0.0.0.0 侦听所有接口（推荐）
  - 端口 514 是标准 syslog 端口（在 Linux 上需要 root 权限；对于非 root 用户，请使用 1514）
导出器配置：
- creds_file_path：提取身份验证文件的完整路径：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：从 Google SecOps 控制台复制的客户 ID
- endpoint：区域端点网址：
  - 美国：malachiteingestion-pa.googleapis.com
  - 欧洲：europe-malachiteingestion-pa.googleapis.com
  - 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需查看完整列表，请参阅区域级端点

保存配置文件

修改后，保存文件：
- Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
- Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

sudo systemctl restart observiq-otel-collector

验证服务是否正在运行：

sudo systemctl status observiq-otel-collector

检查日志是否存在错误：

sudo journalctl -u observiq-otel-collector -f

如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：
- 以管理员身份运行命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服务控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。
  4. 验证服务是否正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志是否存在错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Imperva SecureSphere Management 上配置 syslog 转发

登录 Imperva SecureSphere 管理控制台。
依次前往配置 > 操作集。
点击添加以创建新的操作集。
提供以下配置详细信息：
- 名称：输入一个描述性名称（例如 Google SecOps Syslog）。

配置安全事件操作

点击添加操作，然后配置：
- 操作类型：选择 Syslog。
- 主机：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号（默认值为 514）。
- 协议：选择 UDP 或 TCP。
- Syslog 日志级别：选择 DEBUG。
- Syslog Facility：选择 LOCAL0。
- 消息格式：选择 Gateway Log - Security Event - System Log (syslog) using CEF standard。

配置系统事件操作

点击添加操作，然后配置：
- 操作类型：选择系统日志。
- 主机：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号。
- 协议：选择 UDP 或 TCP。
- 消息格式：选择 使用 CEF 标准将系统事件记录到系统日志 (syslog)。

将操作集应用于政策

依次前往政策 > 安全政策。
针对每项相关政策，配置后续操作以使用您的操作集。
前往政策 > 系统事件政策。
配置系统事件政策，以使用操作集进行全面监控。

UDM 映射表

日志字段	UDM 映射	逻辑
`action`	`security_result.action_details`	`action` 字段的值已分配给 `security_result.action_details` 字段。
`application-name`	`target.application`	`application-name` 字段的值已分配给 `target.application` 字段。
`cat`	`security_result.category_details`	`cat` 字段的值已分配给 `security_result.category_details` 字段。
`class`	`security_result.detection_fields.value`	`class` 字段的值已分配给 `security_result.detection_fields` 中的 `value` 字段。对应的 `key` 是“class”。
`collection_time.seconds`	`metadata.event_timestamp.seconds`	原始日志中的 `collection_time.seconds` 值用作 `metadata.event_timestamp` 的秒值。
`create-time`	`metadata.event_timestamp.seconds`	系统会解析 `create-time` 的值，并将其秒数值用作 `metadata.event_timestamp` 的秒数值。
`cs1`	`security_result.rule_name`	`cs1` 字段的值已分配给 `security_result.rule_name` 字段。
`cs10`	`target.resource.attribute.labels.value`	`cs10` 字段的值会分配给 `target.resource.attribute.labels` 中的 `value` 字段。
`cs10Label`	`target.resource.attribute.labels.key`	`cs10Label` 字段的值会分配给 `target.resource.attribute.labels` 中的 `key` 字段。
`cs11`	`principal.application`	`cs11` 字段的值已分配给 `principal.application` 字段。
`cs12`	`security_result.description`	移除大括号和美元符号后，`cs12` 字段的值会分配给 `security_result.description` 字段。
`cs14`	`target.resource.attribute.labels.value`	`cs14` 字段的值会分配给 `target.resource.attribute.labels` 中的 `value` 字段。
`cs14Label`	`target.resource.attribute.labels.key`	`cs14Label` 字段的值会分配给 `target.resource.attribute.labels` 中的 `key` 字段。
`cs15`	`security_result.summary`	`cs15` 字段的值已分配给 `security_result.summary` 字段。
`cs16`	`principal.process.command_line`	`cs16` 字段的值已分配给 `principal.process.command_line` 字段。
`cs17`	`target.resource.resource_subtype`	`cs17` 字段的值已分配给 `target.resource.resource_subtype` 字段。
`cs2`	`principal.group.group_display_name`	`cs2` 字段的值已分配给 `principal.group.group_display_name` 字段。
`cs3`	`principal.hostname`，`principal.asset.hostname`	`cs3` 字段的值会同时分配给 `principal.hostname` 和 `principal.asset.hostname` 字段。
`cs4`	`target.application`	`cs4` 字段的值会分配给 `target.application` 字段，除非该值为“ProcessWitness”。
`cs5`	`metadata.description`	`cs5` 字段的值已分配给 `metadata.description` 字段。
`cs6`	`target.resource_ancestors.name`	`cs6` 字段的值已分配给 `target.resource_ancestors.name` 字段。
`cs7`	`target.resource_ancestors.resource_subtype`	`cs7` 字段的值已分配给 `target.resource_ancestors.resource_subtype` 字段。
`cs8`	`target.resource.name`，`target.resource.resource_type`	`cs8` 字段的值会分配给 `target.resource.name` 字段，并将 `target.resource.resource_type` 设置为“DATABASE”。
`cs9`	`principal.user.userid`	`cs9` 字段的值已分配给 `principal.user.userid` 字段。
`description`	`security_result.description`	`description` 字段的值已分配给 `security_result.description` 字段。
`dest-ip`	`target.ip`，`target.asset.ip`	从 `dest-ip` 字段提取的 IP 地址会同时分配给 `target.ip` 和 `target.asset.ip` 字段。
`dest-port`	`target.port`	`dest-port` 字段的值（转换为整数）会分配给 `target.port` 字段。
`deviceExternalId`	`intermediary.hostname`	`deviceExternalId` 字段的值已分配给 `intermediary.hostname` 字段。
`dpt`	`target.port`	`dpt` 字段的值（转换为整数）会分配给 `target.port` 字段。
`dst`	`target.ip`，`target.asset.ip`	`dst` 字段的值会同时分配给 `target.ip` 和 `target.asset.ip` 字段。
`duser`	`target.user.userid`	`duser` 字段的值已分配给 `target.user.userid` 字段。
`eventId`	`metadata.product_log_id`	`eventId` 字段的值已分配给 `metadata.product_log_id` 字段。
`gateway-name`	`security_result.detection_fields.value`	`gateway-name` 字段的值已分配给 `security_result.detection_fields` 中的 `value` 字段。对应的 `key` 为“gateway-name”。
`http.request.method`	`network.http.method`	`http.request.method` 字段的值已分配给 `network.http.method` 字段。
`http.request.user-agent`	`network.http.user_agent`	`http.request.user_agent` 字段的值已分配给 `network.http.user_agent` 字段。
`http.response.code`	`network.http.response_code`	`http.response.code` 字段的值（转换为整数）会分配给 `network.http.response_code` 字段。
`http.session-id`	`network.session_id`	`http.session-id` 字段的值已分配给 `network.session_id` 字段。
`http.user-name`	`principal.user.userid`	`http.user-name` 字段的值（不含周围的英文引号）会分配给 `principal.user.userid` 字段。
`log_type`	`metadata.log_type`	原始日志中 `log_type` 字段的值会分配给 `metadata.log_type` 字段。
`mx-ip`	`intermediary.ip`	`mx-ip` 字段的值已分配给 `intermediary.ip` 字段。
`MxIP`	`intermediary.ip`	`MxIP` 字段的值已分配给 `intermediary.ip` 字段。
`OSUser`	`principal.user.userid`	`OSUser` 字段的值已分配给 `principal.user.userid` 字段。
`policy-name`	`security_result.detection_fields.value`	`policy-name` 字段的值已分配给 `security_result.detection_fields` 中的 `value` 字段。对应的 `key` 为“policy-name”。
`pquery`	`target.resource.name`，`target.process.command_line`	如果 `pquery` 不为空且包含“from”一词，则提取表名称并将其分配给 `target.resource.name`，将 `target.resource.resource_type` 设置为“TABLE”，并将整个 `pquery` 值分配给 `target.process.command_line`。否则，整个 `pquery` 值都会分配给 `target.resource.name`。
`pro`	`security_result.description`	`pro` 字段的值已分配给 `security_result.description` 字段。
`product`	`metadata.product_name`	`product` 字段的值已分配给 `metadata.product_name` 字段。
`product_type`	`metadata.product_event_type`	`product_type` 字段的值已分配给 `metadata.product_event_type` 字段。
`protocol`	`network.ip_protocol`	如果 `protocol` 字段的值为“TCP”或“UDP”，则将其分配给 `network.ip_protocol` 字段。
`proto`	`network.ip_protocol`	`proto` 字段的值已分配给 `network.ip_protocol` 字段。
`reason`	`security_result.rule_name`	`reason` 字段的值已分配给 `security_result.rule_name` 字段。
`rt`	`metadata.event_timestamp.seconds`	系统会解析 `rt` 的值，并将其秒数值用作 `metadata.event_timestamp` 的秒数值。
`server-group-name`	`target.resource.attribute.labels.value`	`server-group-name` 字段的值已分配给 `target.resource.attribute.labels` 中的 `value` 字段。相应的 `key` 为“server-group-name”。
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	`server-group-simulation-mode` 字段的值已分配给 `target.resource.attribute.labels` 中的 `value` 字段。相应的 `key` 为“server-group-simulation-mode”。
`service-name`	`target.resource.attribute.labels.value`	`service-name` 字段的值已分配给 `target.resource.attribute.labels` 中的 `value` 字段。对应的 `key` 为“service-name”。
`ServiceName`	`target.application`	如果 `ApplicationName` 不为空，而 `ServiceName` 为空，则将 `ApplicationName` 的值分配给 `ServiceName`。然后，将 `ServiceName` 的值分配给 `target.application`。
`severity`	`security_result.severity`，`security_result.severity_details`	`severity` 字段的值会转换为大写。如果它是“LOW”“MEDIUM”“HIGH”“CRITICAL”之一，则会分配给 `security_result.severity`。如果值为“INFORMATIVE”或“INFO”，则 `security_result.severity` 设置为“INFORMATIONAL”。原始值也会分配给 `security_result.severity_details`。
`severity_data`	`security_result.severity`	`severity_data` 字段的值会转换为大写。如果它是“HIGH”“LOW”“MEDIUM”“CRITICAL”“ERROR”“INFORMATIONAL”之一，则会将其分配给 `security_result.severity`。
`source-ip`	`principal.ip`，`principal.asset.ip`	`source-ip` 字段的值会同时分配给 `principal.ip` 和 `principal.asset.ip` 字段。
`source-port`	`principal.port`	`source-port` 字段的值（转换为整数）会分配给 `principal.port` 字段。
`spt`	`principal.port`	`spt` 字段的值（转换为整数）会分配给 `principal.port` 字段。
`src`	`principal.ip`，`principal.asset.ip`	`src` 字段的值会同时分配给 `principal.ip` 和 `principal.asset.ip` 字段。
`srcapp`	`principal.application`	`srcapp` 字段的值已分配给 `principal.application` 字段。
`srchost`	`principal.hostname`，`principal.asset.hostname`	`srchost` 字段的值会同时分配给 `principal.hostname` 和 `principal.asset.hostname` 字段。
`vendor`	`metadata.vendor_name`	`vendor` 字段的值已分配给 `metadata.vendor_name` 字段。
`version`	`metadata.product_version`	`version` 字段的值已分配给 `metadata.product_version` 字段。
`violation-id`	`security_result.detection_fields.value`	`violation-id` 字段的值已分配给 `security_result.detection_fields` 中的 `value` 字段。对应的 `key` 为“违规 ID”。
`violation-type`	`security_result.detection_fields.value`	`violation-type` 字段的值已分配给 `security_result.detection_fields` 中的 `value` 字段。对应的 `key` 为“违规类型”。