Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Imperva SecureSphere Management 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Imperva SecureSphere Management 記錄檔擷取至 Google Security Operations。

Imperva SecureSphere 是網頁應用程式防火牆、資料庫安全性和檔案安全平台，可產生 CEF 格式的系統記錄訊息，用於安全事件、系統事件和政策違規。剖析器會使用 grok 和鍵/值剖析功能，從 CEF 訊息中擷取欄位，並將這些欄位對應至統合式資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Imperva SecureSphere Management 伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Imperva SecureSphere 管理控制台的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/imperva_securesphere:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: IMPERVA_SECURESPHERE
        raw_log_field: body

service:
    pipelines:
        logs/imperva_securesphere_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/imperva_securesphere

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Imperva SecureSphere Management 上設定系統記錄轉送

登入 Imperva SecureSphere 管理控制台。
依序前往「設定」> 動作集」。
按一下「新增」即可建立新的動作集。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google SecOps Syslog)。

設定安全性事件動作

按一下「新增動作」，然後設定：
- 動作類型：選取「系統記錄檔」。
- 主機：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號 (預設為 514)。
- 通訊協定：選取「UDP」或「TCP」。
- 系統記錄層級：選取「DEBUG」。
- 系統記錄檔設施：選取「LOCAL0」。
- 訊息格式：選取「Gateway Log - Security Event - System Log (syslog) using CEF standard」(閘道記錄 - 安全性事件 - 系統記錄 (syslog)，使用 CEF 標準)。

設定系統事件動作

按一下「新增動作」，然後設定：
- 動作類型：選取「系統記錄」。
- 主機：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
- 通訊協定：選取「UDP」或「TCP」。
- 訊息格式：選取「使用 CEF 標準將系統事件記錄到系統記錄 (syslog)」。

將動作集套用至政策

依序前往「政策」>「安全性政策」。
針對每項相關政策，設定「後續動作」，以便使用動作集。
前往「政策」>「系統事件政策」。
設定系統事件政策，使用動作集進行全面監控。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`action`	`security_result.action_details`	`action` 欄位的值會指派給 `security_result.action_details` 欄位。
`application-name`	`target.application`	`application-name` 欄位的值會指派給 `target.application` 欄位。
`cat`	`security_result.category_details`	`cat` 欄位的值會指派給 `security_result.category_details` 欄位。
`class`	`security_result.detection_fields.value`	`class` 欄位的值會指派給 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 是「class」。
`collection_time.seconds`	`metadata.event_timestamp.seconds`	原始記錄中的 `collection_time.seconds` 值會做為 `metadata.event_timestamp` 的秒數值。
`create-time`	`metadata.event_timestamp.seconds`	系統會剖析 `create-time` 的值，並將其秒數值做為 `metadata.event_timestamp` 的秒數值。
`cs1`	`security_result.rule_name`	`cs1` 欄位的值會指派給 `security_result.rule_name` 欄位。
`cs10`	`target.resource.attribute.labels.value`	`cs10` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `value` 欄位。
`cs10Label`	`target.resource.attribute.labels.key`	`cs10Label` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `key` 欄位。
`cs11`	`principal.application`	`cs11` 欄位的值會指派給 `principal.application` 欄位。
`cs12`	`security_result.description`	移除大括號和貨幣符號後，`cs12` 欄位的值會指派給 `security_result.description` 欄位。
`cs14`	`target.resource.attribute.labels.value`	`cs14` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `value` 欄位。
`cs14Label`	`target.resource.attribute.labels.key`	`cs14Label` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `key` 欄位。
`cs15`	`security_result.summary`	`cs15` 欄位的值會指派給 `security_result.summary` 欄位。
`cs16`	`principal.process.command_line`	`cs16` 欄位的值會指派給 `principal.process.command_line` 欄位。
`cs17`	`target.resource.resource_subtype`	`cs17` 欄位的值會指派給 `target.resource.resource_subtype` 欄位。
`cs2`	`principal.group.group_display_name`	`cs2` 欄位的值會指派給 `principal.group.group_display_name` 欄位。
`cs3`	`principal.hostname`、`principal.asset.hostname`	`cs3` 欄位的值會同時指派給 `principal.hostname` 和 `principal.asset.hostname` 欄位。
`cs4`	`target.application`	除非值為「ProcessWitness」，否則 `cs4` 欄位的值會指派給 `target.application` 欄位。
`cs5`	`metadata.description`	`cs5` 欄位的值會指派給 `metadata.description` 欄位。
`cs6`	`target.resource_ancestors.name`	`cs6` 欄位的值會指派給 `target.resource_ancestors.name` 欄位。
`cs7`	`target.resource_ancestors.resource_subtype`	`cs7` 欄位的值會指派給 `target.resource_ancestors.resource_subtype` 欄位。
`cs8`	`target.resource.name`、`target.resource.resource_type`	`cs8` 欄位的值會指派給 `target.resource.name` 欄位，且 `target.resource.resource_type` 會設為「DATABASE」。
`cs9`	`principal.user.userid`	`cs9` 欄位的值會指派給 `principal.user.userid` 欄位。
`description`	`security_result.description`	`description` 欄位的值會指派給 `security_result.description` 欄位。
`dest-ip`	`target.ip`、`target.asset.ip`	從 `dest-ip` 欄位擷取的 IP 位址會同時指派給 `target.ip` 和 `target.asset.ip` 欄位。
`dest-port`	`target.port`	`dest-port` 欄位的值會轉換為整數，並指派給 `target.port` 欄位。
`deviceExternalId`	`intermediary.hostname`	`deviceExternalId` 欄位的值會指派給 `intermediary.hostname` 欄位。
`dpt`	`target.port`	`dpt` 欄位的值會轉換為整數，並指派給 `target.port` 欄位。
`dst`	`target.ip`、`target.asset.ip`	`dst` 欄位的值會同時指派給 `target.ip` 和 `target.asset.ip` 欄位。
`duser`	`target.user.userid`	`duser` 欄位的值會指派給 `target.user.userid` 欄位。
`eventId`	`metadata.product_log_id`	`eventId` 欄位的值會指派給 `metadata.product_log_id` 欄位。
`gateway-name`	`security_result.detection_fields.value`	`gateway-name` 欄位的值會指派給 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 為「gateway-name」。
`http.request.method`	`network.http.method`	`http.request.method` 欄位的值會指派給 `network.http.method` 欄位。
`http.request.user-agent`	`network.http.user_agent`	`http.request.user_agent` 欄位的值會指派給 `network.http.user_agent` 欄位。
`http.response.code`	`network.http.response_code`	`http.response.code` 欄位的值會轉換為整數，並指派給 `network.http.response_code` 欄位。
`http.session-id`	`network.session_id`	`http.session-id` 欄位的值會指派給 `network.session_id` 欄位。
`http.user-name`	`principal.user.userid`	系統會將 `http.user-name` 欄位的值 (已移除周圍的引號) 指派給 `principal.user.userid` 欄位。
`log_type`	`metadata.log_type`	原始記錄中的 `log_type` 欄位值會指派給 `metadata.log_type` 欄位。
`mx-ip`	`intermediary.ip`	`mx-ip` 欄位的值會指派給 `intermediary.ip` 欄位。
`MxIP`	`intermediary.ip`	`MxIP` 欄位的值會指派給 `intermediary.ip` 欄位。
`OSUser`	`principal.user.userid`	`OSUser` 欄位的值會指派給 `principal.user.userid` 欄位。
`policy-name`	`security_result.detection_fields.value`	`policy-name` 欄位的值會指派給 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 是「policy-name」。
`pquery`	`target.resource.name`、`target.process.command_line`	如果 `pquery` 不為空白且包含「from」一詞，系統會擷取資料表名稱並指派給 `target.resource.name`，`target.resource.resource_type` 會設為「TABLE」，而整個 `pquery` 值會指派給 `target.process.command_line`。否則，系統會將整個 `pquery` 值指派給 `target.resource.name`。
`pro`	`security_result.description`	`pro` 欄位的值會指派給 `security_result.description` 欄位。
`product`	`metadata.product_name`	`product` 欄位的值會指派給 `metadata.product_name` 欄位。
`product_type`	`metadata.product_event_type`	`product_type` 欄位的值會指派給 `metadata.product_event_type` 欄位。
`protocol`	`network.ip_protocol`	如果 `protocol` 欄位的值為「TCP」或「UDP」，則會指派給 `network.ip_protocol` 欄位。
`proto`	`network.ip_protocol`	`proto` 欄位的值會指派給 `network.ip_protocol` 欄位。
`reason`	`security_result.rule_name`	`reason` 欄位的值會指派給 `security_result.rule_name` 欄位。
`rt`	`metadata.event_timestamp.seconds`	系統會剖析 `rt` 的值，並將其秒數值做為 `metadata.event_timestamp` 的秒數值。
`server-group-name`	`target.resource.attribute.labels.value`	`server-group-name` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `value` 欄位。對應的 `key` 為「server-group-name」。
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	`server-group-simulation-mode` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `value` 欄位。對應的 `key` 為「server-group-simulation-mode」。
`service-name`	`target.resource.attribute.labels.value`	`service-name` 欄位的值會指派給 `target.resource.attribute.labels` 內的 `value` 欄位。對應的 `key` 為「service-name」。
`ServiceName`	`target.application`	如果 `ApplicationName` 不為空，但 `ServiceName` 為空，則 `ApplicationName` 的值會指派給 `ServiceName`。然後將 `ServiceName` 的值指派給 `target.application`。
`severity`	`security_result.severity`、`security_result.severity_details`	`severity` 欄位的值會轉換為大寫。如果為「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」，則會指派給 `security_result.severity`。如果為「INFORMATIVE」或「INFO」，`security_result.severity` 會設為「INFORMATIONAL」。原始值也會指派給 `security_result.severity_details`。
`severity_data`	`security_result.severity`	`severity_data` 欄位的值會轉換為大寫。如果為「HIGH」、「LOW」、「MEDIUM」、「CRITICAL」、「ERROR」、「INFORMATIONAL」其中之一，則會指派給 `security_result.severity`。
`source-ip`	`principal.ip`、`principal.asset.ip`	`source-ip` 欄位的值會同時指派給 `principal.ip` 和 `principal.asset.ip` 欄位。
`source-port`	`principal.port`	`source-port` 欄位的值會轉換為整數，並指派給 `principal.port` 欄位。
`spt`	`principal.port`	`spt` 欄位的值會轉換為整數，並指派給 `principal.port` 欄位。
`src`	`principal.ip`、`principal.asset.ip`	`src` 欄位的值會同時指派給 `principal.ip` 和 `principal.asset.ip` 欄位。
`srcapp`	`principal.application`	`srcapp` 欄位的值會指派給 `principal.application` 欄位。
`srchost`	`principal.hostname`、`principal.asset.hostname`	`srchost` 欄位的值會同時指派給 `principal.hostname` 和 `principal.asset.hostname` 欄位。
`vendor`	`metadata.vendor_name`	`vendor` 欄位的值會指派給 `metadata.vendor_name` 欄位。
`version`	`metadata.product_version`	`version` 欄位的值會指派給 `metadata.product_version` 欄位。
`violation-id`	`security_result.detection_fields.value`	`violation-id` 欄位的值會指派給 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 為「violation-id」。
`violation-type`	`security_result.detection_fields.value`	`violation-type` 欄位的值會指派給 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 為「violation-type」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。