Mengumpulkan log Pengelolaan Imperva SecureSphere

Didukung di:

Dokumen ini menjelaskan cara menyerap log Pengelolaan Imperva SecureSphere ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log dalam format CEF atau JSON. Parser ini menggunakan pola grok dan parsing key-value untuk memetakan kolom log mentah ke UDM, menangani kolom CEF standar dan struktur JSON kustom, serta memprioritaskan data JSON jika tersedia. Imperva SecureSphere menyediakan kemampuan firewall aplikasi web, keamanan database, dan keamanan file yang komprehensif untuk deployment di infrastruktur lokal dan cloud.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke konsol Imperva SecureSphere Management

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_SECURESPHERE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
    • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi penerusan Syslog di Imperva SecureSphere Management

  1. Login ke Konsol Pengelolaan Imperva SecureSphere.
  2. Buka Configuration > Action Sets.
  3. Klik Tambahkan untuk membuat Set Tindakan baru.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Google SecOps Syslog).

Mengonfigurasi Tindakan Peristiwa Keamanan

  1. Klik Tambahkan Tindakan, lalu konfigurasi:
    • Jenis Tindakan: Pilih Syslog.
    • Host: Masukkan alamat IP agen Bindplane.
    • Port: Masukkan nomor port agen Bindplane (default 514).
    • Protocol: Pilih UDP atau TCP.
    • Level Log Syslog: Pilih DEBUG.
    • Fasilitas Syslog: Pilih LOCAL0.
    • Message Format: Pilih Gateway Log - Security Event - System Log (syslog) using CEF standard.

Mengonfigurasi Tindakan Peristiwa Sistem

  1. Klik Tambahkan Tindakan, lalu konfigurasi:
    • Jenis Tindakan: Pilih Log Sistem.
    • Host: Masukkan alamat IP Agen BindPlane.
    • Port: Masukkan nomor port Agen BindPlane.
    • Protocol: Pilih UDP atau TCP.
    • Format Pesan: Pilih Log Peristiwa Sistem ke Log Sistem (syslog) menggunakan standar CEF.

Menerapkan Set Tindakan ke Kebijakan

  1. Buka Kebijakan > Kebijakan Keamanan.
  2. Untuk setiap kebijakan yang relevan, konfigurasikan Tindakan yang Diikuti untuk menggunakan Kumpulan Tindakan Anda.
  3. Buka Kebijakan > Kebijakan Peristiwa Sistem.
  4. Konfigurasi kebijakan peristiwa sistem untuk menggunakan Set Tindakan guna memantau secara komprehensif.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
action security_result.action_details Nilai kolom action ditetapkan ke kolom security_result.action_details.
application-name target.application Nilai kolom application-name ditetapkan ke kolom target.application.
cat security_result.category_details Nilai kolom cat ditetapkan ke kolom security_result.category_details.
class security_result.detection_fields.value Nilai kolom class ditetapkan ke kolom value dalam security_result.detection_fields. key yang sesuai adalah "class".
collection_time.seconds metadata.event_timestamp.seconds Nilai collection_time.seconds dari log mentah digunakan sebagai nilai detik untuk metadata.event_timestamp.
create-time metadata.event_timestamp.seconds Nilai create-time diuraikan dan nilai detiknya digunakan sebagai nilai detik untuk metadata.event_timestamp.
cs1 security_result.rule_name Nilai kolom cs1 ditetapkan ke kolom security_result.rule_name.
cs10 target.resource.attribute.labels.value Nilai kolom cs10 ditetapkan ke kolom value dalam target.resource.attribute.labels.
cs10Label target.resource.attribute.labels.key Nilai kolom cs10Label ditetapkan ke kolom key dalam target.resource.attribute.labels.
cs11 principal.application Nilai kolom cs11 ditetapkan ke kolom principal.application.
cs12 security_result.description Nilai kolom cs12, setelah menghapus tanda kurung kurawal dan tanda dolar, ditetapkan ke kolom security_result.description.
cs14 target.resource.attribute.labels.value Nilai kolom cs14 ditetapkan ke kolom value dalam target.resource.attribute.labels.
cs14Label target.resource.attribute.labels.key Nilai kolom cs14Label ditetapkan ke kolom key dalam target.resource.attribute.labels.
cs15 security_result.summary Nilai kolom cs15 ditetapkan ke kolom security_result.summary.
cs16 principal.process.command_line Nilai kolom cs16 ditetapkan ke kolom principal.process.command_line.
cs17 target.resource.resource_subtype Nilai kolom cs17 ditetapkan ke kolom target.resource.resource_subtype.
cs2 principal.group.group_display_name Nilai kolom cs2 ditetapkan ke kolom principal.group.group_display_name.
cs3 principal.hostname, principal.asset.hostname Nilai kolom cs3 ditetapkan ke kolom principal.hostname dan principal.asset.hostname.
cs4 target.application Nilai kolom cs4 ditetapkan ke kolom target.application, kecuali jika nilainya adalah "ProcessWitness".
cs5 metadata.description Nilai kolom cs5 ditetapkan ke kolom metadata.description.
cs6 target.resource_ancestors.name Nilai kolom cs6 ditetapkan ke kolom target.resource_ancestors.name.
cs7 target.resource_ancestors.resource_subtype Nilai kolom cs7 ditetapkan ke kolom target.resource_ancestors.resource_subtype.
cs8 target.resource.name, target.resource.resource_type Nilai kolom cs8 ditetapkan ke kolom target.resource.name, dan target.resource.resource_type ditetapkan ke "DATABASE".
cs9 principal.user.userid Nilai kolom cs9 ditetapkan ke kolom principal.user.userid.
description security_result.description Nilai kolom description ditetapkan ke kolom security_result.description.
dest-ip target.ip, target.asset.ip Alamat IP yang diekstrak dari kolom dest-ip ditetapkan ke kolom target.ip dan target.asset.ip.
dest-port target.port Nilai kolom dest-port, yang dikonversi menjadi bilangan bulat, ditetapkan ke kolom target.port.
deviceExternalId intermediary.hostname Nilai kolom deviceExternalId ditetapkan ke kolom intermediary.hostname.
dpt target.port Nilai kolom dpt, yang dikonversi menjadi bilangan bulat, ditetapkan ke kolom target.port.
dst target.ip, target.asset.ip Nilai kolom dst ditetapkan ke kolom target.ip dan target.asset.ip.
duser target.user.userid Nilai kolom duser ditetapkan ke kolom target.user.userid.
eventId metadata.product_log_id Nilai kolom eventId ditetapkan ke kolom metadata.product_log_id.
gateway-name security_result.detection_fields.value Nilai kolom gateway-name ditetapkan ke kolom value dalam security_result.detection_fields. key yang sesuai adalah "gateway-name".
http.request.method network.http.method Nilai kolom http.request.method ditetapkan ke kolom network.http.method.
http.request.user-agent network.http.user_agent Nilai kolom http.request.user_agent ditetapkan ke kolom network.http.user_agent.
http.response.code network.http.response_code Nilai kolom http.response.code, yang dikonversi menjadi bilangan bulat, ditetapkan ke kolom network.http.response_code.
http.session-id network.session_id Nilai kolom http.session-id ditetapkan ke kolom network.session_id.
http.user-name principal.user.userid Nilai kolom http.user-name, dengan tanda petik di sekitarnya dihapus, ditetapkan ke kolom principal.user.userid.
log_type metadata.log_type Nilai kolom log_type dari log mentah ditetapkan ke kolom metadata.log_type.
mx-ip intermediary.ip Nilai kolom mx-ip ditetapkan ke kolom intermediary.ip.
MxIP intermediary.ip Nilai kolom MxIP ditetapkan ke kolom intermediary.ip.
OSUser principal.user.userid Nilai kolom OSUser ditetapkan ke kolom principal.user.userid.
policy-name security_result.detection_fields.value Nilai kolom policy-name ditetapkan ke kolom value dalam security_result.detection_fields. key yang sesuai adalah "policy-name".
pquery target.resource.name, target.process.command_line Jika pquery tidak kosong dan berisi kata "from", nama tabel akan diekstrak dan ditetapkan ke target.resource.name, target.resource.resource_type akan disetel ke "TABLE", dan seluruh nilai pquery akan ditetapkan ke target.process.command_line. Jika tidak, seluruh nilai pquery akan ditetapkan ke target.resource.name.
pro security_result.description Nilai kolom pro ditetapkan ke kolom security_result.description.
product metadata.product_name Nilai kolom product ditetapkan ke kolom metadata.product_name.
product_type metadata.product_event_type Nilai kolom product_type ditetapkan ke kolom metadata.product_event_type.
protocol network.ip_protocol Jika nilai kolom protocol adalah "TCP" atau "UDP", nilai tersebut akan ditetapkan ke kolom network.ip_protocol.
proto network.ip_protocol Nilai kolom proto ditetapkan ke kolom network.ip_protocol.
reason security_result.rule_name Nilai kolom reason ditetapkan ke kolom security_result.rule_name.
rt metadata.event_timestamp.seconds Nilai rt diuraikan dan nilai detiknya digunakan sebagai nilai detik untuk metadata.event_timestamp.
server-group-name target.resource.attribute.labels.value Nilai kolom server-group-name ditetapkan ke kolom value dalam target.resource.attribute.labels. key yang sesuai adalah "server-group-name".
server-group-simulation-mode target.resource.attribute.labels.value Nilai kolom server-group-simulation-mode ditetapkan ke kolom value dalam target.resource.attribute.labels. key yang sesuai adalah "server-group-simulation-mode".
service-name target.resource.attribute.labels.value Nilai kolom service-name ditetapkan ke kolom value dalam target.resource.attribute.labels. key yang sesuai adalah "service-name".
ServiceName target.application Jika ApplicationName tidak kosong dan ServiceName kosong, nilai ApplicationName akan ditetapkan ke ServiceName. Nilai ServiceName kemudian ditetapkan ke target.application.
severity security_result.severity, security_result.severity_details Nilai kolom severity dikonversi menjadi huruf besar. Jika salah satunya adalah "RENDAH", "SEDANG", "TINGGI", "KRITIS", maka akan ditetapkan ke security_result.severity. Jika "INFORMATIVE" atau "INFO", security_result.severity disetel ke "INFORMATIONAL". Nilai asli juga ditetapkan ke security_result.severity_details.
severity_data security_result.severity Nilai kolom severity_data dikonversi menjadi huruf besar. Jika salah satunya adalah "HIGH", "LOW", "MEDIUM", "CRITICAL", "ERROR", "INFORMATIONAL", maka akan ditetapkan ke security_result.severity.
source-ip principal.ip, principal.asset.ip Nilai kolom source-ip ditetapkan ke kolom principal.ip dan principal.asset.ip.
source-port principal.port Nilai kolom source-port, yang dikonversi menjadi bilangan bulat, ditetapkan ke kolom principal.port.
spt principal.port Nilai kolom spt, yang dikonversi menjadi bilangan bulat, ditetapkan ke kolom principal.port.
src principal.ip, principal.asset.ip Nilai kolom src ditetapkan ke kolom principal.ip dan principal.asset.ip.
srcapp principal.application Nilai kolom srcapp ditetapkan ke kolom principal.application.
srchost principal.hostname, principal.asset.hostname Nilai kolom srchost ditetapkan ke kolom principal.hostname dan principal.asset.hostname.
vendor metadata.vendor_name Nilai kolom vendor ditetapkan ke kolom metadata.vendor_name.
version metadata.product_version Nilai kolom version ditetapkan ke kolom metadata.product_version.
violation-id security_result.detection_fields.value Nilai kolom violation-id ditetapkan ke kolom value dalam security_result.detection_fields. key yang sesuai adalah "violation-id".
violation-type security_result.detection_fields.value Nilai kolom violation-type ditetapkan ke kolom value dalam security_result.detection_fields. key yang sesuai adalah "violation-type".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.