Esta página foi traduzida pela API Cloud Translation.

Recolha registos de gestão do Imperva SecureSphere

Compatível com:

Google secops SIEM

Este documento explica como carregar registos de gestão do Imperva SecureSphere para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos no formato CEF ou JSON. Usa padrões grok e análise de chave/valor para mapear campos de registo não processados para o UDM, processando campos CEF padrão e estruturas JSON personalizadas, e dando prioridade aos dados JSON, se disponíveis. O Imperva SecureSphere oferece capacidades abrangentes de firewall de aplicação Web, segurança de base de dados e segurança de ficheiros para implementações no local e na nuvem.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado à consola de gestão do Imperva SecureSphere

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_SECURESPHERE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog na gestão do Imperva SecureSphere

Inicie sessão na Imperva SecureSphere Management Console.
Aceda a Configuração > Conjuntos de ações.
Clique em Adicionar para criar um novo conjunto de ações.
Indique os seguintes detalhes de configuração:
- Nome: introduza um nome descritivo (por exemplo, Google SecOps Syslog).

Configure a ação de evento de segurança

Clique em Adicionar ação e configure:
- Tipo de ação: selecione Syslog.
- Anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta: introduza o número da porta do agente Bindplane (predefinição: 514).
- Protocolo: selecione UDP ou TCP.
- Nível de registo do Syslog: selecione DEBUG.
- Instalação do Syslog: selecione LOCAL0.
- Formato da mensagem: selecione Registo do gateway – Evento de segurança – Registo do sistema (syslog) com a norma CEF.

Configure a ação de evento do sistema

Clique em Adicionar ação e configure:
- Tipo de ação: selecione Registo do sistema.
- Anfitrião: introduza o endereço IP do agente BindPlane.
- Porta: introduza o número da porta do agente BindPlane.
- Protocolo: selecione UDP ou TCP.
- Formato da mensagem: selecione Registar evento do sistema no registo do sistema (syslog) através da norma CEF.

Aplique conjuntos de ações a políticas

Aceda a Políticas > Políticas de segurança.
Para cada política relevante, configure as Ações seguidas para usar o seu conjunto de ações.
Aceda a Políticas > Políticas de eventos do sistema.
Configure políticas de eventos do sistema para usar o conjunto de ações para uma monitorização abrangente.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`action`	`security_result.action_details`	O valor do campo `action` é atribuído ao campo `security_result.action_details`.
`application-name`	`target.application`	O valor do campo `application-name` é atribuído ao campo `target.application`.
`cat`	`security_result.category_details`	O valor do campo `cat` é atribuído ao campo `security_result.category_details`.
`class`	`security_result.detection_fields.value`	O valor do campo `class` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "class".
`collection_time.seconds`	`metadata.event_timestamp.seconds`	O valor de `collection_time.seconds` do registo não processado é usado como o valor de segundos para `metadata.event_timestamp`.
`create-time`	`metadata.event_timestamp.seconds`	O valor de `create-time` é analisado e o respetivo valor em segundos é usado como o valor em segundos de `metadata.event_timestamp`.
`cs1`	`security_result.rule_name`	O valor do campo `cs1` é atribuído ao campo `security_result.rule_name`.
`cs10`	`target.resource.attribute.labels.value`	O valor do campo `cs10` é atribuído ao campo `value` em `target.resource.attribute.labels`.
`cs10Label`	`target.resource.attribute.labels.key`	O valor do campo `cs10Label` é atribuído ao campo `key` em `target.resource.attribute.labels`.
`cs11`	`principal.application`	O valor do campo `cs11` é atribuído ao campo `principal.application`.
`cs12`	`security_result.description`	O valor do campo `cs12`, após a remoção das chavetas e dos sinais de dólar, é atribuído ao campo `security_result.description`.
`cs14`	`target.resource.attribute.labels.value`	O valor do campo `cs14` é atribuído ao campo `value` em `target.resource.attribute.labels`.
`cs14Label`	`target.resource.attribute.labels.key`	O valor do campo `cs14Label` é atribuído ao campo `key` em `target.resource.attribute.labels`.
`cs15`	`security_result.summary`	O valor do campo `cs15` é atribuído ao campo `security_result.summary`.
`cs16`	`principal.process.command_line`	O valor do campo `cs16` é atribuído ao campo `principal.process.command_line`.
`cs17`	`target.resource.resource_subtype`	O valor do campo `cs17` é atribuído ao campo `target.resource.resource_subtype`.
`cs2`	`principal.group.group_display_name`	O valor do campo `cs2` é atribuído ao campo `principal.group.group_display_name`.
`cs3`	`principal.hostname`, `principal.asset.hostname`	O valor do campo `cs3` é atribuído aos campos `principal.hostname` e `principal.asset.hostname`.
`cs4`	`target.application`	O valor do campo `cs4` é atribuído ao campo `target.application`, a menos que o valor seja "ProcessWitness".
`cs5`	`metadata.description`	O valor do campo `cs5` é atribuído ao campo `metadata.description`.
`cs6`	`target.resource_ancestors.name`	O valor do campo `cs6` é atribuído ao campo `target.resource_ancestors.name`.
`cs7`	`target.resource_ancestors.resource_subtype`	O valor do campo `cs7` é atribuído ao campo `target.resource_ancestors.resource_subtype`.
`cs8`	`target.resource.name`, `target.resource.resource_type`	O valor do campo `cs8` é atribuído ao campo `target.resource.name` e o campo `target.resource.resource_type` é definido como "DATABASE".
`cs9`	`principal.user.userid`	O valor do campo `cs9` é atribuído ao campo `principal.user.userid`.
`description`	`security_result.description`	O valor do campo `description` é atribuído ao campo `security_result.description`.
`dest-ip`	`target.ip`, `target.asset.ip`	O endereço IP extraído do campo `dest-ip` é atribuído aos campos `target.ip` e `target.asset.ip`.
`dest-port`	`target.port`	O valor do campo `dest-port`, convertido num número inteiro, é atribuído ao campo `target.port`.
`deviceExternalId`	`intermediary.hostname`	O valor do campo `deviceExternalId` é atribuído ao campo `intermediary.hostname`.
`dpt`	`target.port`	O valor do campo `dpt`, convertido num número inteiro, é atribuído ao campo `target.port`.
`dst`	`target.ip`, `target.asset.ip`	O valor do campo `dst` é atribuído aos campos `target.ip` e `target.asset.ip`.
`duser`	`target.user.userid`	O valor do campo `duser` é atribuído ao campo `target.user.userid`.
`eventId`	`metadata.product_log_id`	O valor do campo `eventId` é atribuído ao campo `metadata.product_log_id`.
`gateway-name`	`security_result.detection_fields.value`	O valor do campo `gateway-name` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "gateway-name".
`http.request.method`	`network.http.method`	O valor do campo `http.request.method` é atribuído ao campo `network.http.method`.
`http.request.user-agent`	`network.http.user_agent`	O valor do campo `http.request.user_agent` é atribuído ao campo `network.http.user_agent`.
`http.response.code`	`network.http.response_code`	O valor do campo `http.response.code`, convertido num número inteiro, é atribuído ao campo `network.http.response_code`.
`http.session-id`	`network.session_id`	O valor do campo `http.session-id` é atribuído ao campo `network.session_id`.
`http.user-name`	`principal.user.userid`	O valor do campo `http.user-name`, com as aspas circundantes removidas, é atribuído ao campo `principal.user.userid`.
`log_type`	`metadata.log_type`	O valor do campo `log_type` do registo não processado é atribuído ao campo `metadata.log_type`.
`mx-ip`	`intermediary.ip`	O valor do campo `mx-ip` é atribuído ao campo `intermediary.ip`.
`MxIP`	`intermediary.ip`	O valor do campo `MxIP` é atribuído ao campo `intermediary.ip`.
`OSUser`	`principal.user.userid`	O valor do campo `OSUser` é atribuído ao campo `principal.user.userid`.
`policy-name`	`security_result.detection_fields.value`	O valor do campo `policy-name` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "policy-name".
`pquery`	`target.resource.name`, `target.process.command_line`	Se `pquery` não estiver vazio e contiver a palavra "from", o nome da tabela é extraído e atribuído a `target.resource.name`, `target.resource.resource_type` é definido como "TABLE" e o valor `pquery` completo é atribuído a `target.process.command_line`. Caso contrário, todo o valor de `pquery` é atribuído a `target.resource.name`.
`pro`	`security_result.description`	O valor do campo `pro` é atribuído ao campo `security_result.description`.
`product`	`metadata.product_name`	O valor do campo `product` é atribuído ao campo `metadata.product_name`.
`product_type`	`metadata.product_event_type`	O valor do campo `product_type` é atribuído ao campo `metadata.product_event_type`.
`protocol`	`network.ip_protocol`	Se o valor do campo `protocol` for "TCP" ou "UDP", é atribuído ao campo `network.ip_protocol`.
`proto`	`network.ip_protocol`	O valor do campo `proto` é atribuído ao campo `network.ip_protocol`.
`reason`	`security_result.rule_name`	O valor do campo `reason` é atribuído ao campo `security_result.rule_name`.
`rt`	`metadata.event_timestamp.seconds`	O valor de `rt` é analisado e o respetivo valor em segundos é usado como o valor em segundos de `metadata.event_timestamp`.
`server-group-name`	`target.resource.attribute.labels.value`	O valor do campo `server-group-name` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "server-group-name".
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	O valor do campo `server-group-simulation-mode` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "server-group-simulation-mode".
`service-name`	`target.resource.attribute.labels.value`	O valor do campo `service-name` é atribuído ao campo `value` em `target.resource.attribute.labels`. O `key` correspondente é "service-name".
`ServiceName`	`target.application`	Se `ApplicationName` não estiver vazio e `ServiceName` estiver vazio, o valor de `ApplicationName` é atribuído a `ServiceName`. O valor de `ServiceName` é, em seguida, atribuído a `target.application`.
`severity`	`security_result.severity`, `security_result.severity_details`	O valor do campo `severity` é convertido em maiúsculas. Se for um dos seguintes: "BAIXO", "MÉDIO", "ALTO" ou "CRÍTICO", é atribuído a `security_result.severity`. Se for "INFORMATIVE" ou "INFO", `security_result.severity` é definido como "INFORMATIONAL". O valor original também é atribuído a `security_result.severity_details`.
`severity_data`	`security_result.severity`	O valor do campo `severity_data` é convertido em maiúsculas. Se for um dos seguintes: "HIGH", "LOW", "MEDIUM", "CRITICAL", "ERROR" ou "INFORMATIONAL", é atribuído a `security_result.severity`.
`source-ip`	`principal.ip`, `principal.asset.ip`	O valor do campo `source-ip` é atribuído aos campos `principal.ip` e `principal.asset.ip`.
`source-port`	`principal.port`	O valor do campo `source-port`, convertido num número inteiro, é atribuído ao campo `principal.port`.
`spt`	`principal.port`	O valor do campo `spt`, convertido num número inteiro, é atribuído ao campo `principal.port`.
`src`	`principal.ip`, `principal.asset.ip`	O valor do campo `src` é atribuído aos campos `principal.ip` e `principal.asset.ip`.
`srcapp`	`principal.application`	O valor do campo `srcapp` é atribuído ao campo `principal.application`.
`srchost`	`principal.hostname`, `principal.asset.hostname`	O valor do campo `srchost` é atribuído aos campos `principal.hostname` e `principal.asset.hostname`.
`vendor`	`metadata.vendor_name`	O valor do campo `vendor` é atribuído ao campo `metadata.vendor_name`.
`version`	`metadata.product_version`	O valor do campo `version` é atribuído ao campo `metadata.product_version`.
`violation-id`	`security_result.detection_fields.value`	O valor do campo `violation-id` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "violation-id".
`violation-type`	`security_result.detection_fields.value`	O valor do campo `violation-type` é atribuído ao campo `value` em `security_result.detection_fields`. O `key` correspondente é "violation-type".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.