收集 Imperva SecureSphere Management 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Imperva SecureSphere Management 日志注入到 Google Security Operations。解析器会从 CEF 或 JSON 格式的日志中提取字段。它使用 grok 模式和键值解析将原始日志字段映射到 UDM,同时处理标准 CEF 字段和自定义 JSON 结构,并在 JSON 数据可用时优先处理 JSON 数据。Imperva SecureSphere 为本地部署和云部署提供全面的 Web 应用防火墙、数据库安全和文件安全功能。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
  • 对 Imperva SecureSphere 管理控制台的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 个人资料
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中,或位于 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_SECURESPHERE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 根据基础架构的需要替换端口和 IP 地址。
    • <customer_id> 替换为实际的客户 ID。
    • /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Imperva SecureSphere Management 上配置 Syslog 转发

  1. 登录 Imperva SecureSphere 管理控制台
  2. 依次前往配置 > 操作集
  3. 点击添加以创建新的操作集。
  4. 提供以下配置详细信息:
    • 名称:输入一个描述性名称(例如 Google SecOps Syslog)。

配置安全事件操作

  1. 点击添加操作,然后配置:
    • 操作类型:选择 Syslog
    • 主机:输入 Bindplane 代理 IP 地址。
    • 端口:输入 Bindplane 代理端口号(默认值为 514)。
    • 协议:选择 UDPTCP
    • Syslog 日志级别:选择 DEBUG
    • Syslog Facility:选择 LOCAL0
    • 消息格式:选择 Gateway Log - Security Event - System Log (syslog) using CEF standard

配置系统事件操作

  1. 点击添加操作,然后配置:
    • 操作类型:选择系统日志
    • 主机:输入 BindPlane 代理 IP 地址。
    • 端口:输入 BindPlane 代理端口号。
    • 协议:选择 UDPTCP
    • 消息格式:选择 使用 CEF 标准将系统事件记录到系统日志 (syslog)

将操作集应用于政策

  1. 依次前往政策 > 安全政策
  2. 针对每项相关政策,配置后续操作以使用您的操作集。
  3. 前往政策 > 系统事件政策
  4. 配置系统事件政策,以使用操作集进行全面监控。

UDM 映射表

日志字段 UDM 映射 逻辑
action security_result.action_details action 字段的值已分配给 security_result.action_details 字段。
application-name target.application application-name 字段的值已分配给 target.application 字段。
cat security_result.category_details cat 字段的值已分配给 security_result.category_details 字段。
class security_result.detection_fields.value class 字段的值已分配给 security_result.detection_fields 中的 value 字段。对应的 key 是“class”。
collection_time.seconds metadata.event_timestamp.seconds 原始日志中的 collection_time.seconds 值用作 metadata.event_timestamp 的秒值。
create-time metadata.event_timestamp.seconds 系统会解析 create-time 的值,并将其秒数值用作 metadata.event_timestamp 的秒数值。
cs1 security_result.rule_name cs1 字段的值已分配给 security_result.rule_name 字段。
cs10 target.resource.attribute.labels.value cs10 字段的值会分配给 target.resource.attribute.labels 中的 value 字段。
cs10Label target.resource.attribute.labels.key cs10Label 字段的值会分配给 target.resource.attribute.labels 中的 key 字段。
cs11 principal.application cs11 字段的值已分配给 principal.application 字段。
cs12 security_result.description 移除大括号和美元符号后,cs12 字段的值会分配给 security_result.description 字段。
cs14 target.resource.attribute.labels.value cs14 字段的值会分配给 target.resource.attribute.labels 中的 value 字段。
cs14Label target.resource.attribute.labels.key cs14Label 字段的值会分配给 target.resource.attribute.labels 中的 key 字段。
cs15 security_result.summary cs15 字段的值已分配给 security_result.summary 字段。
cs16 principal.process.command_line cs16 字段的值已分配给 principal.process.command_line 字段。
cs17 target.resource.resource_subtype cs17 字段的值已分配给 target.resource.resource_subtype 字段。
cs2 principal.group.group_display_name cs2 字段的值已分配给 principal.group.group_display_name 字段。
cs3 principal.hostnameprincipal.asset.hostname cs3 字段的值会同时分配给 principal.hostnameprincipal.asset.hostname 字段。
cs4 target.application cs4 字段的值会分配给 target.application 字段,除非该值为“ProcessWitness”。
cs5 metadata.description cs5 字段的值已分配给 metadata.description 字段。
cs6 target.resource_ancestors.name cs6 字段的值已分配给 target.resource_ancestors.name 字段。
cs7 target.resource_ancestors.resource_subtype cs7 字段的值已分配给 target.resource_ancestors.resource_subtype 字段。
cs8 target.resource.nametarget.resource.resource_type cs8 字段的值会分配给 target.resource.name 字段,并将 target.resource.resource_type 设置为“DATABASE”。
cs9 principal.user.userid cs9 字段的值已分配给 principal.user.userid 字段。
description security_result.description description 字段的值已分配给 security_result.description 字段。
dest-ip target.iptarget.asset.ip dest-ip 字段提取的 IP 地址会同时分配给 target.iptarget.asset.ip 字段。
dest-port target.port dest-port 字段的值(转换为整数)会分配给 target.port 字段。
deviceExternalId intermediary.hostname deviceExternalId 字段的值已分配给 intermediary.hostname 字段。
dpt target.port dpt 字段的值(转换为整数)会分配给 target.port 字段。
dst target.iptarget.asset.ip dst 字段的值会同时分配给 target.iptarget.asset.ip 字段。
duser target.user.userid duser 字段的值已分配给 target.user.userid 字段。
eventId metadata.product_log_id eventId 字段的值已分配给 metadata.product_log_id 字段。
gateway-name security_result.detection_fields.value gateway-name 字段的值已分配给 security_result.detection_fields 中的 value 字段。对应的 key 为“gateway-name”。
http.request.method network.http.method http.request.method 字段的值已分配给 network.http.method 字段。
http.request.user-agent network.http.user_agent http.request.user_agent 字段的值已分配给 network.http.user_agent 字段。
http.response.code network.http.response_code http.response.code 字段的值(转换为整数)会分配给 network.http.response_code 字段。
http.session-id network.session_id http.session-id 字段的值已分配给 network.session_id 字段。
http.user-name principal.user.userid http.user-name 字段的值(不含周围的英文引号)会分配给 principal.user.userid 字段。
log_type metadata.log_type 原始日志中 log_type 字段的值会分配给 metadata.log_type 字段。
mx-ip intermediary.ip mx-ip 字段的值已分配给 intermediary.ip 字段。
MxIP intermediary.ip MxIP 字段的值已分配给 intermediary.ip 字段。
OSUser principal.user.userid OSUser 字段的值已分配给 principal.user.userid 字段。
policy-name security_result.detection_fields.value policy-name 字段的值已分配给 security_result.detection_fields 中的 value 字段。对应的 key 为“policy-name”。
pquery target.resource.nametarget.process.command_line 如果 pquery 不为空且包含“from”一词,则提取表名称并将其分配给 target.resource.name,将 target.resource.resource_type 设置为“TABLE”,并将整个 pquery 值分配给 target.process.command_line。否则,整个 pquery 值都会分配给 target.resource.name
pro security_result.description pro 字段的值已分配给 security_result.description 字段。
product metadata.product_name product 字段的值已分配给 metadata.product_name 字段。
product_type metadata.product_event_type product_type 字段的值已分配给 metadata.product_event_type 字段。
protocol network.ip_protocol 如果 protocol 字段的值为“TCP”或“UDP”,则会将其分配给 network.ip_protocol 字段。
proto network.ip_protocol proto 字段的值已分配给 network.ip_protocol 字段。
reason security_result.rule_name reason 字段的值已分配给 security_result.rule_name 字段。
rt metadata.event_timestamp.seconds 系统会解析 rt 的值,并将其秒数值用作 metadata.event_timestamp 的秒数值。
server-group-name target.resource.attribute.labels.value server-group-name 字段的值已分配给 target.resource.attribute.labels 中的 value 字段。相应的 key 为“server-group-name”。
server-group-simulation-mode target.resource.attribute.labels.value server-group-simulation-mode 字段的值已分配给 target.resource.attribute.labels 中的 value 字段。相应的 key 为“server-group-simulation-mode”。
service-name target.resource.attribute.labels.value service-name 字段的值已分配给 target.resource.attribute.labels 中的 value 字段。对应的 key 为“service-name”。
ServiceName target.application 如果 ApplicationName 不为空,而 ServiceName 为空,则将 ApplicationName 的值分配给 ServiceName。然后,将 ServiceName 的值分配给 target.application
severity security_result.severitysecurity_result.severity_details severity 字段的值会转换为大写。如果值为“LOW”“MEDIUM”“HIGH”“CRITICAL”之一,则分配给 security_result.severity。如果为“INFORMATIVE”或“INFO”,则将 security_result.severity 设置为“INFORMATIONAL”。原始值也会分配给 security_result.severity_details
severity_data security_result.severity severity_data 字段的值会转换为大写。如果它是“HIGH”“LOW”“MEDIUM”“CRITICAL”“ERROR”“INFORMATIONAL”之一,则会分配给 security_result.severity
source-ip principal.ipprincipal.asset.ip source-ip 字段的值会同时分配给 principal.ipprincipal.asset.ip 字段。
source-port principal.port source-port 字段的值(转换为整数)会分配给 principal.port 字段。
spt principal.port spt 字段的值(转换为整数)会分配给 principal.port 字段。
src principal.ipprincipal.asset.ip src 字段的值会同时分配给 principal.ipprincipal.asset.ip 字段。
srcapp principal.application srcapp 字段的值已分配给 principal.application 字段。
srchost principal.hostnameprincipal.asset.hostname srchost 字段的值会同时分配给 principal.hostnameprincipal.asset.hostname 字段。
vendor metadata.vendor_name vendor 字段的值已分配给 metadata.vendor_name 字段。
version metadata.product_version version 字段的值已分配给 metadata.product_version 字段。
violation-id security_result.detection_fields.value violation-id 字段的值已分配给 security_result.detection_fields 中的 value 字段。对应的 key 为“违规 ID”。
violation-type security_result.detection_fields.value violation-type 字段的值已分配给 security_result.detection_fields 中的 value 字段。对应的 key 为“违规类型”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。