Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Imperva Database

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Database Imperva ke Google Security Operations menggunakan Bindplane. Parser pertama-tama mencoba mengekstrak kolom dari berbagai format log terstruktur seperti CEF, LEEF, dan JSON. Jika format tersebut tidak ditemukan, format akan menggunakan pola grok untuk mengekstrak kolom dari pesan syslog yang tidak terstruktur, yang pada akhirnya memetakan data yang diekstrak ke model data terpadu (UDM). Imperva Database Security menyediakan kemampuan pemantauan, audit, dan perlindungan aktivitas database yang komprehensif.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol pengelolaan Imperva SecureSphere

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_DB'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di Imperva Database

Login ke Konsol Pengelolaan Imperva SecureSphere.
Buka Configuration > Action Sets.
Klik Tambahkan untuk membuat Set Tindakan baru atau mengedit yang sudah ada.
Klik Tambahkan Tindakan dan berikan detail konfigurasi berikut:
- Nama: Masukkan nama deskriptif (misalnya, Google SecOps Syslog).
- Jenis Tindakan: Pilih GW Syslog.
- Host: Masukkan alamat IP Agen BindPlane.
- Port: Masukkan nomor port Agen BindPlane (default 514).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi Agen BindPlane Anda.
- Tingkat Log Syslog: Pilih DEBUG untuk logging yang komprehensif.
- Fasilitas Syslog: Pilih LOCAL0 atau fasilitas yang sesuai.
- Action Interface: Pilih Gateway Log - Security Event - System Log (syslog) - JSON format (Extended) untuk format SYSLOG+JSON, atau Gateway Log - Security Event - System Log (syslog) untuk format SYSLOG standar.
Simpan konfigurasi tindakan.
Buka Kebijakan > Kebijakan Keamanan atau Kebijakan > Kebijakan Audit Database.
Edit kebijakan yang relevan dan tambahkan Set Tindakan yang berisi tindakan syslog Anda untuk memastikan peristiwa diteruskan ke Google SecOps.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
acct	principal.user.userid	Jika `acct` adalah "admin", petakan ke `target.user.userid`, jika tidak, petakan ke `principal.user.userid`. Hapus tanda petik dan spasi dari `acct` sebelum pemetaan.
tindakan	security_result.action_details	Nilai kolom `action` dari log mentah
alertSev	security_result.severity	Jika `alertSev` adalah "Informative", petakan sebagai "INFORMATIONAL", jika tidak, petakan sebagai huruf besar dari `alertSev`
application	principal.application	Jika `application` adalah "pam_unix(sudo:session)" atau `description` berisi "pam_unix", petakan sebagai "pam_unix". Jika `message` berisi "run-parts", petakan sebagai "run-parts". Jika `message` berisi "audispd", petakan sebagai "audispd". Jika `message` berisi "FSS audit", petakan sebagai "FSS audit". Jika tidak, petakan sebagai kolom `application` dari log mentah
application-name	target.application	Nilai kolom `application-name` dari log mentah
audit-policy	security_result.category_details	Nilai kolom `audit-policy` dari log mentah
bind-variables	additional.fields.bind_variables_label.value.string_value	Nilai kolom `bind-variables` dari log mentah
category	security_result.category_details	Nilai kolom `category` dari log mentah
PERINTAH	target.process.command_line	Jika `exe` tidak kosong, petakan sebagai kolom `exe` dari log mentah. Jika tidak, petakan sebagai kolom `COMMAND` dari log mentah
createTime		Tidak Dipetakan
db-schema-pair	additional.fields.`DB Name_{index}`.value.string_value, additional.fields.`Schema Name_{index}`.value.string_value	Untuk setiap objek `db-schema-pair` dalam log mentah, ekstrak kolom `db-name` dan `schema-name`, lalu petakan ke `DB Name_{index}` dan `Schema Name_{index}` masing-masing di UDM, dengan `index` adalah indeks objek dalam array.
db-user	principal.user.userid	Jika `db-user` tidak kosong, petakan sebagai kolom `db-user` dari log mentah. Jika `os-user` tidak kosong dan `db-user` kosong, petakan sebagai kolom `os-user` dari log mentah
dbName	target.resource.name	Nilai kolom `dbName` dari log mentah
dest-ip	target.ip, target.asset.ip	Nilai kolom `dest-ip` dari log mentah
dest-port	target.port	Nilai kolom `dest-port` dari log mentah
deskripsi	metadata.description	Jika `description` berisi "user:", ekstrak userid dari `description` dan petakan ke `userid`. Jika `userid` tidak kosong dan `description` berisi "Invalid" atau "invalid", ganti "Invalid user" dengan "Invalid". Jika `application` adalah "sshd", hapus " from" dan " by" dari `description`. Jika tidak, petakan sebagai kolom `description` dari log mentah
dst	target.ip, target.asset.ip	Nilai kolom `dst` dari log mentah
dstIP	target.ip, target.asset.ip	Nilai kolom `dstIP` dari log mentah
dstPort	target.port	Nilai kolom `dstPort` dari log mentah
event-type	metadata.product_event_type	Nilai kolom `event-type` dari log mentah
eventType	metadata.product_event_type, metadata.event_type	Jika `eventType` tidak kosong dan `srcIP` serta `dstIP` tidak kosong, petakan `eventType` ke `metadata.product_event_type` dan petakan "NETWORK_CONNECTION" ke `metadata.event_type`
evntDesc	security_result.description	Nilai kolom `evntDesc` dari log mentah
exe	target.process.command_line	Nilai kolom `exe` dari log mentah
dari	network.email.from	Hapus "<" dan ">" dari `from` dan petakan ke `network.email.from`
grup	target.user.group_identifiers	Nilai kolom `group` dari log mentah
gw-ip	intermediary.ip, intermediary.asset.ip	Nilai kolom `gw-ip` dari log mentah
host	target.hostname, target.asset.hostname	Nilai kolom `host` dari log mentah
host-name	principal.hostname, principal.asset.hostname	Nilai kolom `host-name` dari log mentah
hostname	principal.hostname, principal.asset.hostname	Nilai kolom `hostname` dari log mentah
ip	target.ip, target.asset.ip	Nilai kolom `ip` dari log mentah
mx-ip	intermediary.ip, intermediary.asset.ip	Nilai kolom `mx-ip` dari log mentah
objects-list	additional.fields.`Object_{index}`.value.string_value	Untuk setiap objek `objects-list` dalam log mentah, ekstrak objek dan petakan ke `Object_{index}` di UDM, dengan `index` adalah indeks objek dalam array.
Operasi	about.labels.Operation.value	Nilai kolom `Operation` dari log mentah
`Operation type`	about.labels.`Operation Type`.value	Nilai kolom `Operation type` dari log mentah
os-user	principal.user.userid, additional.fields.`OS User`.value.string_value	Jika `os-user` tidak kosong dan `db-user` kosong, petakan sebagai kolom `os-user` dari log mentah. Jika tidak, petakan sebagai kolom `OS User` dari log mentah
Kueri yang Diurai	target.process.command_line	Nilai kolom `Parsed Query` dari log mentah
parsed-query	additional.fields.`Parsed Query`.value.string_value	Nilai kolom `parsed-query` dari log mentah
pid	target.process.pid	Nilai kolom `pid` dari log mentah
policy-id	security_result.detection_fields.`Policy_ID_{index}`.value	Untuk setiap objek `policy-id` dalam log mentah, ekstrak kebijakan dan petakan ke `Policy_ID_{index}` di UDM, dengan `index` adalah indeks objek dalam array.
policyName	security_result.detection_fields.policyName_label.value	Nilai kolom `policyName` dari log mentah
port	target.port	Nilai kolom `port` dari log mentah
Diberi Hak Istimewa	about.labels.Privileged.value	Jika `Privileged` benar, petakan sebagai "True", jika tidak, petakan sebagai "False"
proto	network.ip_protocol	Nilai kolom `proto` dari log mentah
protokol	network.ip_protocol	Jika `protocol` adalah "TCP" atau "UDP", petakan sebagai kolom `protocol` dari log mentah
PWD	target.file.full_path	Nilai kolom `PWD` dari log mentah
`Raw Data`	target.resource.attribute.labels.raw_Data.value	Nilai kolom `Raw Data` dari log mentah
raw-query	additional.fields.`Raw Query`.value.string_value	Nilai kolom `raw-query` dari log mentah
ruleName	security_result.rule_name	Nilai kolom `ruleName` dari log mentah
server-group	additional.fields.serve_group_label.value.string_value	Nilai kolom `server-group` dari log mentah
service-name	additional.fields.service_name_label.value.string_value	Nilai kolom `service-name` dari log mentah
`Service Type`	additional.fields.`Service Type`.value.string_value	Nilai kolom `Service Type` dari log mentah
ukuran	network.received_bytes	Nilai kolom `size` dari log mentah
`Stored Proc`	about.labels.Stored_Proc.value	Jika `Stored Proc` benar, petakan sebagai "True", jika tidak, petakan sebagai "False"
`Table Group`	target.group.group_display_name	Nilai kolom `Table Group` dari log mentah
timestamp	metadata.event_timestamp	Nilai kolom `timestamp` dari log mentah
sampai	network.email.to	Hapus "<" dan ">" dari `to` dan petakan ke `network.email.to`
PENGGUNA	principal.user.userid, target.user.userid	Jika `USER` tidak kosong dan `USER` adalah "admin", petakan sebagai kolom `USER` dari log mentah ke `target.user.userid`. Jika `USER` tidak kosong, petakan sebagai kolom `USER` dari log mentah ke `principal.user.userid`
diautentikasi pengguna	security_result.detection_fields.user_authenticated.value	Nilai kolom `user-authenticated` dari log mentah
grup pengguna	additional.fields.user_group_label.value.string_value	Nilai kolom `user-group` dari log mentah
nama pengguna	principal.user.user_display_name	Nilai kolom `username` dari log mentah
usrName	principal.user.userid	Nilai kolom `usrName` dari log mentah
	extensions.auth.mechanism	Dikodekan secara permanen ke "USERNAME_PASSWORD" jika `description` berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau `error` tidak kosong
	extensions.auth.type	Dikodekan secara permanen ke "AUTHTYPE_UNSPECIFIED" jika `has_principal` adalah "true" dan `has_target` adalah "true" dan `event-type` adalah "Login"
	metadata.event_type	Di-hardcode ke "PROCESS_OPEN" jika `PWD` tidak kosong. Dikodekan secara permanen ke "PROCESS_OPEN" jika `message` berisi "starting" atau `application` adalah "pman" atau "CROND" atau "run-parts" dan `event_type` kosong. Dikodekan secara permanen ke "NETWORK_CONNECTION" jika `description` adalah "Syslog connection established", "Syslog connection broken", atau "Syslog connection failed". Dikodekan secara permanen ke "EMAIL_UNCATEGORIZED" jika `application` adalah "postfix/qmgr" atau "postfix/local" atau "postfix/pickup". Dikodekan secara permanen ke "EMAIL_TRANSACTION" jika `application` adalah "postfix/local" atau "postfix/pickup" dan `status` adalah "sent (delivered to mailbox)". Di-hard code ke "NETWORK_HTTP" jika `application` adalah "sshd" dan `description` tidak berisi "check pass; user unknown" dan `description` tidak berisi "authentication failure" dan `description` tidak berisi "invalid". Dikodekan secara permanen ke "USER_LOGIN" jika `description` berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau `error` tidak kosong. Di-hardcode ke "FILE_SYNC" jika `file_path` tidak kosong. Dikodekan secara permanen ke "PROCESS_UNCATEGORIZED" jika `message` berisi "reconfigure" dan `application` adalah "pman". Dikodekan secara permanen ke "PROCESS_TERMINATION" jika `message` berisi "exit code 1" dan `application` adalah "pman". Dikodekan secara permanen ke "NETWORK_CONNECTION" jika `eventType` tidak kosong dan `srcIP` serta `dstIP` tidak kosong. Dikodekan secara permanen ke "USER_LOGIN" jika `has_principal` adalah "true", `has_target` adalah "true", dan `event-type` adalah "Login". Dikodekan secara permanen ke "NETWORK_CONNECTION" jika `has_principal` adalah "true" dan `has_target` adalah "true" dan `protocol` tidak kosong. Dikodekan secara permanen ke "STATUS_UPDATE" jika `has_principal` adalah "true". Dikodekan secara permanen ke "GENERIC_EVENT" jika `event_type` kosong atau "GENERIC_EVENT"
	metadata.log_type	Dikodekan secara permanen ke "IMPERVA_DB"
	metadata.product_name	Dikodekan secara permanen ke "IMPERVA DB"
	metadata.vendor_name	Dikodekan secara permanen ke "IMPERVA DB"
	security_result.action	Dikodekan secara permanen ke "ALLOW" jika `description` tidak berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" dan `error` kosong. Dikodekan secara permanen ke "BLOCK" jika `description` berisi "authentication failure" atau "check pass; user unknown" atau "Invalid user" atau "invalid user" atau `error` tidak kosong
	security_result.rule_id	Jika `description` berisi "alert_score" atau "new_alert_score", ekstrak ruleid dari `description` dan petakan ke `security_result.rule_id`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.