このページは Cloud Translation API によって翻訳されました。

Imperva SecureSphere Management のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Imperva SecureSphere Management ログを Google Security Operations に取り込む方法について説明します。パーサーは、CEF 形式または JSON 形式のログからフィールドを抽出します。grok パターンと Key-Value 解析を使用して未加工のログフィールドを UDM にマッピングし、標準の CEF フィールドとカスタム JSON 構造の両方を処理します。JSON データが利用可能な場合は、JSON データを優先します。Imperva SecureSphere は、オンプレミスとクラウドのデプロイに包括的なウェブアプリケーションファイアウォール、データベースセキュリティ、ファイルセキュリティ機能を提供します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します
Imperva SecureSphere Management コンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_SECURESPHERE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Imperva SecureSphere Management で Syslog 転送を構成する

Imperva SecureSphere Management Console にログインします。
[構成> アクションセット] に移動します。
[追加] をクリックして、新しいアクションセットを作成します。
次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します（例: Google SecOps Syslog）。

セキュリティイベントアクションを構成する

[アクションを追加] をクリックして、次のように構成します。
- アクションタイプ: [Syslog] を選択します。
- ホスト: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号（デフォルトは 514）を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- Syslog ログレベル: [DEBUG] を選択します。
- Syslog Facility: [LOCAL0] を選択します。
- メッセージ形式: [Gateway Log - Security Event - System Log (syslog) using CEF standard] を選択します。

システムイベントアクションを構成する

[アクションを追加] をクリックして、次のように構成します。
- Action Type: [System Log] を選択します。
- ホスト: BindPlane エージェントの IP アドレスを入力します。
- ポート: BindPlane Agent のポート番号を入力します。
- プロトコル: [UDP] または [TCP] を選択します。
- メッセージ形式: [CEF 標準を使用してシステムログ（syslog）にシステムイベントを記録する] を選択します。

ポリシーにアクションセットを適用する

[ポリシー>セキュリティポリシー] に移動します。
関連するポリシーごとに、アクションセットを使用するように [フォローされたアクション] を構成します。
[Policies] > [System Events Policies] に移動します。
包括的なモニタリングのために、アクションセットを使用するようにシステムイベントポリシーを構成します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`action`	`security_result.action_details`	`action` フィールドの値が `security_result.action_details` フィールドに割り当てられます。
`application-name`	`target.application`	`application-name` フィールドの値が `target.application` フィールドに割り当てられます。
`cat`	`security_result.category_details`	`cat` フィールドの値が `security_result.category_details` フィールドに割り当てられます。
`class`	`security_result.detection_fields.value`	`class` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「class」です。
`collection_time.seconds`	`metadata.event_timestamp.seconds`	未加工ログの `collection_time.seconds` の値が、`metadata.event_timestamp` の秒の値として使用されます。
`create-time`	`metadata.event_timestamp.seconds`	`create-time` の値が解析され、その秒の値が `metadata.event_timestamp` の秒の値として使用されます。
`cs1`	`security_result.rule_name`	`cs1` フィールドの値が `security_result.rule_name` フィールドに割り当てられます。
`cs10`	`target.resource.attribute.labels.value`	`cs10` フィールドの値が `target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。
`cs10Label`	`target.resource.attribute.labels.key`	`cs10Label` フィールドの値が `target.resource.attribute.labels` 内の `key` フィールドに割り当てられます。
`cs11`	`principal.application`	`cs11` フィールドの値が `principal.application` フィールドに割り当てられます。
`cs12`	`security_result.description`	中かっこやドル記号を削除した後の `cs12` フィールドの値が `security_result.description` フィールドに割り当てられます。
`cs14`	`target.resource.attribute.labels.value`	`cs14` フィールドの値が `target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。
`cs14Label`	`target.resource.attribute.labels.key`	`cs14Label` フィールドの値が `target.resource.attribute.labels` 内の `key` フィールドに割り当てられます。
`cs15`	`security_result.summary`	`cs15` フィールドの値が `security_result.summary` フィールドに割り当てられます。
`cs16`	`principal.process.command_line`	`cs16` フィールドの値が `principal.process.command_line` フィールドに割り当てられます。
`cs17`	`target.resource.resource_subtype`	`cs17` フィールドの値が `target.resource.resource_subtype` フィールドに割り当てられます。
`cs2`	`principal.group.group_display_name`	`cs2` フィールドの値が `principal.group.group_display_name` フィールドに割り当てられます。
`cs3`	`principal.hostname`、`principal.asset.hostname`	`cs3` フィールドの値は、`principal.hostname` フィールドと `principal.asset.hostname` フィールドの両方に割り当てられます。
`cs4`	`target.application`	値が「ProcessWitness」でない限り、`cs4` フィールドの値が `target.application` フィールドに割り当てられます。
`cs5`	`metadata.description`	`cs5` フィールドの値が `metadata.description` フィールドに割り当てられます。
`cs6`	`target.resource_ancestors.name`	`cs6` フィールドの値が `target.resource_ancestors.name` フィールドに割り当てられます。
`cs7`	`target.resource_ancestors.resource_subtype`	`cs7` フィールドの値が `target.resource_ancestors.resource_subtype` フィールドに割り当てられます。
`cs8`	`target.resource.name`、`target.resource.resource_type`	`cs8` フィールドの値が `target.resource.name` フィールドに割り当てられ、`target.resource.resource_type` が「DATABASE」に設定されます。
`cs9`	`principal.user.userid`	`cs9` フィールドの値が `principal.user.userid` フィールドに割り当てられます。
`description`	`security_result.description`	`description` フィールドの値が `security_result.description` フィールドに割り当てられます。
`dest-ip`	`target.ip`、`target.asset.ip`	`dest-ip` フィールドから抽出された IP アドレスは、`target.ip` フィールドと `target.asset.ip` フィールドの両方に割り当てられます。
`dest-port`	`target.port`	`dest-port` フィールドの値が整数に変換され、`target.port` フィールドに割り当てられます。
`deviceExternalId`	`intermediary.hostname`	`deviceExternalId` フィールドの値が `intermediary.hostname` フィールドに割り当てられます。
`dpt`	`target.port`	`dpt` フィールドの値が整数に変換され、`target.port` フィールドに割り当てられます。
`dst`	`target.ip`、`target.asset.ip`	`dst` フィールドの値は、`target.ip` フィールドと `target.asset.ip` フィールドの両方に割り当てられます。
`duser`	`target.user.userid`	`duser` フィールドの値が `target.user.userid` フィールドに割り当てられます。
`eventId`	`metadata.product_log_id`	`eventId` フィールドの値が `metadata.product_log_id` フィールドに割り当てられます。
`gateway-name`	`security_result.detection_fields.value`	`gateway-name` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「gateway-name」です。
`http.request.method`	`network.http.method`	`http.request.method` フィールドの値が `network.http.method` フィールドに割り当てられます。
`http.request.user-agent`	`network.http.user_agent`	`http.request.user_agent` フィールドの値が `network.http.user_agent` フィールドに割り当てられます。
`http.response.code`	`network.http.response_code`	`http.response.code` フィールドの値が整数に変換され、`network.http.response_code` フィールドに割り当てられます。
`http.session-id`	`network.session_id`	`http.session-id` フィールドの値が `network.session_id` フィールドに割り当てられます。
`http.user-name`	`principal.user.userid`	`http.user-name` フィールドの値（囲み引用符が削除されたもの）が `principal.user.userid` フィールドに割り当てられます。
`log_type`	`metadata.log_type`	未加工ログの `log_type` フィールドの値が `metadata.log_type` フィールドに割り当てられます。
`mx-ip`	`intermediary.ip`	`mx-ip` フィールドの値が `intermediary.ip` フィールドに割り当てられます。
`MxIP`	`intermediary.ip`	`MxIP` フィールドの値が `intermediary.ip` フィールドに割り当てられます。
`OSUser`	`principal.user.userid`	`OSUser` フィールドの値が `principal.user.userid` フィールドに割り当てられます。
`policy-name`	`security_result.detection_fields.value`	`policy-name` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「policy-name」です。
`pquery`	`target.resource.name`、`target.process.command_line`	`pquery` が空ではなく、「from」という単語が含まれている場合、テーブル名が抽出されて `target.resource.name` に割り当てられ、`target.resource.resource_type` が「TABLE」に設定され、`pquery` の値全体が `target.process.command_line` に割り当てられます。それ以外の場合、`pquery` 値全体が `target.resource.name` に割り当てられます。
`pro`	`security_result.description`	`pro` フィールドの値が `security_result.description` フィールドに割り当てられます。
`product`	`metadata.product_name`	`product` フィールドの値が `metadata.product_name` フィールドに割り当てられます。
`product_type`	`metadata.product_event_type`	`product_type` フィールドの値が `metadata.product_event_type` フィールドに割り当てられます。
`protocol`	`network.ip_protocol`	`protocol` フィールドの値が「TCP」または「UDP」の場合、`network.ip_protocol` フィールドに割り当てられます。
`proto`	`network.ip_protocol`	`proto` フィールドの値が `network.ip_protocol` フィールドに割り当てられます。
`reason`	`security_result.rule_name`	`reason` フィールドの値が `security_result.rule_name` フィールドに割り当てられます。
`rt`	`metadata.event_timestamp.seconds`	`rt` の値が解析され、その秒の値が `metadata.event_timestamp` の秒の値として使用されます。
`server-group-name`	`target.resource.attribute.labels.value`	`server-group-name` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「server-group-name」です。
`server-group-simulation-mode`	`target.resource.attribute.labels.value`	`server-group-simulation-mode` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「server-group-simulation-mode」です。
`service-name`	`target.resource.attribute.labels.value`	`service-name` フィールドの値は、`target.resource.attribute.labels` 内の `value` フィールドに割り当てられます。対応する `key` は「service-name」です。
`ServiceName`	`target.application`	`ApplicationName` が空ではなく、`ServiceName` が空の場合、`ApplicationName` の値が `ServiceName` に割り当てられます。`ServiceName` の値が `target.application` に割り当てられます。
`severity`	`security_result.severity`、`security_result.severity_details`	`severity` フィールドの値は大文字に変換されます。「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」のいずれかの場合は、`security_result.severity` に割り当てられます。「INFORMATIVE」または「INFO」の場合、`security_result.severity` は「INFORMATIONAL」に設定されます。元の値は `security_result.severity_details` にも割り当てられます。
`severity_data`	`security_result.severity`	`severity_data` フィールドの値は大文字に変換されます。「HIGH」、「LOW」、「MEDIUM」、「CRITICAL」、「ERROR」、「INFORMATIONAL」のいずれかの場合は、`security_result.severity` に割り当てられます。
`source-ip`	`principal.ip`、`principal.asset.ip`	`source-ip` フィールドの値は、`principal.ip` フィールドと `principal.asset.ip` フィールドの両方に割り当てられます。
`source-port`	`principal.port`	`source-port` フィールドの値が整数に変換され、`principal.port` フィールドに割り当てられます。
`spt`	`principal.port`	`spt` フィールドの値が整数に変換され、`principal.port` フィールドに割り当てられます。
`src`	`principal.ip`、`principal.asset.ip`	`src` フィールドの値は、`principal.ip` フィールドと `principal.asset.ip` フィールドの両方に割り当てられます。
`srcapp`	`principal.application`	`srcapp` フィールドの値が `principal.application` フィールドに割り当てられます。
`srchost`	`principal.hostname`、`principal.asset.hostname`	`srchost` フィールドの値は、`principal.hostname` フィールドと `principal.asset.hostname` フィールドの両方に割り当てられます。
`vendor`	`metadata.vendor_name`	`vendor` フィールドの値が `metadata.vendor_name` フィールドに割り当てられます。
`version`	`metadata.product_version`	`version` フィールドの値が `metadata.product_version` フィールドに割り当てられます。
`violation-id`	`security_result.detection_fields.value`	`violation-id` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「violation-id」です。
`violation-type`	`security_result.detection_fields.value`	`violation-type` フィールドの値は、`security_result.detection_fields` 内の `value` フィールドに割り当てられます。対応する `key` は「violation-type」です。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。