收集 Imperva SecureSphere Management 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Imperva SecureSphere Management 記錄檔擷取至 Google Security Operations。剖析器會從 CEF 或 JSON 格式的記錄中擷取欄位。它會使用 grok 模式和鍵/值剖析功能,將原始記錄欄位對應至 UDM,同時處理標準 CEF 欄位和自訂 JSON 結構,並優先處理 JSON 資料 (如有)。Imperva SecureSphere 提供全方位的網路應用程式防火牆、資料庫安全性和檔案安全性功能,適用於地端和雲端部署作業。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
  • Imperva SecureSphere 管理控制台的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'IMPERVA_SECURESPHERE'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 視基礎架構需求替換通訊埠和 IP 位址。
    • <customer_id> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Imperva SecureSphere Management 上設定 Syslog 轉送

  1. 登入 Imperva SecureSphere 管理控制台
  2. 依序前往「設定」> 動作集」
  3. 按一下「新增」即可建立新的動作集。
  4. 提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Google SecOps Syslog)。

設定安全性事件動作

  1. 按一下「新增動作」,然後設定:
    • 動作類型:選取「系統記錄檔」
    • 主機:輸入 Bindplane 代理程式 IP 位址。
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號 (預設為 514)。
    • 通訊協定:選取 UDPTCP
    • 系統記錄層級:選取「DEBUG」
    • 系統記錄檔設施:選取「LOCAL0」
    • 訊息格式:選取「Gateway Log - Security Event - System Log (syslog) using CEF standard」(閘道記錄 - 安全性事件 - 系統記錄 (syslog),使用 CEF 標準)

設定系統事件動作

  1. 按一下「新增動作」,然後設定:
    • 動作類型:選取「系統記錄」
    • 主機:輸入 BindPlane 代理程式 IP 位址。
    • 「Port」(通訊埠):輸入 BindPlane 代理程式通訊埠編號。
    • 通訊協定:選取 UDPTCP
    • 訊息格式:選取「使用 CEF 標準將系統事件記錄到系統記錄 (syslog)」。

將動作集套用至政策

  1. 依序前往「政策」>「安全性政策」
  2. 針對每項相關政策,設定「後續動作」,以便使用動作集。
  3. 前往「政策」>「系統事件政策」
  4. 設定系統事件政策,使用動作集進行全面監控。

UDM 對應表

記錄欄位 UDM 對應 邏輯
action security_result.action_details action 欄位的值會指派給 security_result.action_details 欄位。
application-name target.application application-name 欄位的值會指派給 target.application 欄位。
cat security_result.category_details cat 欄位的值會指派給 security_result.category_details 欄位。
class security_result.detection_fields.value class 欄位的值會指派給 security_result.detection_fields 內的 value 欄位。對應的 key 為「class」。
collection_time.seconds metadata.event_timestamp.seconds 原始記錄中的 collection_time.seconds 值會做為 metadata.event_timestamp 的秒數值。
create-time metadata.event_timestamp.seconds 系統會剖析 create-time 的值,並將其秒數值做為 metadata.event_timestamp 的秒數值。
cs1 security_result.rule_name cs1 欄位的值會指派給 security_result.rule_name 欄位。
cs10 target.resource.attribute.labels.value cs10 欄位的值會指派給 target.resource.attribute.labels 內的 value 欄位。
cs10Label target.resource.attribute.labels.key cs10Label 欄位的值會指派給 target.resource.attribute.labels 內的 key 欄位。
cs11 principal.application cs11 欄位的值會指派給 principal.application 欄位。
cs12 security_result.description 移除大括號和貨幣符號後,cs12 欄位的值會指派給 security_result.description 欄位。
cs14 target.resource.attribute.labels.value cs14 欄位的值會指派給 target.resource.attribute.labels 內的 value 欄位。
cs14Label target.resource.attribute.labels.key cs14Label 欄位的值會指派給 target.resource.attribute.labels 內的 key 欄位。
cs15 security_result.summary cs15 欄位的值會指派給 security_result.summary 欄位。
cs16 principal.process.command_line cs16 欄位的值會指派給 principal.process.command_line 欄位。
cs17 target.resource.resource_subtype cs17 欄位的值會指派給 target.resource.resource_subtype 欄位。
cs2 principal.group.group_display_name cs2 欄位的值會指派給 principal.group.group_display_name 欄位。
cs3 principal.hostnameprincipal.asset.hostname cs3 欄位的值會同時指派給 principal.hostnameprincipal.asset.hostname 欄位。
cs4 target.application 除非值為「ProcessWitness」,否則 cs4 欄位的值會指派給 target.application 欄位。
cs5 metadata.description cs5 欄位的值會指派給 metadata.description 欄位。
cs6 target.resource_ancestors.name cs6 欄位的值會指派給 target.resource_ancestors.name 欄位。
cs7 target.resource_ancestors.resource_subtype cs7 欄位的值會指派給 target.resource_ancestors.resource_subtype 欄位。
cs8 target.resource.nametarget.resource.resource_type cs8 欄位的值會指派給 target.resource.name 欄位,且 target.resource.resource_type 會設為「DATABASE」。
cs9 principal.user.userid cs9 欄位的值會指派給 principal.user.userid 欄位。
description security_result.description description 欄位的值會指派給 security_result.description 欄位。
dest-ip target.iptarget.asset.ip dest-ip 欄位擷取的 IP 位址會同時指派給 target.iptarget.asset.ip 欄位。
dest-port target.port dest-port 欄位的值會轉換為整數,並指派給 target.port 欄位。
deviceExternalId intermediary.hostname deviceExternalId 欄位的值會指派給 intermediary.hostname 欄位。
dpt target.port dpt 欄位的值會轉換為整數,並指派給 target.port 欄位。
dst target.iptarget.asset.ip dst 欄位的值會同時指派給 target.iptarget.asset.ip 欄位。
duser target.user.userid duser 欄位的值會指派給 target.user.userid 欄位。
eventId metadata.product_log_id eventId 欄位的值會指派給 metadata.product_log_id 欄位。
gateway-name security_result.detection_fields.value gateway-name 欄位的值會指派給 security_result.detection_fields 內的 value 欄位。對應的 key 為「gateway-name」。
http.request.method network.http.method http.request.method 欄位的值會指派給 network.http.method 欄位。
http.request.user-agent network.http.user_agent http.request.user_agent 欄位的值會指派給 network.http.user_agent 欄位。
http.response.code network.http.response_code http.response.code 欄位的值會轉換為整數,並指派給 network.http.response_code 欄位。
http.session-id network.session_id http.session-id 欄位的值會指派給 network.session_id 欄位。
http.user-name principal.user.userid 系統會將 http.user-name 欄位的值 (已移除周圍的引號) 指派給 principal.user.userid 欄位。
log_type metadata.log_type 原始記錄中的 log_type 欄位值會指派給 metadata.log_type 欄位。
mx-ip intermediary.ip mx-ip 欄位的值會指派給 intermediary.ip 欄位。
MxIP intermediary.ip MxIP 欄位的值會指派給 intermediary.ip 欄位。
OSUser principal.user.userid OSUser 欄位的值會指派給 principal.user.userid 欄位。
policy-name security_result.detection_fields.value policy-name 欄位的值會指派給 security_result.detection_fields 內的 value 欄位。對應的 key 是「policy-name」。
pquery target.resource.nametarget.process.command_line 如果 pquery 不為空白且包含「from」一詞,系統會擷取資料表名稱並指派給 target.resource.nametarget.resource.resource_type 會設為「TABLE」,而整個 pquery 值會指派給 target.process.command_line。否則,系統會將整個 pquery 值指派給 target.resource.name
pro security_result.description pro 欄位的值會指派給 security_result.description 欄位。
product metadata.product_name product 欄位的值會指派給 metadata.product_name 欄位。
product_type metadata.product_event_type product_type 欄位的值會指派給 metadata.product_event_type 欄位。
protocol network.ip_protocol 如果 protocol 欄位的值為「TCP」或「UDP」,則會指派給 network.ip_protocol 欄位。
proto network.ip_protocol proto 欄位的值會指派給 network.ip_protocol 欄位。
reason security_result.rule_name reason 欄位的值會指派給 security_result.rule_name 欄位。
rt metadata.event_timestamp.seconds 系統會剖析 rt 的值,並將其秒數值做為 metadata.event_timestamp 的秒數值。
server-group-name target.resource.attribute.labels.value server-group-name 欄位的值會指派給 target.resource.attribute.labels 內的 value 欄位。對應的 key 為「server-group-name」。
server-group-simulation-mode target.resource.attribute.labels.value server-group-simulation-mode 欄位的值會指派給 target.resource.attribute.labels 內的 value 欄位。對應的 key 為「server-group-simulation-mode」。
service-name target.resource.attribute.labels.value service-name 欄位的值會指派給 target.resource.attribute.labels 內的 value 欄位。對應的 key 為「service-name」。
ServiceName target.application 如果 ApplicationName 不為空,但 ServiceName 為空,則 ApplicationName 的值會指派給 ServiceName。然後將 ServiceName 的值指派給 target.application
severity security_result.severitysecurity_result.severity_details severity 欄位的值會轉換為大寫。如果為「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」,則會指派給 security_result.severity。如果為「INFORMATIVE」或「INFO」,security_result.severity 會設為「INFORMATIONAL」。原始值也會指派給 security_result.severity_details
severity_data security_result.severity severity_data 欄位的值會轉換為大寫。如果為「HIGH」、「LOW」、「MEDIUM」、「CRITICAL」、「ERROR」、「INFORMATIONAL」其中之一,則會指派給 security_result.severity
source-ip principal.ipprincipal.asset.ip source-ip 欄位的值會同時指派給 principal.ipprincipal.asset.ip 欄位。
source-port principal.port source-port 欄位的值會轉換為整數,並指派給 principal.port 欄位。
spt principal.port spt 欄位的值會轉換為整數,並指派給 principal.port 欄位。
src principal.ipprincipal.asset.ip src 欄位的值會同時指派給 principal.ipprincipal.asset.ip 欄位。
srcapp principal.application srcapp 欄位的值會指派給 principal.application 欄位。
srchost principal.hostnameprincipal.asset.hostname srchost 欄位的值會同時指派給 principal.hostnameprincipal.asset.hostname 欄位。
vendor metadata.vendor_name vendor 欄位的值會指派給 metadata.vendor_name 欄位。
version metadata.product_version version 欄位的值會指派給 metadata.product_version 欄位。
violation-id security_result.detection_fields.value violation-id 欄位的值會指派給 security_result.detection_fields 內的 value 欄位。對應的 key 是「violation-id」。
violation-type security_result.detection_fields.value violation-type 欄位的值會指派給 security_result.detection_fields 內的 value 欄位。對應的 key 為「violation-type」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。