Raccogliere i log del web application firewall Imperva Incapsula
Supportato in:
Google SecOps
SIEM
Questo documento descrive come importare i log del firewall delle applicazioni web Imperva Incapsula impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione IMPERVA_WAF.
Configurare Incapsula WAF
- Accedi a my.imperva.com con un account lettore.
- Seleziona Gestione > Utenti > Aggiungi utente. Solo gli utenti con l'amministratore dell'account o altre autorizzazioni richieste possono aggiungere un nuovo utente all'account. Un'email di verifica viene inviata agli indirizzi elencati dell'utente e dell'amministratore dell'account.
Fai clic sul link nell'email per verificare l'indirizzo email del nuovo utente e impostare una password di accesso.
Genera l'ID API e la chiave API dell'utente lettore
- Accedi all'account my.imperva.com.
- Vai a Gestione e seleziona Utenti.
- Seleziona un utente con il ruolo di lettore.
- Vai a Impostazioni e seleziona Chiavi API.
- Fornisci un nome per la chiave API.
- Nell'elenco La chiave API scadrà il giorno, seleziona Mai.
- Per attivare lo stato, seleziona Stato.
- Fai clic su Salva.
- Copia e salva la chiave API e l'ID API dalla finestra di dialogo visualizzata. La chiave API e l'ID API sono necessari per configurare il feed di Google Security Operations.
- (Facoltativo) Puoi fornire un elenco di indirizzi IP approvati o lasciarlo vuoto.
Configura un feed in Google Security Operations per importare i log del firewall delle applicazioni web Imperva Incapsula
- Seleziona Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Inserisci un nome univoco per il nome del feed.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Imperva come Tipo di log.
- Fornisci l'ID API e la chiave API in Configurazione dell'intestazione HTTP di autenticazione.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser gestisce i log formattati CEF (Common Event Format) e LEEF (Log Event Extended Format) di Imperva Web Application Firewall (WAF), nonché i log formattati JSON. Estrae i campi, esegue trasformazioni dei dati e mappa i dati all'UDM in base al formato del log rilevato. Il parser gestisce anche tipi di eventi Imperva specifici come "Attack Analytics" e varie azioni come "allow", "block" e "deny", mappandoli ai campi UDM appropriati.
Tabella di mappatura UDM del parser Imperva
| Campo log | Mappatura UDM | Logic |
|---|---|---|
account_id |
target.user.userid |
L'ID account del payload JSON è mappato all'ID dell'utente di destinazione. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Il campo act determina l'azione UDM e i relativi dettagli. allowed, alert, REQ_PASSED, REQ_CACHED mappati su ALLOW. deny, blocked, REQ_BLOCKED, REQ_CHALLENGE mappati a BLOCCO. REQ_BAD corrisponde a FAIL. I dettagli dell'azione forniscono ulteriore contesto in base al valore act specifico. |
additionalReqHeaders |
Non mappato | Al momento queste intestazioni non sono mappate all'oggetto IDM. |
additionalResHeaders |
Non mappato | Al momento queste intestazioni non sono mappate all'oggetto IDM. |
app |
network.application_protocol |
Il protocollo dell'applicazione (ad es. HTTP, HTTPS) viene estratto dal campo app e scritto in maiuscolo. |
calCountryOrRegion |
principal.location.country_or_region |
Codice paese o regione estratto dai dati LEEF. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Logica simile a act per determinare l'azione e i dettagli dell'azione in formato LEEF. |
ccode |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
ccpt |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
cef_version |
Non mappato | Solo per uso interno. |
cicode |
principal.location.city |
Informazioni sulle città estratte dai dati LEEF. |
client.domain |
principal.hostname, principal.asset.hostname |
Dominio client dal payload JSON. |
client.geo.country_iso_code |
principal.location.country_or_region |
Codice paese dal payload JSON. |
client.ip |
principal.ip, principal.asset.ip |
IP client dal payload JSON. |
cn1 |
network.http.response_code |
Codice di risposta HTTP estratto dai dati LEEF o CEF. Convertito in numero intero. |
context_key |
target.resource.name |
Chiave del contesto dal payload JSON, utilizzata come nome della risorsa. |
cpt |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
cs1 |
security_result.detection_fields |
Se presente e non "N/A", crea un campo di rilevamento con la chiave di cs1Label e il valore di cs1. |
cs2 |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di cs2Label e il valore di cs2. |
cs3 |
security_result.detection_fields |
Se presente e non "-", crea un campo di rilevamento con la chiave di cs3Label e il valore di cs3. |
cs4 |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di cs4Label e il valore di cs4. |
cs5 |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di cs5Label e il valore di cs5. |
cs6 |
principal.application |
Applicazione utilizzata dal principale, estratta dai dati LEEF. |
cs7 |
principal.location.region_latitude |
Latitudine estratta dai dati LEEF o CEF. Convertito in numero decimale. |
cs8 |
principal.location.region_longitude |
Longitudine estratta dai dati LEEF o CEF. Convertito in numero decimale. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Nome della regola o della vulnerabilità, a seconda del formato del log. |
Customer |
target.user.user_display_name |
Nome del cliente dai dati LEEF, mappato al nome visualizzato dell'utente di destinazione. |
data |
Varie (vedi altri campi) | Il campo dei dati dei log non elaborati contenente CEF, LEEF o JSON. |
description |
security_result.threat_name (CEF), metadata.description (Attack Analytics) |
Descrizione dai log CEF o Attack Analytics, mappata al nome della minaccia o alla descrizione dei metadati. |
deviceExternalId |
network.community_id |
ID dispositivo dai dati LEEF, mappato all'ID della community di rete. |
deviceFacility |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
deviceReceiptTime |
metadata.event_timestamp |
Timestamp estratto da vari campi (rt, start, log_timestamp) a seconda della disponibilità e del formato. Analizzati utilizzando il filtro date. |
dhost |
target.hostname |
Nome host di destinazione dai dati CEF. |
dproc |
security_result.category_details |
Processo del dispositivo (ad es. Browser, Bot) dai dati LEEF. |
dst |
target.ip, target.asset.ip |
Indirizzo IP di destinazione dai dati CEF o LEEF. |
dpt |
target.port |
Porta di destinazione dai dati CEF. Convertito in numero intero. |
duser |
target.user.userid |
ID utente di destinazione dai dati CEF. |
end |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "event_end_time" e valore da end. |
event.id |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
event_attributes |
Varie (vedi altri campi) | Attributi estratti dai dati LEEF. |
event_id |
Non mappato | Solo per uso interno. |
fileId |
network.session_id |
ID file dai dati LEEF, mappato all'ID sessione di rete. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Autorizzazione file dai dati LEEF, utilizzata come campo di rilevamento e tipo di regola. |
fileType |
security_result.detection_fields, security_result.rule_type |
Tipo di file dai dati LEEF, utilizzato come campo di rilevamento e tipo di regola. |
flexString1 |
network.http.response_code |
Codice di risposta dai dati CEF. Convertito in numero intero. |
http.request.body.bytes |
network.sent_bytes |
Byte inviati nel corpo della richiesta HTTP dal payload JSON. Convertito in numero intero senza segno. |
http.request.method |
network.http.method |
Metodo di richiesta HTTP dal payload JSON. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Crea campi di rilevamento per ogni versione della regola Apollo. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Crea campi di rilevamento per ogni comportamento del bot. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crea campi di rilevamento per ogni ID condizione di decisione del bot. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crea campi di rilevamento per ogni nome della condizione di decisione del bot. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crea campi di rilevamento per ogni ID condizione attivata dal bot. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crea campi di rilevamento per ogni nome della condizione attivata dal bot. |
imperva.abp.bot_violations |
security_result.detection_fields |
Crea campi di rilevamento per ogni violazione dei bot. |
imperva.abp.customer_request_id |
network.session_id |
ID richiesta del cliente dal payload JSON, utilizzato come ID sessione di rete. |
imperva.abp.deciding_tags |
Non mappato | Al momento questi tag non sono mappati all'oggetto IDM. |
imperva.abp.hsig |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "hsig" e valore da imperva.abp.hsig. |
imperva.abp.headers_accept |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
imperva.abp.headers_accept_charset |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
imperva.abp.header_names |
Non mappato | Al momento questi nomi di intestazione non sono mappati all'oggetto IDM. |
imperva.abp.headers_cookie_length |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
imperva.abp.header_lengths |
Non mappato | Al momento queste lunghezze di intestazione non sono mappate all'oggetto IDM. |
imperva.abp.monitor_action |
security_result.action (CONSENT/BLOCK), security_result.severity (INFORMATIVE) |
Monitora l'azione dal payload JSON. "allow" mappa a ALLOW e a SEVERITÀ INFORMATIVA. "captcha" e "block" corrispondono a BLOCCO. |
imperva.abp.pid |
principal.process.pid |
ID processo dal payload JSON. |
imperva.abp.policy_id |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "ID criterio" e il valore di imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "Nome criterio" e valore da imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Crea un campo aggiuntivo con chiave "ID casuale" e valore da imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Percorso della richiesta decodificato dal payload JSON, utilizzato come percorso di elaborazione. |
imperva.abp.request_type |
principal.labels |
Tipo di richiesta dal payload JSON, utilizzato come etichetta principale. |
imperva.abp.selector |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "selettore" e valore da imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "selector_derived_id" e il valore di imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
Impronta TLS dal payload JSON, utilizzata come descrizione del risultato di sicurezza. |
imperva.abp.triggered_tags |
Non mappato | Al momento questi tag non sono mappati all'oggetto IDM. |
imperva.abp.zuid |
additional.fields |
Crea un campo aggiuntivo con la chiave "zuid" e il valore di imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Crea campi aggiuntivi per ogni fattore aggiuntivo. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di event_action e il valore di event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Utilizzato come valore per il campo di rilevamento creato da event_action. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di event_context e il valore di event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Utilizzato come valore per il campo di rilevamento creato da event_context. |
imperva.classified_client |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "classified_client" e il valore da imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Codice paese dal payload JSON. |
imperva.credentials_leaked |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "credentials_leaked" e il valore di imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "declared_client" e il valore da imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Crea un campo aggiuntivo con la chiave "device_reputation" e un elenco di valori da imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "domain_risk" e il valore da imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "failed_logins_last_24h" e valore da imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "log_imperva_fingerprint" e valore da imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
ID account dal payload JSON, utilizzato come ID log del prodotto. |
imperva.ids.account_name |
metadata.product_event_type |
Nome dell'account dal payload JSON, utilizzato come tipo di evento del prodotto. |
imperva.ids.site_id |
additional.fields |
Crea un campo aggiuntivo con la chiave "site_id" e il valore di imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Crea un campo aggiuntivo con la chiave "site_name" e il valore di imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
URL referrer dal payload JSON. |
imperva.request_id |
network.session_id |
ID richiesta dal payload JSON, utilizzato come ID sessione di rete. |
imperva.request_session_id |
network.session_id |
Richiedi l'ID sessione dal payload JSON, utilizzato come ID sessione di rete. |
imperva.request_user |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "request_user" e valore da imperva.request_user. |
imperva.risk_level |
security_result.severity (ELEVATO/CRITICO/MEDIO/BASSO), security_result.severity_details |
Livello di rischio dal payload JSON. Mappatura alla gravità UDM. Utilizzato anche come dettagli sulla gravità. |
imperva.risk_reason |
security_result.description |
Motivo del rischio dal payload JSON, utilizzato come descrizione del risultato di sicurezza. |
imperva.significant_domain_name |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "significant_domain_name" e valore da imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "successful_logins_last_24h" e il valore da imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Crea campi di rilevamento per ogni direttiva violata. |
in |
network.received_bytes |
Byte ricevuti sulla rete dai dati LEEF. Convertito in numero intero senza segno. |
leef_version |
Non mappato | Solo per uso interno. |
log.@timestamp |
metadata.event_timestamp |
Timestamp dal payload JSON, analizzato utilizzando il filtro date. Da utilizzare se log.time non è disponibile. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Codice paese dal payload JSON nidificato. |
log.client.ip |
principal.ip, principal.asset.ip |
IP client dal payload JSON nidificato. |
log.context_key |
target.resource.name |
Chiave del contesto dal payload JSON nidificato, utilizzata come nome della risorsa. |
log.event.provider |
principal.user.user_display_name |
Fornitore di eventi dal payload JSON nidificato, utilizzato come nome visualizzato dell'utente principale. |
log.http.request.body.bytes |
network.sent_bytes |
Byte del corpo della richiesta dal payload JSON nidificato. Convertito in numero intero senza segno. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
Metodo HTTP dal payload JSON nidificato. Se presente, imposta il protocollo dell'applicazione su HTTP. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Crea campi di rilevamento per ogni comportamento del bot dal payload JSON nidificato. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crea campi di rilevamento per ogni ID condizione di decisione del bot dal payload JSON nidificato. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crea campi di rilevamento per ogni nome della condizione di decisione del bot dal payload JSON nidificato. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crea campi di rilevamento per ogni ID condizione attivata dal bot dal payload JSON nidificato. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crea campi di rilevamento per ogni nome della condizione attivata dal bot dal payload JSON nidificato. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Crea campi di rilevamento per ogni violazione del bot dal payload JSON nidificato. |
log.imperva.abp.customer_request_id |
network.session_id |
ID richiesta del cliente dal payload JSON nidificato, utilizzato come ID sessione di rete. |
log.imperva.abp.headers_accept |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.headers_accept_charset |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "Accetta codifica" e il valore da log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "Accept Language" e il valore da log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "headers_connection" e valore da log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.headers_host |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.header_lengths |
Non mappato | Al momento queste lunghezze di intestazione non sono mappate all'oggetto IDM. |
log.imperva.abp.header_names |
Non mappato | Al momento questi nomi di intestazione non sono mappati all'oggetto IDM. |
log.imperva.abp.hsig |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "hsig" e valore da log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (CONSENT/BLOCK), security_result.severity (INFORMATIVE) |
Monitora l'azione dal payload JSON nidificato. "allow" mappa a ALLOW e a SEVERITÀ INFORMATIVA. "captcha" e "block" corrispondono a BLOCCO. |
log.imperva.abp.pid |
principal.process.pid |
ID processo dal payload JSON nidificato. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "ID criterio" e il valore di log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "Nome criterio" e valore da log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Crea un campo aggiuntivo con chiave "ID casuale" e valore da log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Percorso della richiesta decodificato dal payload JSON nidificato, utilizzato come percorso di elaborazione. |
log.imperva.abp.request_type |
principal.labels |
Tipo di richiesta dal payload JSON nidificato, utilizzato come etichetta principale. |
log.imperva.abp.selector |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "selettore" e valore da log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "selector_derived_id" e valore da log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
Impronta TLS dal payload JSON nidificato, utilizzata come descrizione del risultato di sicurezza. |
log.imperva.abp.token_expire |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
log.imperva.abp.token_id |
target.resource.product_object_id |
ID token dal payload JSON nidificato, utilizzato come ID oggetto prodotto della risorsa. |
log.imperva.abp.triggered_tags |
Non mappato | Al momento questi tag non sono mappati all'oggetto IDM. |
log.imperva.abp.zuid |
additional.fields |
Crea un campo aggiuntivo con la chiave "zuid" e il valore di log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Crea campi aggiuntivi per ogni fattore aggiuntivo dal payload JSON nidificato. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di event_action e il valore di event_action_description dal payload JSON nidificato. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Utilizzato come valore per il campo di rilevamento creato da event_action dal payload JSON nidificato. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave di event_context e il valore di event_context_description dal payload JSON nidificato. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Utilizzato come valore per il campo di rilevamento creato da event_context dal payload JSON nidificato. |
log.imperva.classified_client |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "classified_client" e il valore da log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Codice paese dal payload JSON nidificato. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "credentials_leaked" e il valore di log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "declared_client" e il valore da log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Crea un campo aggiuntivo con la chiave "device_reputation" e un elenco di valori da log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "domain_risk" e il valore da log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "failed_logins_last_24h" e valore da log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "log_imperva_fingerprint" e valore da log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
ID account dal payload JSON nidificato, utilizzato come ID log del prodotto. |
log.imperva.ids.account_name |
metadata.product_event_type |
Nome dell'account dal payload JSON nidificato, utilizzato come tipo di evento del prodotto. |
log.imperva.ids.site_id |
additional.fields |
Crea un campo aggiuntivo con la chiave "site_id" e il valore di log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Crea un campo aggiuntivo con la chiave "site_name" e il valore di log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Percorso dal payload JSON nidificato, utilizzato come percorso di elaborazione. |
log.imperva.referrer |
network.http.referral_url |
URL referrer dal payload JSON nidificato. |
log.imperva.request_id |
network.session_id |
ID richiesta dal payload JSON nidificato, utilizzato come ID sessione di rete. |
log.imperva.request_session_id |
network.session_id |
Richiedi l'ID sessione dal payload JSON nidificato, utilizzato come ID sessione di rete. |
log.imperva.request_user |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "request_user" e valore da log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (ELEVATO/CRITICO/MEDIO/BASSO), security_result.severity_details |
Livello di rischio dal payload JSON nidificato. Mappatura alla gravità UDM. Utilizzato anche come dettagli sulla gravità. |
log.imperva.risk_reason |
security_result.description |
Motivo del rischio dal payload JSON nidificato, utilizzato come descrizione del risultato di sicurezza. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Crea un campo di rilevamento con chiave "significant_domain_name" e valore da log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "successful_logins_last_24h" e il valore da log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Crea campi di rilevamento per ogni direttiva violata dal payload JSON nidificato. |
log.message |
metadata.description |
Messaggio dal payload JSON nidificato, utilizzato come descrizione dei metadati se non è disponibile un'altra descrizione. |
log.resource_id |
target.resource.id |
ID risorsa dal payload JSON nidificato. |
log.resource_type_key |
target.resource.type |
Chiave del tipo di risorsa dal payload JSON nidificato. |
log.server.domain |
target.hostname, target.asset.hostname |
Dominio del server dal payload JSON nidificato. |
log.server.geo.name |
target.location.name |
Nome della posizione del server dal payload JSON nidificato. |
log.time |
metadata.event_timestamp |
Timestamp dal payload JSON nidificato, analizzato utilizzando il filtro date. |
log.type_key |
metadata.product_event_type |
Chiave del tipo dal payload JSON nidificato, utilizzata come tipo di evento del prodotto. |
log.user.email |
principal.user.email_addresses |
L'email dell'utente dal payload JSON nidificato. |
log.user_agent.original |
network.http.parsed_user_agent |
User agent dal payload JSON nidificato, analizzato utilizzando il filtro useragent. |
log.user_details |
principal.user.email_addresses |
Dettagli utente dal payload JSON nidificato, utilizzati come indirizzo email se corrisponde al formato email. |
log.user_id |
principal.user.userid |
ID utente dal payload JSON nidificato. |
log_timestamp |
metadata.event_timestamp |
Timestamp del log da syslog, utilizzato come timestamp dell'evento se non sono disponibili altri timestamp. |
log_type |
Non mappato | Solo per uso interno. |
message |
Varie (vedi altri campi) | Il campo del messaggio contenente i dati del log. |
metadata.event_type |
metadata.event_type |
Imposta su "NETWORK_HTTP" per i log CEF e JSON, "SCAN_UNCATEGORIZED" per i log di Attack Analytics, "USER_UNCATEGORIZED" se src è "Distributed", "USER_STATS" per i log JSON con type_key, "STATUS_UPDATE" per i log JSON con l'IP o il dominio client e il dominio del server e "GENERIC_EVENT" per gli altri log JSON. |
metadata.log_type |
metadata.log_type |
Impostato su "IMPERVA_WAF". |
metadata.product_event_type |
metadata.product_event_type |
Viene compilato da vari campi a seconda del formato del log (csv.event_id, log.imperva.ids.account_name, log.type_key). |
metadata.product_name |
metadata.product_name |
Imposta su "Web Application Firewall". |
metadata.vendor_name |
metadata.vendor_name |
Imposta su "Imperva". |
msg |
Non mappato | Al momento questo campo non è mappato all'oggetto IDM. |
organization |
Non mappato | Solo per uso interno. |
payload |
Varie (vedi altri campi) | Payload estratto dai dati CEF. |
popName |
intermediary.location.country_or_region |
Nome del PoP dai dati LEEF, mappato alla posizione intermedia. |
postbody |
security_result.detection_fields |
Crea un campo di rilevamento con la chiave "post_body_info" e il valore di postbody. |
product_version |
Non mappato | Solo per uso interno. |
proto |
network.application_protocol |
Protocollo dei dati LEEF, mappato al protocollo di applicazione di rete. |
protoVer |
network.tls.version, network.tls.cipher |
Versione del protocollo dai dati LEEF, analizzata per estrarre la versione e la crittografia TLS. |
qstr |
Allegato a target.url |
Stringa di query dai dati LEEF, aggiunta all'URL target. |
ref |
network.http.referral_url |
URL del referral dai dati LEEF. |
request |
target.url |
URL richiesta dai dati CEF. |
requestClientApplication |
network.http.user_agent |
Richiedi l'applicazione client dai dati LEEF o CEF, mappati allo user agent HTTP di rete. |
requestContext |
network.http.user_agent |
Contesto della richiesta dai dati CEF, mappato allo user agent HTTP di rete. |
requestMethod |
network.http.method |
Metodo di richiesta dai dati LEEF o CEF, mappato al metodo HTTP di rete e in maiuscolo. |
resource_id |
target.resource.id |
ID risorsa dal payload JSON. |
resource_type_key |
target.resource.type |
Chiave del tipo di risorsa dal payload JSON. |
rt |
metadata.event_timestamp |
Ora di ricezione dai dati CEF, utilizzata come timestamp dell'evento. |
security_result.action |
security_result.action |
Impostato in base al valore di act o cat. |
security_result.action_details |
security_result.action_details |
Fornisce un contesto aggiuntivo in base al valore di act o cat. |
security_result.category_details |
security_result.category_details |
Imposta il valore dproc. |
security_result.detection_fields |
security_result.detection_fields |
Contiene varie coppie chiave-valore estratte dai dati dei log. |
security_result.description |
security_result.description |
Impostato sul valore imperva.risk_reason o log.imperva.abp.tls_fingerprint. |
security_result.rule_name |
security_result.rule_name |
Imposta il valore cs9. |
security_result.rule_type |
security_result.rule_type |
Imposta il valore fileType. |
security_result.severity |
security_result.severity |
Impostato in base al valore di sevs o imperva.risk_level. |
security_result.severity_details |
security_result.severity_details |
Imposta il valore imperva.risk_level. |
security_result.threat_id |
Modifiche
2024-04-02
- "log.imperva.request_user" è stato mappato a "security_result.detection_fields".
- "log.imperva.classified_client" è stato mappato a "security_result.detection_fields".
2024-02-26
- "log.imperva.request_session_id" è stato mappato a "network.session_id".
- ""log.imperva.successful_logins_last_24h","log.imperva.path" e "log.imperva.failed_logins_last_24h" sono stati mappati a "security_result.detection_fields".
- "log.imperva.risk_reason" è stato mappato a "security_result.severity_details" e "security_result.severity".
- Ho mappato "additional_factor","log.imperva.device_reputation" e "log.imperva.credentials_leaked" a "additional.fields".
- "log.imperva.fingerprint" è stato mappato a "security_result.description".
- "log.imperva.referrer" è stato mappato a "network.http.referral_url".
- "log.imperva.classified_client" è stato mappato a "principal.process.file.full_path"
2024-02-06
- Inizializzato "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name" e "detection_fields_domain_risk" su null all'interno del "ciclo for" per json_array.
2024-01-27
- "description" è stato mappato a "security_result.threat_name".
- "Severità" è stato mappato a "security_result.threat_id".
- "kv.src", "src" e "log.client.ip" sono stati mappati a "principal.asset.ip".
- "kv.dst" e "dst" sono stati mappati a "target.asset.ip".
- "kv.dvc" è stato mappato a "about.asset.ip".
- "kv.cs9" e "cs9" sono stati mappati a "security_result.rule_name".
- "kv.fileType" e "fileType" sono stati mappati a "security_result.rule_type".
- "dst" è stato mappato a "target.asset.ip".
- "xff" e "forwardedIp" sono stati mappati a "intermediary.asset.ip".
- "log.client.domain" è stato mappato a "principal.asset.hostname".
- "log.server.domain" è stato mappato a "target.asset.hostname".
2023-10-16
- Correzione di bug:
- "security_result" e "security_action" sono stati inizializzati a null all'interno del "ciclo for" per json_array.
- È stato aggiunto un controllo null prima dell'unione di "security_action" a "security_result.action".
- Quando "log.imperva.abp.monitor_action" è "block", mappa "security_action" a "BLOCK".
2023-09-26
- "significant_domain_name", "domain_risk" e "violated_directives" sono stati mappati a "security_result.detection_fields" nei log CSP.
2023-08-07
- Correzione di bug:
- È stato aggiunto il supporto per l'analisi dell'array di log JSON.
- È stato aggiunto il pattern Grok per verificare la presenza del nome host prima di mappare "xff" a "intermediary.hostname".
2023-06-16
- Problema pre-invio risolto a causa di un singolo on_error per due campi.
2023-06-16
- Correzione di bug:
- "imperva.audit_trail.event_action" è stato mappato a "security_result.detection_fields".
- È stata mappata la colonna "imperva.audit_trail.event_action_description" alla colonna "security_result.detection_fields".
- "imperva.audit_trail.event_context" è stato mappato a "security_result.detection_fields".
- È stata mappata la colonna "imperva.audit_trail.event_context_description" a "security_result.detection_fields".
- Sono stati risolti i problemi di analisi del timestamp.
- Sono stati eliminati i log con formato non valido.
2023-06-08
- Miglioramento:
- "imperva.abp.apollo_rule_versions" è stato mappato a "security_result.detection_fields".
- "imperva.abp.bot_violations" è stato mappato a "security_result.detection_fields".
- È stata eseguita la mappatura di "imperva.abp.bot_behaviors" a "security_result.detection_fields".
- È stata eseguita la mappatura di "imperva.abp.bot_deciding_condition_ids" a "security_result.detection_fields".
- È stata eseguita la mappatura di "imperva.abp.bot_deciding_condition_names " a "security_result.detection_fields".
- È stata eseguita la mappatura di "imperva.abp.bot_triggered_condition_ids" a "security_result.detection_fields".
- È stata eseguita la mappatura di "imperva.abp.bot_triggered_condition_names" a "security_result.detection_fields".
2023-04-26
- Miglioramento:
- È stato definito il campo "kv.src" in statedata.
- "kvdata.ver" è stato mappato a "network.tls.version" e "network.tls.cipher".
- "kvdata.sip" è stato mappato a "principal.ip".
- "kvdata.spt" è stato mappato a "principal.port".
- "kvdata.act" è stato mappato a "security_result.action_details".
- "kvdata.app" è stato mappato a "network.application_protocol".
- "kvdata.requestMethod" è stato mappato a "network.http.method".
2023-02-04
- Miglioramento:
- Per il campo "deviceReceiptTime" è stato aggiunto rebase = true in "event.timestamp".
2023-01-19
- Miglioramento:
- È stato aggiunto il supporto ai log del parser aggiungendo le seguenti mappature.
- "event.provider" è stato mappato a "principal.user.userid".
- "client.ip" è stato mappato a "principal.ip".
- "client.domain" è stato mappato a "principal.hostname".
- "imperva.abp.request_type" è stato mappato a "principal.labels".
- "imperva.abp.pid" è stato mappato a "principal.process.pid".
- "client.geo.country_iso_code" è stato mappato a "principal.location.country_or_region".
- "server.domain" è stato mappato a "target.hostname".
- "server.geo.name" è stato mappato a "target.location.name".
- "url.path" è stato mappato a "target.process.file.full_path".
- "imperva.abp.customer_request_id" è stato mappato a "target.resource.id".
- "imperva.abp.token_id" è stato mappato a "target.resource.product_object_id".
- "imperva.abp.random_id" è stato mappato a "additional.fields".
- "http.request.method" è stato mappato a "network.http.method".
- "user_agent.original" è stato mappato a "network.http.parsed_user_agent".
- È stata mappata la metrica "imperva.abp.headers_referer" a "network.http.referral_url".
- "imperva.abp.zuid" è stato mappato a "additional.fields".
- "imperva.ids.site_name" è stato mappato a "additional.fields".
- "imperva.ids.site_id" è stato mappato a "additional.fields".
- "imperva.ids.account_name" è stato mappato a "metadata.product_event_type".
- "imperva.ids.account_id" è stato mappato a "metadata.product_log_id".
- È stata mappata la colonna "imperva.abp.headers_accept_encoding" a "security_result.detection_fields".
- È stata mappata la colonna "imperva.abp.headers_accept_language" a "security_result.detection_fields".
- "imperva.abp.headers_connection" è stato mappato a "security_result.detection_fields"
- È stato mappato "imperva.abp.policy_id" a "security_result.detection_fields".
- "imperva.abp.policy_name" è stato mappato a "security_result.detection_fields".
- È stata mappata la colonna "imperva.abp.selector_derived_id" a "security_result.detection_fields".
- "imperva.abp.monitor_action" è stato mappato a "security_result.action".
2022-06-28
- Miglioramento:
- Vendor.name mappato = Imperva e product.name = Web Application Firewall per tutti i log
- Modifica di "metadata.event_type" in cui "src" è "Distributed" da "GENERIC_EVENT" a "USER_UNCATEGORIZED"
- "metadata.event_type" modificato da "USER_UNCATEGORIZED" in "USER_STATS"
2022-06-20
- Pattern Grok modificato per il campo "rt".
- Correzione di bug: miglioramenti a security_result.action.
- REQ_PASSED: se la richiesta è stata indirizzata al server web del sito (security_result.action = "ALLOW").
- REQ_CACHED_X: se è stata restituita una risposta dalla cache del data center (security_result.action = "ALLOW").
- REQ_BAD_X: se si è verificato un errore di protocollo o di rete (security_result.action = "FAIL").
- REQ_CHALLENGE_X: se al client è stata restituita una verifica (security_result.action = "BLOCK").
- REQ_BLOCKED_X: se la richiesta è stata bloccata (security_result.action = "BLOCK").
2022-06-14
- Correzione di bug: è stato aggiunto gsub e modificato il filtro kv per evitare la mappatura errata dei campi "cs1Label", "cs2Label", "cs3Label" mappati al campo UDM "security_result.detection_fields".
2022-05-26
- Correzione di bug: è stato rimosso il nome della chiave e il carattere dei due punti dal valore dei campi di rilevamento.
2022-05-10
- Miglioramento: sono stati mappati i seguenti campi:
- 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' in 'security_result.detection_fields'.
- 'cs7' a 'principal.location.region_latitude'.
- 'cs8' a 'principal.location.region_longitude'.
- "cn1", "cn2" a "security_result.detection_fields" per i log nel formato CEF.
- "act" in "security_result.action" e "security_result.action_details" per i log nel formato CEF.
- "app" a "network.application_protocol" per i log nel formato CEF.
- "requestClientApplication" a "network.http.user_agent" per i log in formato CEF.
- "dvc" in "about.ip" per i log nel formato CEF.