Imperva Incapsula WAF ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Imperva Incapsula ウェブ アプリケーション ファイアウォール(WAF)のログを取り込む方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル IMPERVA_WAF が付加されたパーサーに適用されます。
Incapsula WAF を構成する
- リーダー アカウントで my.imperva.com にログインします。
- [Management] > [Users] > [Add User] を選択します。アカウントに新しいユーザーを追加できるのは、アカウント管理者権限またはその他の必要な権限を持つユーザーのみです。ユーザーとアカウント管理者の登録メールアドレスに確認メールが送信されます。
メールに記載されているリンクをクリックして、新しいユーザーのメールアドレスを確認し、ログイン パスワードを設定します。
リーダー ユーザーの API ID と API キーを生成する
- my.imperva.com アカウントにログインします。
- [Management] に移動し、[Users] を選択します。
- 読み取りロールを持つユーザーを選択します。
- [Setting] に移動し、[API Keys] を選択します。
- API キーの名前を指定します。
- [API key will expire in] リストで、[Never] を選択します。
- ステータスを有効にするには、[Status] を選択します。
- [Save] をクリックします。
- 表示されたダイアログの API キーと API ID をコピーして保存します。Google Security Operations フィードを構成する際には、API キーと API ID が必要です。
- 省略可: 承認済み IP アドレスのリストを指定するか、空白のままにします。
Imperva Incapsula ウェブ アプリケーション ファイアウォールのログを取り込むよう Google Security Operations でフィードを構成する
- [SIEM Settings] > [Feeds] を選択します。
- [新しく追加] をクリックします。
- [Feed name] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [Log Type] として [Imperva] を選択します。
- [Authentication HTTP Header Configuration] で API ID と API キーを指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Imperva ウェブ アプリケーション ファイアウォール(WAF)の CEF(Common Event Format)形式と LEEF(Log Event Extended Format)形式のログの両方と、JSON 形式のログを処理します。検出されたログ形式に基づいて、フィールド抽出、データ変換、データの UDM へのマッピングを行います。また、パーサーは「攻撃分析」などの特定の Imperva イベントタイプと、「許可」、「ブロック」、「拒否」などのさまざまなアクションを処理し、適切な UDM フィールドにマッピングします。
Imperva パーサーの UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
account_id |
target.user.userid |
JSON ペイロードのアカウント ID が、ターゲット ユーザーの ID にマッピングされます。 |
act |
security_result.action(ALLOW/BLOCK/FAIL/UNKNOWN)、security_result.action_details |
act フィールドは、UDM アクションとアクションの詳細を決定します。allowed、alert、REQ_PASSED、REQ_CACHED は ALLOW にマッピングされます。deny、blocked、REQ_BLOCKED、REQ_CHALLENGE は BLOCK にマッピングされます。REQ_BAD は FAIL にマッピングされます。アクションの詳細には、特定の act 値に基づく追加のコンテキストが示されます。 |
additionalReqHeaders |
マッピングされません | これらのヘッダーは現在、IDM オブジェクトにマッピングされません。 |
additionalResHeaders |
マッピングされません | これらのヘッダーは現在、IDM オブジェクトにマッピングされません。 |
app |
network.application_protocol |
アプリケーション プロトコル(HTTP、HTTPS など)が app フィールドから抽出され、大文字に変換されます。 |
calCountryOrRegion |
principal.location.country_or_region |
LEEF データから抽出された国または地域コード。 |
cat |
security_result.action(ALLOW/BLOCK/FAIL/UNKNOWN)、security_result.action_details |
act と同様のロジックを使用して、LEEF 形式でアクションとアクションの詳細を決定します。 |
ccode |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
ccpt |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
cef_version |
マッピングされません | 内部専用 |
cicode |
principal.location.city |
LEEF データから抽出された都市情報。 |
client.domain |
principal.hostname、principal.asset.hostname |
JSON ペイロードのクライアント ドメイン。 |
client.geo.country_iso_code |
principal.location.country_or_region |
JSON ペイロードの国コード。 |
client.ip |
principal.ip、principal.asset.ip |
JSON ペイロードのクライアント IP。 |
cn1 |
network.http.response_code |
LEEF データまたは CEF データから抽出された HTTP レスポンス コード。整数に変換されます。 |
context_key |
target.resource.name |
JSON ペイロードのコンテキスト キー。リソース名として使用されます。 |
cpt |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
cs1 |
security_result.detection_fields |
存在し、「N/A」でない場合、cs1Label のキーと cs1 の値を持つ検出フィールドが作成されます。 |
cs2 |
security_result.detection_fields |
キーが cs2Label、値が cs2 の検出フィールドを作成します。 |
cs3 |
security_result.detection_fields |
存在し、「-」でない場合、cs3Label のキーと cs3 の値を持つ検出フィールドが作成されます。 |
cs4 |
security_result.detection_fields |
キーが cs4Label、値が cs4 の検出フィールドを作成します。 |
cs5 |
security_result.detection_fields |
キーが cs5Label、値が cs5 の検出フィールドを作成します。 |
cs6 |
principal.application |
プリンシパルが使用しているアプリケーション(LEEF データから抽出)。 |
cs7 |
principal.location.region_latitude |
LEEF データまたは CEF データから抽出された緯度。浮動小数点数に変換されます。 |
cs8 |
principal.location.region_longitude |
LEEF データまたは CEF データから抽出された経度。浮動小数点数に変換されます。 |
cs9 |
security_result.rule_name、extensions.vulns.vulnerabilities.name |
ルール名または脆弱性名(ログ形式に応じて)。 |
Customer |
target.user.user_display_name |
LEEF データの顧客名。ターゲット ユーザーの表示名にマッピングされます。 |
data |
各種(他のフィールドを参照) | CEF、LEEF、JSON を含む未加工のログデータ フィールド。 |
description |
security_result.threat_name(CEF)、metadata.description(攻撃分析) |
CEF または攻撃分析ログの説明。脅威名またはメタデータの説明にマッピングされます。 |
deviceExternalId |
network.community_id |
LEEF データのデバイス ID。ネットワーク コミュニティ ID にマッピングされます。 |
deviceFacility |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
deviceReceiptTime |
metadata.event_timestamp |
可用性と形式に応じて、さまざまなフィールド(rt、start、log_timestamp)から抽出されたタイムスタンプ。date フィルタを使用して解析されます。 |
dhost |
target.hostname |
CEF データの宛先ホスト名。 |
dproc |
security_result.category_details |
デバイスのプロセス(例ブラウザ、bot など)を LEEF データから抽出します。 |
dst |
target.ip、target.asset.ip |
CEF データまたは LEEF データの宛先 IP。 |
dpt |
target.port |
CEF データの宛先ポート。整数に変換されます。 |
duser |
target.user.userid |
CEF データの宛先ユーザー ID。 |
end |
security_result.detection_fields |
キーが「event_end_time」で、値が end の検出フィールドを作成します。 |
event.id |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
event_attributes |
各種(他のフィールドを参照) | LEEF データから抽出された属性。 |
event_id |
マッピングされません | 内部専用 |
fileId |
network.session_id |
LEEF データのファイル ID(ネットワーク セッション ID にマッピング)。 |
filePermission |
security_result.detection_fields、security_result.rule_type |
LEEF データのファイル権限。検出フィールドとルールタイプとして使用されます。 |
fileType |
security_result.detection_fields、security_result.rule_type |
LEEF データのファイル形式。検出フィールドとルールタイプとして使用されます。 |
flexString1 |
network.http.response_code |
CEF データからのレスポンス コード。整数に変換されます。 |
http.request.body.bytes |
network.sent_bytes |
JSON ペイロードから HTTP リクエスト本文で送信されたバイト数。符号なし整数に変換されます。 |
http.request.method |
network.http.method |
JSON ペイロードの HTTP リクエスト メソッド。 |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Apollo ルールのバージョンごとに検出フィールドを作成します。 |
imperva.abp.bot_behaviors |
security_result.detection_fields |
各 bot 動作の検出フィールドを作成します。 |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
各 bot の判定条件 ID の検出フィールドを作成します。 |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
各 bot の決定条件名の検出フィールドを作成します。 |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
bot によってトリガーされた条件 ID ごとに検出フィールドを作成します。 |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
bot によってトリガーされた条件名ごとに検出フィールドを作成します。 |
imperva.abp.bot_violations |
security_result.detection_fields |
各 bot 違反の検出フィールドを作成します。 |
imperva.abp.customer_request_id |
network.session_id |
JSON ペイロードのお客様リクエスト ID。ネットワーク セッション ID として使用されます。 |
imperva.abp.deciding_tags |
マッピングされません | これらのタグは現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.hsig |
security_result.detection_fields |
キー「hsig」と imperva.abp.hsig の値を持つ検出フィールドを作成します。 |
imperva.abp.headers_accept |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.headers_accept_charset |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.header_names |
マッピングされません | これらのヘッダー名は現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.headers_cookie_length |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.header_lengths |
マッピングされません | これらのヘッダー長は現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.monitor_action |
security_result.action(ALLOW/BLOCK)、security_result.severity(INFORMATIONAL) |
JSON ペイロードからのアクションをモニタリングします。「allow」は、ALLOW または INFORMATIONAL の重大度にマッピングされます。「captcha」と「block」は BLOCK にマッピングされます。 |
imperva.abp.pid |
principal.process.pid |
JSON ペイロードのプロセス ID。 |
imperva.abp.policy_id |
security_result.detection_fields |
キーが「Policy Id」で値が imperva.abp.policy_id の検出フィールドを作成します。 |
imperva.abp.policy_name |
security_result.detection_fields |
キーが「Policy Name」で値が imperva.abp.policy_name の検出フィールドを作成します。 |
imperva.abp.random_id |
additional.fields |
キーが「Random Id」、値が imperva.abp.random_id の追加フィールドを作成します。 |
imperva.abp.request_path_decoded |
target.process.file.full_path |
JSON ペイロードからデコードされたリクエストパス。プロセスパスとして使用されます。 |
imperva.abp.request_type |
principal.labels |
JSON ペイロードのリクエスト タイプ。プリンシパル ラベルとして使用されます。 |
imperva.abp.selector |
security_result.detection_fields |
キー「selector」と imperva.abp.selector の値を持つ検出フィールドを作成します。 |
imperva.abp.selector_derived_id |
security_result.detection_fields |
キーが「selector_derived_id」で、値が imperva.abp.selector_derived_id の検出フィールドを作成します。 |
imperva.abp.tls_fingerprint |
security_result.description |
JSON ペイロードの TLS フィンガープリント。セキュリティ結果の説明として使用されます。 |
imperva.abp.triggered_tags |
マッピングされません | これらのタグは現在、IDM オブジェクトにマッピングされません。 |
imperva.abp.zuid |
additional.fields |
キーが「zuid」で値が imperva.abp.zuid の追加フィールドを作成します。 |
imperva.additional_factors |
additional.fields |
追加する要素ごとに追加のフィールドを作成します。 |
imperva.audit_trail.event_action |
security_result.detection_fields |
キーが event_action、値が event_action_description の検出フィールドを作成します。 |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
event_action から作成された検出フィールドの値として使用されます。 |
imperva.audit_trail.event_context |
security_result.detection_fields |
キーが event_context、値が event_context_description の検出フィールドを作成します。 |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
event_context から作成された検出フィールドの値として使用されます。 |
imperva.classified_client |
security_result.detection_fields |
キーが「classified_client」で、値が imperva.classified_client の検出フィールドを作成します。 |
imperva.country |
principal.location.country_or_region |
JSON ペイロードの国コード。 |
imperva.credentials_leaked |
security_result.detection_fields |
キーが「credentials_leaked」で、値が imperva.credentials_leaked の検出フィールドを作成します。 |
imperva.declared_client |
security_result.detection_fields |
キーが「declared_client」で値が imperva.declared_client の検出フィールドを作成します。 |
imperva.device_reputation |
additional.fields |
キー「device_reputation」と imperva.device_reputation の値のリストを持つ追加フィールドを作成します。 |
imperva.domain_risk |
security_result.detection_fields |
キーが「domain_risk」で、値が imperva.domain_risk の検出フィールドを作成します。 |
imperva.failed_logins_last_24h |
security_result.detection_fields |
キー「failed_logins_last_24h」と imperva.failed_logins_last_24h の値を持つ検出フィールドを作成します。 |
imperva.fingerprint |
security_result.detection_fields |
キー「log_imperva_fingerprint」と imperva.fingerprint の値を持つ検出フィールドを作成します。 |
imperva.ids.account_id |
metadata.product_log_id |
JSON ペイロードのアカウント ID。プロダクト ログ ID として使用されます。 |
imperva.ids.account_name |
metadata.product_event_type |
JSON ペイロードのアカウント名。プロダクト イベント タイプとして使用されます。 |
imperva.ids.site_id |
additional.fields |
キー「site_id」と imperva.ids.site_id の値を持つ追加フィールドを作成します。 |
imperva.ids.site_name |
additional.fields |
キーが「site_name」で、値が imperva.ids.site_name の追加フィールドを作成します。 |
imperva.referrer |
network.http.referral_url |
JSON ペイロードの参照元 URL。 |
imperva.request_id |
network.session_id |
JSON ペイロードのリクエスト ID。ネットワーク セッション ID として使用されます。 |
imperva.request_session_id |
network.session_id |
JSON ペイロードからセッション ID をリクエストします。これはネットワーク セッション ID として使用されます。 |
imperva.request_user |
security_result.detection_fields |
キーが「request_user」で値が imperva.request_user の検出フィールドを作成します。 |
imperva.risk_level |
security_result.severity(HIGH/CRITICAL/MEDIUM/LOW)、security_result.severity_details |
JSON ペイロードのリスクレベル。UDM の重大度にマッピングされます。重大度の詳細としても使用されます。 |
imperva.risk_reason |
security_result.description |
JSON ペイロードのリスクの理由。セキュリティ結果の説明として使用されます。 |
imperva.significant_domain_name |
security_result.detection_fields |
キー「significant_domain_name」と imperva.significant_domain_name の値を持つ検出フィールドを作成します。 |
imperva.successful_logins_last_24h |
security_result.detection_fields |
キーが「successful_logins_last_24h」で、値が imperva.successful_logins_last_24h の検出フィールドを作成します。 |
imperva.violated_directives |
security_result.detection_fields |
違反したディレクティブごとに検出フィールドを作成します。 |
in |
network.received_bytes |
LEEF データからネットワークで受信されたバイト数。符号なし整数に変換されます。 |
leef_version |
マッピングされません | 内部専用 |
log.@timestamp |
metadata.event_timestamp |
date フィルタを使用して解析された JSON ペイロードのタイムスタンプ。log.time を使用できない場合に使用します。 |
log.client.geo.country_iso_code |
principal.location.country_or_region |
ネストされた JSON ペイロードの国コード。 |
log.client.ip |
principal.ip、principal.asset.ip |
ネストされた JSON ペイロードのクライアント IP。 |
log.context_key |
target.resource.name |
ネストされた JSON ペイロードのコンテキスト キー。リソース名として使用されます。 |
log.event.provider |
principal.user.user_display_name |
ネストされた JSON ペイロードのイベント プロバイダ。プリンシパル ユーザーの表示名として使用されます。 |
log.http.request.body.bytes |
network.sent_bytes |
ネストされた JSON ペイロードのリクエスト本文バイト数。符号なし整数に変換されます。 |
log.http.request.method |
network.http.method、network.application_protocol(HTTP) |
ネストされた JSON ペイロードの HTTP メソッド。存在する場合は、アプリケーション プロトコルを HTTP に設定します。 |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
ネストされた JSON ペイロードから、各 bot 動作の検出フィールドを作成します。 |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
ネストされた JSON ペイロードから、条件 ID を決定する各 bot の検出フィールドを作成します。 |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
ネストされた JSON ペイロードから、各 bot の判定条件名の検出フィールドを作成します。 |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
ネストされた JSON ペイロードから、bot によってトリガーされた条件 ID ごとに検出フィールドを作成します。 |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
ネストされた JSON ペイロードから、bot によってトリガーされた条件名ごとに検出フィールドを作成します。 |
log.imperva.abp.bot_violations |
security_result.detection_fields |
ネストされた JSON ペイロードから、各 bot 違反の検出フィールドを作成します。 |
log.imperva.abp.customer_request_id |
network.session_id |
ネストされた JSON ペイロードのお客様リクエスト ID。ネットワーク セッション ID として使用されます。 |
log.imperva.abp.headers_accept |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.headers_accept_charset |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
キーが「Accept Encoding」、値が log.imperva.abp.headers_accept_encoding の検出フィールドを作成します。 |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
キーが「Accept Language」、値が log.imperva.abp.headers_accept_language の検出フィールドを作成します。 |
log.imperva.abp.headers_cf_connecting_ip |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.headers_connection |
security_result.detection_fields |
キーが「headers_connection」で値が log.imperva.abp.headers_connection の検出フィールドを作成します。 |
log.imperva.abp.headers_cookie_length |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.headers_host |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.header_lengths |
マッピングされません | これらのヘッダー長は現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.header_names |
マッピングされません | これらのヘッダー名は現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.hsig |
security_result.detection_fields |
キー「hsig」と log.imperva.abp.hsig の値を持つ検出フィールドを作成します。 |
log.imperva.abp.monitor_action |
security_result.action(ALLOW/BLOCK)、security_result.severity(INFORMATIONAL) |
ネストされた JSON ペイロードからのアクションをモニタリングします。「allow」は、ALLOW または INFORMATIONAL の重大度にマッピングされます。「captcha」と「block」は BLOCK にマッピングされます。 |
log.imperva.abp.pid |
principal.process.pid |
ネストされた JSON ペイロードのプロセス ID。 |
log.imperva.abp.policy_id |
security_result.detection_fields |
キーが「Policy Id」で値が log.imperva.abp.policy_id の検出フィールドを作成します。 |
log.imperva.abp.policy_name |
security_result.detection_fields |
キーが「Policy Name」で値が log.imperva.abp.policy_name の検出フィールドを作成します。 |
log.imperva.abp.random_id |
additional.fields |
キーが「Random Id」、値が log.imperva.abp.random_id の追加フィールドを作成します。 |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
ネストされた JSON ペイロードからデコードされたリクエストパス。プロセスパスとして使用されます。 |
log.imperva.abp.request_type |
principal.labels |
ネストされた JSON ペイロードのリクエスト タイプ。プリンシパル ラベルとして使用されます。 |
log.imperva.abp.selector |
security_result.detection_fields |
キー「selector」と log.imperva.abp.selector の値を持つ検出フィールドを作成します。 |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
キーが「selector_derived_id」で、値が log.imperva.abp.selector_derived_id の検出フィールドを作成します。 |
log.imperva.abp.tls_fingerprint |
security_result.description |
ネストされた JSON ペイロードの TLS フィンガープリント。セキュリティ結果の説明として使用されます。 |
log.imperva.abp.token_expire |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.token_id |
target.resource.product_object_id |
ネストされた JSON ペイロードのトークン ID。リソース プロダクト オブジェクト ID として使用されます。 |
log.imperva.abp.triggered_tags |
マッピングされません | これらのタグは現在、IDM オブジェクトにマッピングされません。 |
log.imperva.abp.zuid |
additional.fields |
キーが「zuid」で値が log.imperva.abp.zuid の追加フィールドを作成します。 |
log.imperva.additional_factors |
additional.fields |
ネストされた JSON ペイロードから、追加の要素ごとに追加のフィールドを作成します。 |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
ネストされた JSON ペイロードから、event_action のキーと event_action_description の値を持つ検出フィールドを作成します。 |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
ネストされた JSON ペイロードの event_action から作成された検出フィールドの値として使用されます。 |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
ネストされた JSON ペイロードから、event_context のキーと event_context_description の値を持つ検出フィールドを作成します。 |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
ネストされた JSON ペイロードの event_context から作成された検出フィールドの値として使用されます。 |
log.imperva.classified_client |
security_result.detection_fields |
キーが「classified_client」で、値が log.imperva.classified_client の検出フィールドを作成します。 |
log.imperva.country |
principal.location.country_or_region |
ネストされた JSON ペイロードの国コード。 |
log.imperva.credentials_leaked |
security_result.detection_fields |
キーが「credentials_leaked」で、値が log.imperva.credentials_leaked の検出フィールドを作成します。 |
log.imperva.declared_client |
security_result.detection_fields |
キーが「declared_client」で値が log.imperva.declared_client の検出フィールドを作成します。 |
log.imperva.device_reputation |
additional.fields |
キー「device_reputation」と log.imperva.device_reputation の値のリストを持つ追加フィールドを作成します。 |
log.imperva.domain_risk |
security_result.detection_fields |
キーが「domain_risk」で、値が log.imperva.domain_risk の検出フィールドを作成します。 |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
キー「failed_logins_last_24h」と log.imperva.failed_logins_last_24h の値を持つ検出フィールドを作成します。 |
log.imperva.fingerprint |
security_result.detection_fields |
キー「log_imperva_fingerprint」と log.imperva.fingerprint の値を持つ検出フィールドを作成します。 |
log.imperva.ids.account_id |
metadata.product_log_id |
ネストされた JSON ペイロードのアカウント ID。プロダクト ログ ID として使用されます。 |
log.imperva.ids.account_name |
metadata.product_event_type |
ネストされた JSON ペイロードのアカウント名。商品イベントのタイプとして使用されます。 |
log.imperva.ids.site_id |
additional.fields |
キー「site_id」と log.imperva.ids.site_id の値を持つ追加フィールドを作成します。 |
log.imperva.ids.site_name |
additional.fields |
キーが「site_name」で、値が log.imperva.ids.site_name の追加フィールドを作成します。 |
log.imperva.path |
principal.process.file.full_path |
ネストされた JSON ペイロードからのパス。プロセスパスとして使用されます。 |
log.imperva.referrer |
network.http.referral_url |
ネストされた JSON ペイロードの参照元 URL。 |
log.imperva.request_id |
network.session_id |
ネストされた JSON ペイロードのリクエスト ID。ネットワーク セッション ID として使用されます。 |
log.imperva.request_session_id |
network.session_id |
ネストされた JSON ペイロードからセッション ID をリクエストします。これはネットワーク セッション ID として使用されます。 |
log.imperva.request_user |
security_result.detection_fields |
キーが「request_user」で値が log.imperva.request_user の検出フィールドを作成します。 |
log.imperva.risk_level |
security_result.severity(HIGH/CRITICAL/MEDIUM/LOW)、security_result.severity_details |
ネストされた JSON ペイロードのリスクレベル。UDM の重大度にマッピングされます。重大度の詳細としても使用されます。 |
log.imperva.risk_reason |
security_result.description |
ネストされた JSON ペイロードのリスク理由。セキュリティ結果の説明として使用されます。 |
log.imperva.significant_domain_name |
security_result.detection_fields |
キー「significant_domain_name」と log.imperva.significant_domain_name の値を持つ検出フィールドを作成します。 |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
キーが「successful_logins_last_24h」で、値が log.imperva.successful_logins_last_24h の検出フィールドを作成します。 |
log.imperva.violated_directives |
security_result.detection_fields |
ネストされた JSON ペイロードから、違反したディレクティブごとに検出フィールドを作成します。 |
log.message |
metadata.description |
ネストされた JSON ペイロードからのメッセージ。他の説明が利用できない場合に、メタデータの説明として使用されます。 |
log.resource_id |
target.resource.id |
ネストされた JSON ペイロードのリソース ID。 |
log.resource_type_key |
target.resource.type |
ネストされた JSON ペイロードのリソースタイプ キー。 |
log.server.domain |
target.hostname、target.asset.hostname |
ネストされた JSON ペイロードのサーバー ドメイン。 |
log.server.geo.name |
target.location.name |
ネストされた JSON ペイロードのサーバーのロケーション名。 |
log.time |
metadata.event_timestamp |
ネストされた JSON ペイロードのタイムスタンプ。date フィルタを使用して解析されます。 |
log.type_key |
metadata.product_event_type |
ネストされた JSON ペイロードのタイプキー。商品イベントのタイプとして使用されます。 |
log.user.email |
principal.user.email_addresses |
ネストされた JSON ペイロードのユーザー メールアドレス。 |
log.user_agent.original |
network.http.parsed_user_agent |
ネストされた JSON ペイロードのユーザー エージェント。useragent フィルタを使用して解析されます。 |
log.user_details |
principal.user.email_addresses |
ネストされた JSON ペイロードのユーザーの詳細。メール形式と一致する場合はメールアドレスとして使用されます。 |
log.user_id |
principal.user.userid |
ネストされた JSON ペイロードのユーザー ID。 |
log_timestamp |
metadata.event_timestamp |
syslog のログタイムスタンプ。他のタイムスタンプを使用できない場合は、イベント タイムスタンプとして使用されます。 |
log_type |
マッピングされません | 内部専用 |
message |
各種(他のフィールドを参照) | ログデータを含むメッセージ フィールド。 |
metadata.event_type |
metadata.event_type |
CEF ログと JSON ログの場合は「NETWORK_HTTP」、攻撃分析ログの場合は「SCAN_UNCATEGORIZED」、src が「Distributed」の場合は「USER_UNCATEGORIZED」、type_key を含む JSON ログの場合は「USER_STATS」、クライアント IP またはドメインとサーバー ドメインを含む JSON ログの場合は「STATUS_UPDATE」、その他の JSON ログの場合は「GENERIC_EVENT」に設定します。 |
metadata.log_type |
metadata.log_type |
「IMPERVA_WAF」に設定します。 |
metadata.product_event_type |
metadata.product_event_type |
ログ形式(csv.event_id、log.imperva.ids.account_name、log.type_key)に応じてさまざまなフィールドから入力されます。 |
metadata.product_name |
metadata.product_name |
[ウェブ アプリケーション ファイアウォール] に設定します。 |
metadata.vendor_name |
metadata.vendor_name |
「Imperva」に設定します。 |
msg |
マッピングされません | このフィールドは現在、IDM オブジェクトにマッピングされません。 |
organization |
マッピングされません | 内部専用 |
payload |
各種(他のフィールドを参照) | CEF データから抽出されたペイロード。 |
popName |
intermediary.location.country_or_region |
LEEF データの PoP 名。中間ロケーションにマッピングされます。 |
postbody |
security_result.detection_fields |
キーが「post_body_info」で、値が postbody の検出フィールドを作成します。 |
product_version |
マッピングされません | 内部専用 |
proto |
network.application_protocol |
LEEF データのプロトコル。ネットワーク アプリケーション プロトコルにマッピングされます。 |
protoVer |
network.tls.version、network.tls.cipher |
LEEF データのプロトコル バージョン。TLS バージョンと暗号を抽出するために解析されます。 |
qstr |
target.url に追加 |
LEEF データのクエリ文字列。ターゲット URL に追加されます。 |
ref |
network.http.referral_url |
LEEF データの参照 URL。 |
request |
target.url |
CEF データから URL をリクエストします。 |
requestClientApplication |
network.http.user_agent |
ネットワーク HTTP ユーザー エージェントにマッピングされた LEEF データまたは CEF データからクライアント アプリケーションをリクエストします。 |
requestContext |
network.http.user_agent |
CEF データのリクエスト コンテキスト。ネットワーク HTTP ユーザー エージェントにマッピングされます。 |
requestMethod |
network.http.method |
LEEF または CEF データのリクエスト メソッド。ネットワーク HTTP メソッドにマッピングされ、大文字に変換されています。 |
resource_id |
target.resource.id |
JSON ペイロードのリソース ID。 |
resource_type_key |
target.resource.type |
JSON ペイロードのリソースタイプ キー。 |
rt |
metadata.event_timestamp |
CEF データからの受信時間(イベント タイムスタンプとして使用)。 |
security_result.action |
security_result.action |
act または cat の値に基づいて設定します。 |
security_result.action_details |
security_result.action_details |
act または cat の値に基づいて追加のコンテキストを提供します。 |
security_result.category_details |
security_result.category_details |
dproc の値に設定します。 |
security_result.detection_fields |
security_result.detection_fields |
ログデータから抽出されたさまざまな Key-Value ペアが含まれます。 |
security_result.description |
security_result.description |
imperva.risk_reason または log.imperva.abp.tls_fingerprint の値に設定します。 |
security_result.rule_name |
security_result.rule_name |
cs9 の値に設定します。 |
security_result.rule_type |
security_result.rule_type |
fileType の値に設定します。 |
security_result.severity |
security_result.severity |
sevs または imperva.risk_level の値に基づいて設定します。 |
security_result.severity_details |
security_result.severity_details |
imperva.risk_level の値に設定します。 |
security_result.threat_id |
変更
2024-04-02
- 「log.imperva.request_user」を「security_result.detection_fields」にマッピングしました。
- 「log.imperva.classified_client」を「security_result.detection_fields」にマッピングしました。
2024-02-26
- 「log.imperva.request_session_id」を「network.session_id」にマッピングしました。
- 「log.imperva.successful_logins_last_24h」、「log.imperva.path」、「log.imperva.failed_logins_last_24h」を「security_result.detection_fields」にマッピングしました。
- 「log.imperva.risk_reason」を「security_result.severity_details」と「security_result.severity」にマッピングしました。
- 「additional_factor」、「log.imperva.device_reputation」、「log.imperva.credentials_leaked」を「additional.fields」にマッピングしました。
- 「log.imperva.fingerprint」を「security_result.description」にマッピングしました。
- 「log.imperva.referrer」を「network.http.referral_url」にマッピングしました。
- 「log.imperva.classified_client」を「principal.process.file.full_path」にマッピングしました
2024-02-06
- json_array の「for ループ」内で、「accept_encoding_label」、「site_name_label」、「random_id_label」、「request_type_label」、「accept_language_label」、「headers_connection_label」、「zuid_labels」、「site_id_label」、「policy_id」、「policy_name」、「selector_derived_id」、「hsig」、「selector」、「detection_fields_event_action」、「detection_fields_event_context」、「detection_fields_significant_domain_name」、「detection_fields_domain_risk」を null に初期化しました。
2024-01-27
- 「description」を「security_result.threat_name」にマッピングしました。
- 「severity」を「security_result.threat_id」にマッピングしました。
- 「kv.src」、「src」、「log.client.ip」を「principal.asset.ip」にマッピングしました。
- 「kv.dst」と「dst」を「target.asset.ip」にマッピングしました。
- 「kv.dvc」を「about.asset.ip」にマッピングしました。
- 「kv.cs9」と「cs9」を「security_result.rule_name」にマッピングしました。
- 「kv.fileType」と「fileType」を「security_result.rule_type」にマッピングしました。
- 「dst」を「target.asset.ip」にマッピングしました。
- 「xff」と「forwardedIp」を「intermediary.asset.ip」にマッピングしました。
- 「log.client.domain」を「principal.asset.hostname」にマッピングしました。
- 「log.server.domain」を「target.asset.hostname」にマッピングしました。
2023-10-16
- バグの修正:
- json_array の「for ループ」内で「security_result」と「security_action」を null に初期化しました。
- 「security_action」を「security_result.action」にマージする前に null チェックを追加しました。
- 「log.imperva.abp.monitor_action」が「block」の場合、「security_action」を「BLOCK」にマッピングしました。
2023-09-26
- CSP ログの「significant_domain_name」、「domain_risk」、「violated_directives」を「security_result.detection_fields」にマッピングしました。
2023-08-07
- バグの修正:
- JSON ログの配列の解析のサポートを追加しました。
- 「xff」を「intermediary.hostname」にマッピングする前にホスト名を確認する Grok パターンを追加しました。
2023-06-16
- 2 つのフィールドに単一の on_error が原因で発生した事前送信の問題を解決しました。
2023-06-16
- バグの修正:
- 「imperva.audit_trail.event_action」を「security_result.detection_fields」にマッピングしました。
- 「imperva.audit_trail.event_action_description」を「security_result.detection_fields」にマッピングしました。
- 「imperva.audit_trail.event_context」を「security_result.detection_fields」にマッピングしました。
- 「imperva.audit_trail.event_context_description」を「security_result.detection_fields」にマッピングしました。
- タイムスタンプの解析の問題を修正しました。
- 不正な形式のログを破棄しました。
2023-06-08
- 機能強化 -
- 「imperva.abp.apollo_rule_versions」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_violations」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_behaviors」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_deciding_condition_ids」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_deciding_condition_names」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_triggered_condition_ids」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.bot_triggered_condition_names」を「security_result.detection_fields」にマッピングしました。
2023-04-26
- 機能強化 -
- statedata のフィールド「kv.src」を定義しました。
- 「kvdata.ver」を「network.tls.version」と「network.tls.cipher」にマッピングしました。
- 「kvdata.sip」を「principal.ip」にマッピングしました。
- 「kvdata.spt」を「principal.port」にマッピングしました。
- 「kvdata.act」を「security_result.action_details」にマッピングしました。
- 「kvdata.app」を「network.application_protocol」にマッピングしました。
- 「kvdata.requestMethod」を「network.http.method」にマッピングしました。
2023-02-04
- 機能強化 -
- フィールド「deviceReceiptTime」に「event.timestamp」に rebase = true を追加しました。
2023-01-19
- 機能強化 -
- 次のマッピングを追加して、パーサーログのサポートを追加しました。
- 「event.provider」を「principal.user.userid」にマッピングしました。
- 「client.ip」を「principal.ip」にマッピングしました。
- 「client.domain」を「principal.hostname」にマッピングしました。
- 「imperva.abp.request_type」を「principal.labels」にマッピングしました。
- 「imperva.abp.pid」を「principal.process.pid」にマッピングしました。
- 「client.geo.country_iso_code」を「principal.location.country_or_region」にマッピングしました。
- 「server.domain」を「target.hostname」にマッピングしました。
- 「server.geo.name」を「target.location.name」にマッピングしました。
- 「url.path」を「target.process.file.full_path」にマッピングしました。
- 「imperva.abp.customer_request_id」を「target.resource.id」にマッピングしました。
- 「imperva.abp.token_id」を「target.resource.product_object_id」にマッピングしました。
- 「imperva.abp.random_id」を「additional.fields」にマッピングしました。
- 「http.request.method」を「network.http.method」にマッピングしました。
- 「user_agent.original」を「network.http.parsed_user_agent」にマッピングしました。
- 「imperva.abp.headers_referer」を「network.http.referral_url」にマッピングしました。
- 「imperva.abp.zuid」を「additional.fields」にマッピングしました。
- 「imperva.ids.site_name」を「additional.fields」にマッピングしました。
- 「imperva.ids.site_id」を「additional.fields」にマッピングしました。
- 「imperva.ids.account_name」を「metadata.product_event_type」にマッピングしました。
- 「imperva.ids.account_id」を「metadata.product_log_id」にマッピングしました。
- 「imperva.abp.headers_accept_encoding」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.headers_accept_language」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.headers_connection」を「security_result.detection_fields」にマッピングしました
- 「imperva.abp.policy_id」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.policy_name」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.selector_derived_id」を「security_result.detection_fields」にマッピングしました。
- 「imperva.abp.monitor_action」を「security_result.action」にマッピングしました。
2022-06-28
- 機能強化 -
- すべてのログに対して vendor.name = Imperva と product.name = Web Application Firewall をマッピング
- 「src」が「Distributed」の「metadata.event_type」を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更
- 「metadata.event_type」を「USER_UNCATEGORIZED」から「USER_STATS」に変更
2022-06-20
- フィールド「rt」の grok パターンを変更しました。
- バグの修正 - security_result.action を改善しました。
- REQ_PASSED: リクエストがサイトのウェブサーバーに転送された場合(security_result.action = 'ALLOW')。
- REQ_CACHED_X: データセンターのキャッシュからレスポンスが返された場合(security_result.action = 'ALLOW')。
- REQ_BAD_X: プロトコルまたはネットワーク エラーが発生した場合(security_result.action = 'FAIL')。
- REQ_CHALLENGE_X: クライアントにチャレンジが返された場合(security_result.action = 'BLOCK')。
- REQ_BLOCKED_X: リクエストがブロックされた場合(security_result.action = 'BLOCK')。
2022-06-14
- バグの修正 - UDM フィールド「security_result.detection_fields」にマッピングされたフィールド「cs1Label」、「cs2Label」、「cs3Label」の誤ったマッピングを回避するために、gsub を追加し、kv フィルタを変更しました。
2022-05-26
- バグ修正 - 検出フィールドの値からキー名とコロン文字を削除しました。
2022-05-10
- 機能強化 - 次のフィールドをマッピングしました。
- 'cs1'、'cs2'、'cs3'、'cs4'、'cs5'、'fileType'、'filePermission' を「security_result.detection_fields」にマッピングしました。
- 'cs7' を 'principal.location.region_latitude' にマッピングしました。
- 'cs8' を 'principal.location.region_longitude' にマッピングしました。
- CEF 形式のログの「cn1」、「cn2」を「security_result.detection_fields」にマッピングしました。
- CEF 形式のログの「act」を「security_result.action」と「security_result.action_details」にマッピングしました。
- CEF 形式のログの「app」を「network.application_protocol」に変更しました。
- CEF 形式のログの「requestClientApplication」を「network.http.user_agent」に変更しました。
- CEF 形式のログで「dvc」を「about.ip」に変更しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。