Imperva Incapsula Web Application Firewall-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Imperva Incapsula Web Application Firewall-Logs aufnehmen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel IMPERVA_WAF.
Incapsula-WAF konfigurieren
- Melden Sie sich mit einem Leserkonto bei my.imperva.com an.
- Wählen Sie Verwaltung > Nutzer > Nutzer hinzufügen aus. Nur Nutzer mit der Rolle „Kontoadministrator“ oder anderen erforderlichen Berechtigungen können dem Konto einen neuen Nutzer hinzufügen. An die angegebenen Adressen des Nutzers und des Kontoadministrators wird eine Bestätigungs-E-Mail gesendet.
Klicken Sie auf den Link in der E-Mail, um die E-Mail-Adresse des neuen Nutzers zu bestätigen und ein Anmeldepasswort festzulegen.
API-ID und API-Schlüssel des Lesers generieren
- Melden Sie sich in Ihrem my.imperva.com-Konto an.
- Klicken Sie auf Verwaltung und wählen Sie Nutzer aus.
- Wählen Sie einen Nutzer mit der Rolle „Leser“ aus.
- Gehen Sie zu Einstellungen und wählen Sie API-Schlüssel aus.
- Geben Sie einen Namen für den API-Schlüssel an.
- Wählen Sie in der Liste API-Schlüssel läuft in die Option Nie aus.
- Wählen Sie Status aus, um den Status zu aktivieren.
- Klicken Sie auf Speichern.
- Kopieren und speichern Sie den API-Schlüssel und die API-ID aus dem angezeigten Dialogfeld. Sie benötigen den API-Schlüssel und die API-ID, wenn Sie den Google Security Operations-Feed konfigurieren.
- Optional: Sie können eine Liste mit zugelassenen IP-Adressen angeben oder das Feld leer lassen.
Feed in Google Security Operations für die Aufnahme von Imperva Incapsula Web Application Firewall-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API von Drittanbietern als Quelltyp aus.
- Wählen Sie Imperva als Logtyp aus.
- Geben Sie die API-ID und den API-Schlüssel unter Konfiguration des HTTP-Headers für die Authentifizierung an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet sowohl CEF- (Common Event Format) als auch LEEF- (Log Event Extended Format) Logs von der Imperva Web Application Firewall (WAF) als auch JSON-formatierte Logs. Es werden Felder extrahiert, Datentransformationen durchgeführt und die Daten basierend auf dem erkannten Protokollformat dem UDM zugeordnet. Der Parser verarbeitet auch bestimmte Imperva-Ereignistypen wie „Attack Analytics“ und verschiedene Aktionen wie „Zulassen“, „Blockieren“ und „Verweigern“ und ordnet sie den entsprechenden UDM-Feldern zu.
UDM-Zuordnungstabelle für Imperva-Parser
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
account_id |
target.user.userid |
Die Konto-ID aus der JSON-Nutzlast wird der ID des Zielnutzers zugeordnet. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Das Feld act bestimmt die UDM-Aktion und die Aktionsdetails. allowed, alert, REQ_PASSED, REQ_CACHED werden ZULASSEN zugeordnet. deny, blocked, REQ_BLOCKED und REQ_CHALLENGE werden BLOCK zugeordnet. REQ_BAD entspricht FAIL. Die Aktionsdetails liefern zusätzlichen Kontext basierend auf dem jeweiligen act-Wert. |
additionalReqHeaders |
Nicht zugeordnet | Diese Header sind derzeit nicht dem IDM-Objekt zugeordnet. |
additionalResHeaders |
Nicht zugeordnet | Diese Header sind derzeit nicht dem IDM-Objekt zugeordnet. |
app |
network.application_protocol |
Das Anwendungsprotokoll (z.B. HTTP, HTTPS) wird aus dem Feld app extrahiert und in Großbuchstaben geschrieben. |
calCountryOrRegion |
principal.location.country_or_region |
Aus den LEEF-Daten extrahierter Länder- oder Regionscode. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Ähnliche Logik wie bei act zum Ermitteln von Aktion und Aktionsdetails im LEEF-Format. |
ccode |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
ccpt |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
cef_version |
Nicht zugeordnet | Nur zur internen Verwendung. |
cicode |
principal.location.city |
Aus den LEEF-Daten extrahierte Informationen zur Stadt. |
client.domain |
principal.hostname, principal.asset.hostname |
Clientdomain aus der JSON-Nutzlast. |
client.geo.country_iso_code |
principal.location.country_or_region |
Ländercode aus der JSON-Nutzlast. |
client.ip |
principal.ip, principal.asset.ip |
Client-IP aus der JSON-Nutzlast. |
cn1 |
network.http.response_code |
HTTP-Antwortcode, der aus LEEF- oder CEF-Daten extrahiert wurde. In eine Ganzzahl umgewandelt. |
context_key |
target.resource.name |
Kontextschlüssel aus der JSON-Nutzlast, der als Ressourcenname verwendet wird. |
cpt |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
cs1 |
security_result.detection_fields |
Wenn vorhanden und nicht „–“, wird ein Erkennungsfeld mit dem Schlüssel aus cs1Label und dem Wert aus cs1 erstellt. |
cs2 |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus cs2Label und dem Wert aus cs2. |
cs3 |
security_result.detection_fields |
Wenn vorhanden und nicht „-“, wird ein Erkennungsfeld mit dem Schlüssel aus cs3Label und dem Wert aus cs3 erstellt. |
cs4 |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus cs4Label und dem Wert aus cs4. |
cs5 |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus cs5Label und dem Wert aus cs5. |
cs6 |
principal.application |
Von der Hauptperson verwendete Anwendung, aus LEEF-Daten extrahiert. |
cs7 |
principal.location.region_latitude |
Aus LEEF- oder CEF-Daten extrahierter Breitengrad. In eine Gleitkommazahl umgewandelt. |
cs8 |
principal.location.region_longitude |
Längengrad, der aus LEEF- oder CEF-Daten extrahiert wurde. In Gleitkommazahl umgewandelt. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Regelname oder Name der Sicherheitslücke, je nach Protokollformat. |
Customer |
target.user.user_display_name |
Name des Kunden aus LEEF-Daten, der dem Anzeigenamen des Zielnutzers zugeordnet ist. |
data |
Verschiedene (siehe andere Felder) | Das Feld mit den Roh-Logdaten, das CEF, LEEF oder JSON enthält. |
description |
security_result.threat_name (CEF), metadata.description (Angriffsanalyse) |
Beschreibung aus CEF- oder Attack Analytics-Protokollen, die dem Namen der Bedrohung oder der Metadatenbeschreibung zugeordnet ist. |
deviceExternalId |
network.community_id |
Geräte-ID aus LEEF-Daten, die der Netzwerk-Community-ID zugeordnet ist. |
deviceFacility |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
deviceReceiptTime |
metadata.event_timestamp |
Zeitstempel, der je nach Verfügbarkeit und Format aus verschiedenen Feldern (rt, start, log_timestamp) extrahiert wird. Mit dem date-Filter geparst. |
dhost |
target.hostname |
Ziel-Hostname aus CEF-Daten. |
dproc |
security_result.category_details |
Geräteprozess (z.B. Browser, Bot) aus LEEF-Daten. |
dst |
target.ip, target.asset.ip |
Ziel-IP aus CEF- oder LEEF-Daten. |
dpt |
target.port |
Zielport aus CEF-Daten. In eine Ganzzahl umgewandelt. |
duser |
target.user.userid |
Zielnutzer-ID aus CEF-Daten. |
end |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „event_end_time“ und dem Wert aus end. |
event.id |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
event_attributes |
Verschiedene (siehe andere Felder) | Aus LEEF-Daten extrahierte Attribute. |
event_id |
Nicht zugeordnet | Nur zur internen Verwendung. |
fileId |
network.session_id |
Datei-ID aus LEEF-Daten, die der Netzwerksitzungs-ID zugeordnet ist. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Dateiberechtigung aus LEEF-Daten, die als Erkennungsfeld und Regeltyp verwendet wird. |
fileType |
security_result.detection_fields, security_result.rule_type |
Dateityp aus LEEF-Daten, der als Erkennungsfeld und Regeltyp verwendet wird. |
flexString1 |
network.http.response_code |
Antwortcode aus CEF-Daten. In eine Ganzzahl umgewandelt. |
http.request.body.bytes |
network.sent_bytes |
Anzahl der Byte, die im HTTP-Anfragetext aus der JSON-Nutzlast gesendet wurden. In eine vorzeichenlose Ganzzahl konvertiert. |
http.request.method |
network.http.method |
HTTP-Anfragemethode aus der JSON-Nutzlast. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede Apollo-Regelnversion. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Erstellt Erkennungsfelder für jedes Bot-Verhalten. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede ID der Bot-Entscheidungsbedingung. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Namen der Bot-Entscheidungsbedingung. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede von Bots ausgelöste Bedingungs-ID. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Namen einer von Bots ausgelösten Bedingung. |
imperva.abp.bot_violations |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Bot-Verstoß. |
imperva.abp.customer_request_id |
network.session_id |
Die Kundenanfrage-ID aus der JSON-Nutzlast, die als Netzwerksitzungs-ID verwendet wird. |
imperva.abp.deciding_tags |
Nicht zugeordnet | Diese Tags sind derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.hsig |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „hsig“ und dem Wert aus imperva.abp.hsig. |
imperva.abp.headers_accept |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.headers_accept_charset |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.header_names |
Nicht zugeordnet | Diese Headernamen sind derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.headers_cookie_length |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.header_lengths |
Nicht zugeordnet | Diese Headerlängen sind derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.monitor_action |
security_result.action (ERLAUBEN/BLOCKIEREN), security_result.severity (INFORMATIONSMELDE) |
Aktion aus JSON-Nutzlast überwachen „allow“ wird der Schweregrad „ALLOW“ und „INFORMATIONAL“ zugeordnet. „captcha“ und „block“ werden mit BLOCK zugeordnet. |
imperva.abp.pid |
principal.process.pid |
Prozess-ID aus der JSON-Nutzlast. |
imperva.abp.policy_id |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Richtlinien-ID“ und dem Wert aus imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Richtlinienname“ und dem Wert aus imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „Zufalls-ID“ und dem Wert aus imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Decodierter Anfragepfad aus der JSON-Nutzlast, der als Prozesspfad verwendet wird. |
imperva.abp.request_type |
principal.labels |
Anfragetyp aus der JSON-Nutzlast, der als Hauptlabel verwendet wird. |
imperva.abp.selector |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „selector“ und dem Wert aus imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „selector_derived_id“ und dem Wert aus imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
TLS-Fingerabdruck aus der JSON-Nutzlast, der als Beschreibung des Sicherheitsergebnisses verwendet wird. |
imperva.abp.triggered_tags |
Nicht zugeordnet | Diese Tags sind derzeit nicht dem IDM-Objekt zugeordnet. |
imperva.abp.zuid |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „zuid“ und dem Wert aus imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Für jeden zusätzlichen Faktor werden zusätzliche Felder erstellt. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus event_action und dem Wert aus event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Wird als Wert für das Erkennungsfeld verwendet, das aus event_action erstellt wurde. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus event_context und dem Wert aus event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Wird als Wert für das Erkennungsfeld verwendet, das aus event_context erstellt wurde. |
imperva.classified_client |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „classified_client“ und dem Wert aus imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Ländercode aus der JSON-Nutzlast. |
imperva.credentials_leaked |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „credentials_leaked“ und dem Wert aus imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „declared_client“ und dem Wert aus imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „device_reputation“ und einer Liste von Werten aus imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „domain_risk“ und dem Wert aus imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „failed_logins_last_24h“ und dem Wert aus imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „log_imperva_fingerprint“ und dem Wert aus imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
Konto-ID aus der JSON-Nutzlast, die als Produktprotokoll-ID verwendet wird. |
imperva.ids.account_name |
metadata.product_event_type |
Kontoname aus der JSON-Nutzlast, der als Produktereignistyp verwendet wird. |
imperva.ids.site_id |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „site_id“ und dem Wert aus imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „site_name“ und dem Wert aus imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
Referrer-URL aus der JSON-Nutzlast. |
imperva.request_id |
network.session_id |
Anfrage-ID aus der JSON-Nutzlast, die als Netzwerksitzungs-ID verwendet wird. |
imperva.request_session_id |
network.session_id |
Sitzungs-ID aus der JSON-Nutzlast anfordern, die als Netzwerksitzungs-ID verwendet wird. |
imperva.request_user |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „request_user“ und dem Wert aus imperva.request_user. |
imperva.risk_level |
security_result.severity (HOCH/KRITISCH/MITTEL/NIEDRIG), security_result.severity_details |
Risikostufe aus JSON-Nutzlast Dem UDM-Schweregrad zugeordnet. Wird auch als Schweregrad verwendet. |
imperva.risk_reason |
security_result.description |
Risikogrund aus der JSON-Nutzlast, der als Beschreibung des Sicherheitsergebnisses verwendet wird. |
imperva.significant_domain_name |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „significant_domain_name“ und dem Wert aus imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „successful_logins_last_24h“ und dem Wert aus imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede Richtlinie, gegen die verstoßen wurde. |
in |
network.received_bytes |
Anzahl der Byte, die über das Netzwerk von LEEF-Daten empfangen wurden. In eine vorzeichenlose Ganzzahl konvertiert. |
leef_version |
Nicht zugeordnet | Nur zur internen Verwendung. |
log.@timestamp |
metadata.event_timestamp |
Zeitstempel aus der JSON-Nutzlast, der mit dem Filter date geparst wurde. Wird verwendet, wenn log.time nicht verfügbar ist. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Ländercode aus verschachtelter JSON-Nutzlast. |
log.client.ip |
principal.ip, principal.asset.ip |
Client-IP aus verschachtelter JSON-Nutzlast. |
log.context_key |
target.resource.name |
Kontextschlüssel aus verschachtelter JSON-Nutzlast, der als Ressourcenname verwendet wird. |
log.event.provider |
principal.user.user_display_name |
Ereignisanbieter aus verschachtelter JSON-Nutzlast, wird als Anzeigename des Hauptnutzers verwendet. |
log.http.request.body.bytes |
network.sent_bytes |
Bytes des Anfrage-Bodys aus der verschachtelten JSON-Nutzlast. In eine vorzeichenlose Ganzzahl konvertiert. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
HTTP-Methode aus verschachtelter JSON-Nutzlast. Wenn vorhanden, wird das Anwendungsprotokoll auf HTTP festgelegt. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Erstellt Erkennungsfelder für jedes Bot-Verhalten aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede ID der Bot-Entscheidungsbedingung aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Namen der Entscheidungsbedingung für Bots aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede von Bots ausgelöste Bedingungs-ID aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Namen der von einem Bot ausgelösten Bedingung aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Erstellt Erkennungsfelder für jeden Botverstoß aus einer verschachtelten JSON-Nutzlast. |
log.imperva.abp.customer_request_id |
network.session_id |
Die Kundenanfrage-ID aus der verschachtelten JSON-Nutzlast, die als Netzwerksitzungs-ID verwendet wird. |
log.imperva.abp.headers_accept |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.headers_accept_charset |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Accept Encoding“ und dem Wert aus log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Accept Language“ und dem Wert aus log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „headers_connection“ und dem Wert aus log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.headers_host |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.header_lengths |
Nicht zugeordnet | Diese Headerlängen sind derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.header_names |
Nicht zugeordnet | Diese Headernamen sind derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.hsig |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „hsig“ und dem Wert aus log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (ERLAUBEN/BLOCKIEREN), security_result.severity (INFORMATIONSMELDE) |
Aktion aus verschachtelter JSON-Nutzlast überwachen „allow“ entspricht der Dringlichkeit „ZULASSEN“ und „INFORMATIONS“. „captcha“ und „block“ werden mit BLOCK zugeordnet. |
log.imperva.abp.pid |
principal.process.pid |
Prozess-ID aus verschachtelter JSON-Nutzlast. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Richtlinien-ID“ und dem Wert aus log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „Richtlinienname“ und dem Wert aus log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „Zufalls-ID“ und dem Wert aus log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Decodierter Anfragepfad aus verschachtelter JSON-Nutzlast, der als Prozesspfad verwendet wird. |
log.imperva.abp.request_type |
principal.labels |
Anfragetyp aus verschachtelter JSON-Nutzlast, der als Hauptlabel verwendet wird. |
log.imperva.abp.selector |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „selector“ und dem Wert aus log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „selector_derived_id“ und dem Wert aus log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
TLS-Fingerabdruck aus verschachtelter JSON-Nutzlast, der als Beschreibung des Sicherheitsergebnisses verwendet wird. |
log.imperva.abp.token_expire |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.token_id |
target.resource.product_object_id |
Token-ID aus der verschachtelten JSON-Nutzlast, die als Objekt-ID des Ressourcenprodukts verwendet wird. |
log.imperva.abp.triggered_tags |
Nicht zugeordnet | Diese Tags sind derzeit nicht dem IDM-Objekt zugeordnet. |
log.imperva.abp.zuid |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „zuid“ und dem Wert aus log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Erstellt zusätzliche Felder für jeden zusätzlichen Faktor aus der verschachtelten JSON-Nutzlast. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus event_action und dem Wert aus event_action_description aus einer verschachtelten JSON-Nutzlast. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Wird als Wert für das Erkennungsfeld verwendet, das aus event_action aus der verschachtelten JSON-Nutzlast erstellt wurde. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel aus event_context und dem Wert aus event_context_description aus einer verschachtelten JSON-Nutzlast. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Wird als Wert für das Erkennungsfeld verwendet, das aus event_context aus der verschachtelten JSON-Nutzlast erstellt wurde. |
log.imperva.classified_client |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „classified_client“ und dem Wert aus log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Ländercode aus verschachtelter JSON-Nutzlast. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „credentials_leaked“ und dem Wert aus log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „declared_client“ und dem Wert aus log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „device_reputation“ und einer Liste von Werten aus log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „domain_risk“ und dem Wert aus log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „failed_logins_last_24h“ und dem Wert aus log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „log_imperva_fingerprint“ und dem Wert aus log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
Konto-ID aus der verschachtelten JSON-Nutzlast, die als Produktprotokoll-ID verwendet wird. |
log.imperva.ids.account_name |
metadata.product_event_type |
Kontoname aus der verschachtelten JSON-Nutzlast, der als Produktereignistyp verwendet wird. |
log.imperva.ids.site_id |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „site_id“ und dem Wert aus log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Erstellt ein zusätzliches Feld mit dem Schlüssel „site_name“ und dem Wert aus log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Pfad aus der verschachtelten JSON-Nutzlast, der als Prozesspfad verwendet wird. |
log.imperva.referrer |
network.http.referral_url |
Referrer-URL aus verschachtelter JSON-Nutzlast. |
log.imperva.request_id |
network.session_id |
Anfrage-ID aus verschachtelter JSON-Nutzlast, die als Netzwerksitzungs-ID verwendet wird. |
log.imperva.request_session_id |
network.session_id |
Sitzungs-ID aus verschachtelter JSON-Nutzlast anfordern, die als Netzwerksitzungs-ID verwendet wird. |
log.imperva.request_user |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „request_user“ und dem Wert aus log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (HOCH/KRITISCH/MITTEL/NIEDRIG), security_result.severity_details |
Risikostufe aus verschachtelter JSON-Nutzlast. Dem UDM-Schweregrad zugeordnet. Wird auch als Details zur Schwere verwendet. |
log.imperva.risk_reason |
security_result.description |
Risikogrund aus verschachtelter JSON-Nutzlast, der als Beschreibung des Sicherheitsergebnisses verwendet wird. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „significant_domain_name“ und dem Wert aus log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Erstellt ein Detection-Feld mit dem Schlüssel „successful_logins_last_24h“ und dem Wert aus log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Erstellt Erkennungsfelder für jede Richtlinie, die verletzt wurde, aus der verschachtelten JSON-Nutzlast. |
log.message |
metadata.description |
Nachricht aus verschachtelter JSON-Nutzlast, die als Metadatenbeschreibung verwendet wird, wenn keine andere Beschreibung verfügbar ist. |
log.resource_id |
target.resource.id |
Ressourcen-ID aus verschachtelter JSON-Nutzlast. |
log.resource_type_key |
target.resource.type |
Schlüssel für den Ressourcentyp aus der verschachtelten JSON-Nutzlast. |
log.server.domain |
target.hostname, target.asset.hostname |
Serverdomain aus verschachtelter JSON-Nutzlast. |
log.server.geo.name |
target.location.name |
Name des Serverspeicherorts aus der verschachtelten JSON-Nutzlast. |
log.time |
metadata.event_timestamp |
Zeitstempel aus verschachtelter JSON-Nutzlast, der mit dem Filter date geparst wurde. |
log.type_key |
metadata.product_event_type |
Typschlüssel aus verschachtelter JSON-Nutzlast, der als Produktereignistyp verwendet wird. |
log.user.email |
principal.user.email_addresses |
E-Mail-Adresse des Nutzers aus verschachtelter JSON-Nutzlast. |
log.user_agent.original |
network.http.parsed_user_agent |
User-Agent aus verschachtelter JSON-Nutzlast, mit dem Filter useragent geparst |
log.user_details |
principal.user.email_addresses |
Nutzerdetails aus einer verschachtelten JSON-Nutzlast, die als E-Mail-Adresse verwendet wird, wenn sie dem E-Mail-Format entspricht. |
log.user_id |
principal.user.userid |
Nutzer-ID aus verschachtelter JSON-Nutzlast. |
log_timestamp |
metadata.event_timestamp |
Protokollzeitstempel aus dem Syslog, der als Ereigniszeitstempel verwendet wird, wenn keine anderen Zeitstempel verfügbar sind. |
log_type |
Nicht zugeordnet | Nur zur internen Verwendung. |
message |
Verschiedene (siehe andere Felder) | Das Nachrichtenfeld mit den Protokolldaten. |
metadata.event_type |
metadata.event_type |
Legen Sie „NETWORK_HTTP“ für CEF- und JSON-Protokolle, „SCAN_UNCATEGORIZED“ für Attack Analytics-Protokolle, „USER_UNCATEGORIZED“, wenn src „Verteilt“ ist, „USER_STATS“ für JSON-Protokolle mit type_key, „STATUS_UPDATE“ für JSON-Protokolle mit Client-IP oder ‑domain und Serverdomain und „GENERIC_EVENT“ für andere JSON-Protokolle fest. |
metadata.log_type |
metadata.log_type |
Legen Sie den Wert auf „IMPERVA_WAF“ fest. |
metadata.product_event_type |
metadata.product_event_type |
Wird je nach Logformat (csv.event_id, log.imperva.ids.account_name, log.type_key) aus verschiedenen Feldern ausgefüllt. |
metadata.product_name |
metadata.product_name |
Legen Sie „Web Application Firewall“ fest. |
metadata.vendor_name |
metadata.vendor_name |
Legen Sie „Imperva“ fest. |
msg |
Nicht zugeordnet | Dieses Feld ist derzeit nicht dem IDM-Objekt zugeordnet. |
organization |
Nicht zugeordnet | Nur zur internen Verwendung. |
payload |
Verschiedene (siehe andere Felder) | Nutzlast, die aus CEF-Daten extrahiert wurde. |
popName |
intermediary.location.country_or_region |
PoP-Name aus LEEF-Daten, der dem Zwischenort zugeordnet ist. |
postbody |
security_result.detection_fields |
Erstellt ein Erkennungsfeld mit dem Schlüssel „post_body_info“ und dem Wert aus postbody. |
product_version |
Nicht zugeordnet | Nur zur internen Verwendung. |
proto |
network.application_protocol |
Protokoll aus LEEF-Daten, zugeordnet dem Netzwerkanwendungsprotokoll. |
protoVer |
network.tls.version, network.tls.cipher |
Protokollversion aus LEEF-Daten, die analysiert wurde, um die TLS-Version und die Chiffre zu extrahieren. |
qstr |
An target.url angehängt |
Abfragestring aus LEEF-Daten, der an die Ziel-URL angehängt wird. |
ref |
network.http.referral_url |
Verweis-URL aus LEEF-Daten. |
request |
target.url |
URL aus CEF-Daten anfordern |
requestClientApplication |
network.http.user_agent |
Clientanwendung aus LEEF- oder CEF-Daten anfordern, die dem HTTP-User-Agent des Netzwerks zugeordnet sind. |
requestContext |
network.http.user_agent |
Anfragekontext aus CEF-Daten, zugeordnet dem HTTP-User-Agent des Netzwerks. |
requestMethod |
network.http.method |
Anfragemethode aus LEEF- oder CEF-Daten, der Netzwerk-HTTP-Methode zugeordnet und in Großbuchstaben. |
resource_id |
target.resource.id |
Ressourcen-ID aus der JSON-Nutzlast. |
resource_type_key |
target.resource.type |
Schlüssel für den Ressourcentyp aus der JSON-Nutzlast. |
rt |
metadata.event_timestamp |
Empfangszeit aus CEF-Daten, die als Ereigniszeitstempel verwendet wird. |
security_result.action |
security_result.action |
Wird basierend auf dem Wert von act oder cat festgelegt. |
security_result.action_details |
security_result.action_details |
Bietet zusätzlichen Kontext basierend auf dem Wert von act oder cat. |
security_result.category_details |
security_result.category_details |
Legen Sie den Wert auf dproc fest. |
security_result.detection_fields |
security_result.detection_fields |
Enthält verschiedene Schlüssel/Wert-Paare, die aus den Protokolldaten extrahiert wurden. |
security_result.description |
security_result.description |
Legen Sie den Wert imperva.risk_reason oder log.imperva.abp.tls_fingerprint fest. |
security_result.rule_name |
security_result.rule_name |
Legen Sie den Wert auf cs9 fest. |
security_result.rule_type |
security_result.rule_type |
Legen Sie den Wert auf fileType fest. |
security_result.severity |
security_result.severity |
Wird basierend auf dem Wert von sevs oder imperva.risk_level festgelegt. |
security_result.severity_details |
security_result.severity_details |
Legen Sie den Wert auf imperva.risk_level fest. |
security_result.threat_id |
Änderungen
2024-04-02
- „log.imperva.request_user“ wurde in „security_result.detection_fields“ geändert.
- „log.imperva.classified_client“ wurde in „security_result.detection_fields“ geändert.
2024-02-26
- „log.imperva.request_session_id“ wurde in „network.session_id“ umgewandelt.
- „log.imperva.successful_logins_last_24h“, „log.imperva.path“ und „log.imperva.failed_logins_last_24h“ wurden in „security_result.detection_fields“ zugeordnet.
- „log.imperva.risk_reason“ wurde „security_result.severity_details“ und „security_result.severity“ zugeordnet.
- „additional_factor“, „log.imperva.device_reputation“ und „log.imperva.credentials_leaked“ wurden zu „additional.fields“ zugeordnet.
- „log.imperva.fingerprint“ wurde auf „security_result.description“ zugeordnet.
- „log.imperva.referrer“ wurde in „network.http.referral_url“ geändert.
- „log.imperva.classified_client“ wurde auf „principal.process.file.full_path“ zugeordnet
2024-02-06
- „accept_encoding_label“, „site_name_label“, „random_id_label“, „request_type_label“, „accept_language_label“, „headers_connection_label“, „zuid_labels“, „site_id_label“, „policy_id“, „policy_name“, „selector_derived_id“, „hsig“, „selector“, „detection_fields_event_action“, „detection_fields_event_context“, „detection_fields_significant_domain_name“ und „detection_fields_domain_risk“ wurden in der „for-Schleife“ für „json_array“ auf „null“ initialisiert.
2024-01-27
- „description“ wurde „security_result.threat_name“ zugeordnet.
- „severity“ wurde zu „security_result.threat_id“ zugeordnet.
- „kv.src“, „src“ und „log.client.ip“ wurden „principal.asset.ip“ zugeordnet.
- „kv.dst“ und „dst“ wurden „target.asset.ip“ zugeordnet.
- „kv.dvc“ wurde „about.asset.ip“ zugeordnet.
- „kv.cs9“ und „cs9“ wurden „security_result.rule_name“ zugeordnet.
- „kv.fileType“ und „fileType“ wurden auf „security_result.rule_type“ zugeordnet.
- „dst“ wurde „target.asset.ip“ zugeordnet.
- „Xff“ und „forwardedIp“ wurden „intermediary.asset.ip“ zugeordnet.
- „log.client.domain“ wurde „principal.asset.hostname“ zugeordnet.
- „log.server.domain“ wurde „target.asset.hostname“ zugeordnet.
2023-10-16
- Fehlerkorrektur:
- „security_result“ und „security_action“ wurden in der „for-Schleife“ für „json_array“ auf „null“ initialisiert.
- Es wurde eine Null-Prüfung hinzugefügt, bevor „security_action“ mit „security_result.action“ zusammengeführt wurde.
- Wenn „log.imperva.abp.monitor_action“ „block“ ist, wird „security_action“ mit „BLOCK“ abgeglichen.
2023-09-26
- „significant_domain_name“, „domain_risk“ und „violated_directives“ wurden in CSP-Logs auf „security_result.detection_fields“ umgestellt.
2023-08-07
- Fehlerkorrektur –
- Unterstützung für das Parsen von JSON-Log-Arrays hinzugefügt.
- Es wurde ein Grok-Muster hinzugefügt, um den Hostnamen zu prüfen, bevor „xff“ mit „intermediary.hostname“ abgeglichen wird.
2023-06-16
- Behobenes Problem bei der Vorabüberprüfung aufgrund einer einzelnen on_error-Funktion für zwei Felder.
2023-06-16
- Fehlerkorrektur –
- „imperva.audit_trail.event_action“ wurde in „security_result.detection_fields“ geändert.
- „imperva.audit_trail.event_action_description“ wurde in „security_result.detection_fields“ geändert.
- „imperva.audit_trail.event_context“ wurde in „security_result.detection_fields“ geändert.
- „imperva.audit_trail.event_context_description“ wurde in „security_result.detection_fields“ geändert.
- Probleme beim Parsen von Zeitstempeln wurden behoben.
- Fehlerhafte Protokolle wurden verworfen.
2023-06-08
- Verbesserung –
- „imperva.abp.apollo_rule_versions“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.bot_violations“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.bot_behaviors“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.bot_deciding_condition_ids“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.bot_deciding_condition_names“ wurde in „security_result.detection_fields“ umgewandelt.
- „imperva.abp.bot_triggered_condition_ids“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.bot_triggered_condition_names“ wurde in „security_result.detection_fields“ geändert.
2023-04-26
- Verbesserung –
- Das Feld „kv.src“ in den Statusdaten definiert.
- „kvdata.ver“ wurde auf „network.tls.version“ und „network.tls.cipher“ zugeordnet.
- „kvdata.sip“ wurde auf „principal.ip“ zugeordnet.
- „kvdata.spt“ wurde „principal.port“ zugeordnet.
- „kvdata.act“ wurde in „security_result.action_details“ geändert.
- „kvdata.app“ wurde auf „network.application_protocol“ zugeordnet.
- „kvdata.requestMethod“ wurde in „network.http.method“ geändert.
2023-02-04
- Verbesserung –
- Für das Feld „deviceReceiptTime“ wurde „rebase“ = „true“ in „event.timestamp“ hinzugefügt.
2023-01-19
- Verbesserung –
- Unterstützung für Parserprotokolle hinzugefügt. Dazu wurden die folgenden Zuordnungen hinzugefügt.
- „event.provider“ wurde „principal.user.userid“ zugeordnet.
- „client.ip“ wurde auf „principal.ip“ zugeordnet.
- „client.domain“ wurde auf „principal.hostname“ zugeordnet.
- „imperva.abp.request_type“ wurde in „principal.labels“ geändert.
- „imperva.abp.pid“ wurde auf „principal.process.pid“ zugeordnet.
- „client.geo.country_iso_code“ wurde in „principal.location.country_or_region“ umgewandelt.
- „server.domain“ wurde „target.hostname“ zugeordnet.
- „server.geo.name“ wurde „target.location.name“ zugeordnet.
- „url.path“ wurde mit „target.process.file.full_path“ verknüpft.
- „imperva.abp.customer_request_id“ wurde auf „target.resource.id“ zugeordnet.
- „imperva.abp.token_id“ wurde „target.resource.product_object_id“ zugeordnet.
- „imperva.abp.random_id“ wurde auf „additional.fields“ zugeordnet.
- „http.request.method“ wurde in „network.http.method“ geändert.
- „user_agent.original“ wurde in „network.http.parsed_user_agent“ umgewandelt.
- „imperva.abp.headers_referer“ wurde in „network.http.referral_url“ geändert.
- „imperva.abp.zuid“ wurde „additional.fields“ zugeordnet.
- „imperva.ids.site_name“ wurde „additional.fields“ zugeordnet.
- „imperva.ids.site_id“ wurde in „additional.fields“ geändert.
- „imperva.ids.account_name“ wurde in „metadata.product_event_type“ umgewandelt.
- „imperva.ids.account_id“ wurde in „metadata.product_log_id“ umgewandelt.
- „imperva.abp.headers_accept_encoding“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.headers_accept_language“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.headers_connection“ wurde in „security_result.detection_fields“ geändert
- „imperva.abp.policy_id“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.policy_name“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.selector_derived_id“ wurde in „security_result.detection_fields“ geändert.
- „imperva.abp.monitor_action“ wurde in „security_result.action“ geändert.
2022-06-28
- Verbesserung –
- Für alle Protokolle wurden „vendor.name“ = Imperva und „product.name“ = Web Application Firewall zugeordnet.
- „metadata.event_type“, bei dem „src“ „Distributed“ ist, von „GENERIC_EVENT“ in „USER_UNCATEGORIZED“ geändert
- „metadata.event_type“ von „USER_UNCATEGORIZED“ in „USER_STATS“ geändert
2022-06-20
- Modifiziertes Grok-Muster für das Feld „rt“.
- Fehlerkorrektur: Verbesserungen bei „security_result.action“.
- REQ_PASSED: Gibt an, ob die Anfrage an den Webserver der Website weitergeleitet wurde (security_result.action = 'ALLOW').
- REQ_CACHED_X: Gibt an, ob eine Antwort aus dem Cache des Rechenzentrums zurückgegeben wurde (security_result.action = 'ALLOW').
- REQ_BAD_X: Wenn ein Protokoll- oder Netzwerkfehler aufgetreten ist (security_result.action = 'FAIL').
- REQ_CHALLENGE_X: Gibt an, ob eine Bestätigung an den Client zurückgegeben wurde (security_result.action = 'BLOCK').
- REQ_BLOCKED_X: Gibt an, ob die Anfrage blockiert wurde (security_result.action = 'BLOCK').
2022-06-14
- Fehlerbehebung: „gsub“ wurde hinzugefügt und der kv-Filter wurde geändert, um eine falsche Zuordnung der Felder „cs1Label“, „cs2Label“ und „cs3Label“ zum UDM-Feld „security_result.detection_fields“ zu vermeiden.
2022-05-26
- Fehlerbehebung: Schlüsselname und Doppelpunktzeichen wurden aus dem Wert der Erkennungsfelder entfernt.
2022-05-10
- Verbesserung: Die folgenden Felder wurden zugeordnet:
- „cs1“, „cs2“, „cs3“, „cs4“, „cs5“, „fileType“ und „filePermission“ in „security_result.detection_fields“.
- „cs7“ zu „principal.location.region_latitude“.
- „cs8“ zu „principal.location.region_longitude“
- „cn1“, „cn2“ zu „security_result.detection_fields“ für CEF-Format-Protokolle.
- „act“ in CEF-Format-Protokollen zu „security_result.action“ und „security_result.action_details“
- „app“ in „network.application_protocol“ für CEF-Format-Protokolle.
- „requestClientApplication“ zu „network.http.user_agent“ für CEF-Formatprotokolle
- „dvc“ in „about.ip“ für CEF-Formatprotokolle.