Mengumpulkan log Firewall Aplikasi Web Imperva Incapsula
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Firewall Aplikasi Web Imperva Incapsula dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer IMPERVA_WAF.
Mengonfigurasi Incapsula WAF
- Login ke my.imperva.com dengan akun pembaca.
- Pilih Pengelolaan > Pengguna > Tambahkan Pengguna. Hanya pengguna dengan administrator akun atau izin lain yang diperlukan yang dapat menambahkan pengguna baru ke akun. Email verifikasi akan dikirim ke alamat pengguna dan administrator akun yang tercantum.
Klik link dalam email untuk memverifikasi alamat email pengguna baru dan menetapkan sandi login.
Membuat ID API dan kunci API pengguna pembaca
- Login ke akun my.imperva.com.
- Buka Pengelolaan, lalu pilih Pengguna.
- Pilih pengguna dengan peran pembaca.
- Buka Setelan, lalu pilih Kunci API.
- Berikan nama untuk kunci API.
- Dalam daftar API key will expire in, pilih Never.
- Untuk mengaktifkan status, pilih Status.
- Klik Simpan.
- Salin dan simpan kunci API dan ID API dari dialog yang muncul. Anda memerlukan kunci API dan ID API saat mengonfigurasi feed Google Security Operations.
- Opsional: Anda dapat memberikan daftar alamat IP yang disetujui atau membiarkannya kosong.
Mengonfigurasi feed di Google Security Operations untuk menyerap log Firewall Aplikasi Web Imperva Incapsula
- Pilih Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Masukkan nama unik untuk Nama feed.
- Pilih API pihak ketiga sebagai Jenis Sumber.
- Pilih Imperva sebagai Jenis Log.
- Berikan ID API dan kunci API di Konfigurasi Header HTTP Autentikasi.
- Klik Berikutnya, lalu klik Kirim.
Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.
Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini menangani log berformat CEF (Common Event Format) dan LEEF (Log Event Extended Format) dari Imperva Web Application Firewall (WAF), serta log berformat JSON. Ekstraktor ini mengekstrak kolom, melakukan transformasi data, dan memetakan data ke UDM berdasarkan format log yang terdeteksi. Parser juga menangani jenis peristiwa Imperva tertentu seperti "Attack Analytics" dan berbagai tindakan seperti "allow", "block", dan "deny", yang memetakan peristiwa tersebut ke kolom UDM yang sesuai.
Tabel pemetaan UDM Parser Imperva
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
account_id |
target.user.userid |
ID akun dari payload JSON dipetakan ke ID pengguna target. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Kolom act menentukan tindakan UDM dan detail tindakan. allowed, alert, REQ_PASSED, REQ_CACHED dipetakan ke IZINKAN. deny, blocked, REQ_BLOCKED, REQ_CHALLENGE dipetakan ke BLOCK. REQ_BAD dipetakan ke GAGAL. Detail tindakan memberikan konteks lebih lanjut berdasarkan nilai act tertentu. |
additionalReqHeaders |
Tidak Dipetakan | Header ini saat ini tidak dipetakan ke objek IDM. |
additionalResHeaders |
Tidak Dipetakan | Header ini saat ini tidak dipetakan ke objek IDM. |
app |
network.application_protocol |
Protokol aplikasi (misalnya, HTTP, HTTPS) diekstrak dari kolom app dan diubah menjadi huruf besar. |
calCountryOrRegion |
principal.location.country_or_region |
Kode negara atau wilayah yang diekstrak dari data LEEF. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Logika yang mirip dengan act untuk menentukan tindakan dan detail tindakan dalam format LEEF. |
ccode |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
ccpt |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
cef_version |
Tidak Dipetakan | Khusus penggunaan internal. |
cicode |
principal.location.city |
Informasi kota yang diekstrak dari data LEEF. |
client.domain |
principal.hostname, principal.asset.hostname |
Domain klien dari payload JSON. |
client.geo.country_iso_code |
principal.location.country_or_region |
Kode negara dari payload JSON. |
client.ip |
principal.ip, principal.asset.ip |
IP klien dari payload JSON. |
cn1 |
network.http.response_code |
Kode respons HTTP yang diekstrak dari data LEEF atau CEF. Dikonversi ke bilangan bulat. |
context_key |
target.resource.name |
Kunci konteks dari payload JSON, yang digunakan sebagai nama resource. |
cpt |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
cs1 |
security_result.detection_fields |
Jika ada dan bukan "T/A", membuat kolom deteksi dengan kunci dari cs1Label dan nilai dari cs1. |
cs2 |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari cs2Label dan nilai dari cs2. |
cs3 |
security_result.detection_fields |
Jika ada dan bukan "-", membuat kolom deteksi dengan kunci dari cs3Label dan nilai dari cs3. |
cs4 |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari cs4Label dan nilai dari cs4. |
cs5 |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari cs5Label dan nilai dari cs5. |
cs6 |
principal.application |
Aplikasi yang digunakan oleh akun utama, diekstrak dari data LEEF. |
cs7 |
principal.location.region_latitude |
Lintang yang diekstrak dari data LEEF atau CEF. Dikonversi ke float. |
cs8 |
principal.location.region_longitude |
Bujur yang diekstrak dari data LEEF atau CEF. Dikonversi menjadi float. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Nama aturan atau nama kerentanan, bergantung pada format log. |
Customer |
target.user.user_display_name |
Nama pelanggan dari data LEEF, yang dipetakan ke nama tampilan pengguna target. |
data |
Beragam (lihat kolom lain) | Kolom data log mentah yang berisi CEF, LEEF, atau JSON. |
description |
security_result.threat_name (CEF), metadata.description (Attack Analytics) |
Deskripsi dari log CEF atau Attack Analytics, yang dipetakan ke nama ancaman atau deskripsi metadata. |
deviceExternalId |
network.community_id |
ID Perangkat dari data LEEF, yang dipetakan ke ID komunitas jaringan. |
deviceFacility |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
deviceReceiptTime |
metadata.event_timestamp |
Stempel waktu diekstrak dari berbagai kolom (rt, start, log_timestamp) bergantung pada ketersediaan dan format. Diurai menggunakan filter date. |
dhost |
target.hostname |
Nama host tujuan dari data CEF. |
dproc |
security_result.category_details |
Proses perangkat (mis., Browser, Bot) dari data LEEF. |
dst |
target.ip, target.asset.ip |
IP tujuan dari data CEF atau LEEF. |
dpt |
target.port |
Port tujuan dari data CEF. Dikonversi ke bilangan bulat. |
duser |
target.user.userid |
ID pengguna tujuan dari data CEF. |
end |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "event_end_time" dan nilai dari end. |
event.id |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
event_attributes |
Beragam (lihat kolom lain) | Atribut yang diekstrak dari data LEEF. |
event_id |
Tidak Dipetakan | Khusus penggunaan internal. |
fileId |
network.session_id |
ID file dari data LEEF, yang dipetakan ke ID sesi jaringan. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Izin file dari data LEEF, yang digunakan sebagai kolom deteksi dan jenis aturan. |
fileType |
security_result.detection_fields, security_result.rule_type |
Jenis file dari data LEEF, yang digunakan sebagai kolom deteksi dan jenis aturan. |
flexString1 |
network.http.response_code |
Kode respons dari data CEF. Dikonversi ke bilangan bulat. |
http.request.body.bytes |
network.sent_bytes |
Byte yang dikirim dalam isi permintaan HTTP dari payload JSON. Dikonversi menjadi bilangan bulat tanpa tanda tangan. |
http.request.method |
network.http.method |
Metode permintaan HTTP dari payload JSON. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap versi aturan Apollo. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap perilaku bot. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap ID kondisi penentuan bot. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap nama kondisi penentu bot. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap ID kondisi yang dipicu bot. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap nama kondisi yang dipicu bot. |
imperva.abp.bot_violations |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap pelanggaran bot. |
imperva.abp.customer_request_id |
network.session_id |
ID permintaan pelanggan dari payload JSON, yang digunakan sebagai ID sesi jaringan. |
imperva.abp.deciding_tags |
Tidak Dipetakan | Tag ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.hsig |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "hsig" dan nilai dari imperva.abp.hsig. |
imperva.abp.headers_accept |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.headers_accept_charset |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.header_names |
Tidak Dipetakan | Nama header ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.headers_cookie_length |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.header_lengths |
Tidak Dipetakan | Panjang header ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.monitor_action |
security_result.action (Izinkan/Blokir), security_result.severity (Informasional) |
Memantau tindakan dari payload JSON. "allow" memetakan ke tingkat keparahan ALLOW dan INFORMATIONAL. "captcha" dan "block" dipetakan ke BLOCK. |
imperva.abp.pid |
principal.process.pid |
ID proses dari payload JSON. |
imperva.abp.policy_id |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Policy Id" dan nilai dari imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Nama Kebijakan" dan nilai dari imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Membuat kolom tambahan dengan kunci "Random Id" dan nilai dari imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Jalur permintaan yang didekode dari payload JSON, digunakan sebagai jalur proses. |
imperva.abp.request_type |
principal.labels |
Jenis permintaan dari payload JSON, yang digunakan sebagai label utama. |
imperva.abp.selector |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "selector" dan nilai dari imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "selector_derived_id" dan nilai dari imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
Sidik jari TLS dari payload JSON, yang digunakan sebagai deskripsi hasil keamanan. |
imperva.abp.triggered_tags |
Tidak Dipetakan | Tag ini saat ini tidak dipetakan ke objek IDM. |
imperva.abp.zuid |
additional.fields |
Membuat kolom tambahan dengan kunci "zuid" dan nilai dari imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Membuat kolom tambahan untuk setiap faktor tambahan. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari event_action dan nilai dari event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Digunakan sebagai nilai untuk kolom deteksi yang dibuat dari event_action. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari event_context dan nilai dari event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Digunakan sebagai nilai untuk kolom deteksi yang dibuat dari event_context. |
imperva.classified_client |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "classified_client" dan nilai dari imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Kode negara dari payload JSON. |
imperva.credentials_leaked |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "credentials_leaked" dan nilai dari imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "declared_client" dan nilai dari imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Membuat kolom tambahan dengan kunci "device_reputation" dan daftar nilai dari imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "domain_risk" dan nilai dari imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "failed_logins_last_24h" dan nilai dari imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "log_imperva_fingerprint" dan nilai dari imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
ID akun dari payload JSON, yang digunakan sebagai ID log produk. |
imperva.ids.account_name |
metadata.product_event_type |
Nama akun dari payload JSON, yang digunakan sebagai jenis peristiwa produk. |
imperva.ids.site_id |
additional.fields |
Membuat kolom tambahan dengan kunci "site_id" dan nilai dari imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Membuat kolom tambahan dengan kunci "site_name" dan nilai dari imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
URL perujuk dari payload JSON. |
imperva.request_id |
network.session_id |
ID permintaan dari payload JSON, yang digunakan sebagai ID sesi jaringan. |
imperva.request_session_id |
network.session_id |
Meminta ID sesi dari payload JSON, yang digunakan sebagai ID sesi jaringan. |
imperva.request_user |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "request_user" dan nilai dari imperva.request_user. |
imperva.risk_level |
security_result.severity (TINGGI/KRITIS/SEDANG/RENDAH), security_result.severity_details |
Tingkat risiko dari payload JSON. Dipetakan ke tingkat keparahan UDM. Juga digunakan sebagai detail tingkat keparahan. |
imperva.risk_reason |
security_result.description |
Alasan risiko dari payload JSON, yang digunakan sebagai deskripsi hasil keamanan. |
imperva.significant_domain_name |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "significant_domain_name" dan nilai dari imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "successful_logins_last_24h" dan nilai dari imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap perintah yang dilanggar. |
in |
network.received_bytes |
Byte yang diterima di jaringan dari data LEEF. Dikonversi menjadi bilangan bulat tanpa tanda tangan. |
leef_version |
Tidak Dipetakan | Khusus penggunaan internal. |
log.@timestamp |
metadata.event_timestamp |
Stempel waktu dari payload JSON, diuraikan menggunakan filter date. Digunakan jika log.time tidak tersedia. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Kode negara dari payload JSON bertingkat. |
log.client.ip |
principal.ip, principal.asset.ip |
IP klien dari payload JSON bertingkat. |
log.context_key |
target.resource.name |
Kunci konteks dari payload JSON bertingkat, yang digunakan sebagai nama resource. |
log.event.provider |
principal.user.user_display_name |
Penyedia peristiwa dari payload JSON bertingkat, yang digunakan sebagai nama tampilan pengguna utama. |
log.http.request.body.bytes |
network.sent_bytes |
Byte isi permintaan dari payload JSON bertingkat. Dikonversi menjadi bilangan bulat tanpa tanda tangan. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
Metode HTTP dari payload JSON bertingkat. Jika ada, menetapkan protokol aplikasi ke HTTP. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap perilaku bot dari payload JSON bertingkat. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap ID kondisi yang menentukan bot dari payload JSON bertingkat. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap nama kondisi penentu bot dari payload JSON bertingkat. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap ID kondisi yang dipicu bot dari payload JSON bertingkat. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap nama kondisi yang dipicu bot dari payload JSON bertingkat. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap pelanggaran bot dari payload JSON bertingkat. |
log.imperva.abp.customer_request_id |
network.session_id |
ID permintaan pelanggan dari payload JSON bertingkat, yang digunakan sebagai ID sesi jaringan. |
log.imperva.abp.headers_accept |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.headers_accept_charset |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Accept Encoding" dan nilai dari log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Accept Language" dan nilai dari log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "headers_connection" dan nilai dari log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.headers_host |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.header_lengths |
Tidak Dipetakan | Panjang header ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.header_names |
Tidak Dipetakan | Nama header ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.hsig |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "hsig" dan nilai dari log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (Izinkan/Blokir), security_result.severity (Informasional) |
Memantau tindakan dari payload JSON bertingkat. "allow" memetakan ke tingkat keparahan ALLOW dan INFORMATIONAL. "captcha" dan "block" dipetakan ke BLOCK. |
log.imperva.abp.pid |
principal.process.pid |
ID proses dari payload JSON bertingkat. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Policy Id" dan nilai dari log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "Nama Kebijakan" dan nilai dari log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Membuat kolom tambahan dengan kunci "Random Id" dan nilai dari log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Jalur permintaan yang didekode dari payload JSON bertingkat, yang digunakan sebagai jalur proses. |
log.imperva.abp.request_type |
principal.labels |
Jenis permintaan dari payload JSON bertingkat, yang digunakan sebagai label utama. |
log.imperva.abp.selector |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "selector" dan nilai dari log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "selector_derived_id" dan nilai dari log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
Sidik jari TLS dari payload JSON bertingkat, yang digunakan sebagai deskripsi hasil keamanan. |
log.imperva.abp.token_expire |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.token_id |
target.resource.product_object_id |
ID token dari payload JSON bertingkat, yang digunakan sebagai ID objek produk resource. |
log.imperva.abp.triggered_tags |
Tidak Dipetakan | Tag ini saat ini tidak dipetakan ke objek IDM. |
log.imperva.abp.zuid |
additional.fields |
Membuat kolom tambahan dengan kunci "zuid" dan nilai dari log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Membuat kolom tambahan untuk setiap faktor tambahan dari payload JSON bertingkat. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari event_action dan nilai dari event_action_description dari payload JSON bertingkat. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Digunakan sebagai nilai untuk kolom deteksi yang dibuat dari event_action dari payload JSON bertingkat. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci dari event_context dan nilai dari event_context_description dari payload JSON bertingkat. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Digunakan sebagai nilai untuk kolom deteksi yang dibuat dari event_context dari payload JSON bertingkat. |
log.imperva.classified_client |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "classified_client" dan nilai dari log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Kode negara dari payload JSON bertingkat. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "credentials_leaked" dan nilai dari log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "declared_client" dan nilai dari log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Membuat kolom tambahan dengan kunci "device_reputation" dan daftar nilai dari log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "domain_risk" dan nilai dari log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "failed_logins_last_24h" dan nilai dari log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "log_imperva_fingerprint" dan nilai dari log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
ID akun dari payload JSON bertingkat, yang digunakan sebagai ID log produk. |
log.imperva.ids.account_name |
metadata.product_event_type |
Nama akun dari payload JSON bertingkat, yang digunakan sebagai jenis peristiwa produk. |
log.imperva.ids.site_id |
additional.fields |
Membuat kolom tambahan dengan kunci "site_id" dan nilai dari log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Membuat kolom tambahan dengan kunci "site_name" dan nilai dari log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Jalur dari payload JSON bertingkat, yang digunakan sebagai jalur proses. |
log.imperva.referrer |
network.http.referral_url |
URL perujuk dari payload JSON bertingkat. |
log.imperva.request_id |
network.session_id |
ID permintaan dari payload JSON bertingkat, yang digunakan sebagai ID sesi jaringan. |
log.imperva.request_session_id |
network.session_id |
Meminta ID sesi dari payload JSON bertingkat, yang digunakan sebagai ID sesi jaringan. |
log.imperva.request_user |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "request_user" dan nilai dari log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (TINGGI/KRITIS/SEDANG/RENDAH), security_result.severity_details |
Tingkat risiko dari payload JSON bertingkat. Dipetakan ke tingkat keparahan UDM. Juga digunakan sebagai detail tingkat keparahan. |
log.imperva.risk_reason |
security_result.description |
Alasan risiko dari payload JSON bertingkat, yang digunakan sebagai deskripsi hasil keamanan. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "significant_domain_name" dan nilai dari log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "successful_logins_last_24h" dan nilai dari log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Membuat kolom deteksi untuk setiap perintah yang dilanggar dari payload JSON bertingkat. |
log.message |
metadata.description |
Pesan dari payload JSON bertingkat, digunakan sebagai deskripsi metadata jika tidak ada deskripsi lain yang tersedia. |
log.resource_id |
target.resource.id |
ID resource dari payload JSON bertingkat. |
log.resource_type_key |
target.resource.type |
Kunci jenis resource dari payload JSON bertingkat. |
log.server.domain |
target.hostname, target.asset.hostname |
Domain server dari payload JSON bertingkat. |
log.server.geo.name |
target.location.name |
Nama lokasi server dari payload JSON bertingkat. |
log.time |
metadata.event_timestamp |
Stempel waktu dari payload JSON bertingkat, diuraikan menggunakan filter date. |
log.type_key |
metadata.product_event_type |
Kunci jenis dari payload JSON bertingkat, yang digunakan sebagai jenis peristiwa produk. |
log.user.email |
principal.user.email_addresses |
Email pengguna dari payload JSON bertingkat. |
log.user_agent.original |
network.http.parsed_user_agent |
Agen pengguna dari payload JSON bertingkat, diuraikan menggunakan filter useragent. |
log.user_details |
principal.user.email_addresses |
Detail pengguna dari payload JSON bertingkat, yang digunakan sebagai alamat email jika cocok dengan format email. |
log.user_id |
principal.user.userid |
ID Pengguna dari payload JSON bertingkat. |
log_timestamp |
metadata.event_timestamp |
Stempel waktu log dari syslog, digunakan sebagai stempel waktu peristiwa jika stempel waktu lainnya tidak tersedia. |
log_type |
Tidak Dipetakan | Khusus penggunaan internal. |
message |
Beragam (lihat kolom lain) | Kolom pesan yang berisi data log. |
metadata.event_type |
metadata.event_type |
Tetapkan ke "NETWORK_HTTP" untuk log CEF dan JSON, "SCAN_UNCATEGORIZED" untuk log Attack Analytics, "USER_UNCATEGORIZED" jika src adalah "Distributed", "USER_STATS" untuk log JSON dengan type_key, "STATUS_UPDATE" untuk log JSON dengan IP klien atau domain dan domain server, dan "GENERIC_EVENT" untuk log JSON lainnya. |
metadata.log_type |
metadata.log_type |
Tetapkan ke "IMPERVA_WAF". |
metadata.product_event_type |
metadata.product_event_type |
Diisi dari berbagai kolom bergantung pada format log (csv.event_id, log.imperva.ids.account_name, log.type_key). |
metadata.product_name |
metadata.product_name |
Tetapkan ke "Firewall Aplikasi Web". |
metadata.vendor_name |
metadata.vendor_name |
Tetapkan ke "Imperva". |
msg |
Tidak Dipetakan | Kolom ini saat ini tidak dipetakan ke objek IDM. |
organization |
Tidak Dipetakan | Khusus penggunaan internal. |
payload |
Beragam (lihat kolom lain) | Payload yang diekstrak dari data CEF. |
popName |
intermediary.location.country_or_region |
Nama PoP dari data LEEF, yang dipetakan ke lokasi perantara. |
postbody |
security_result.detection_fields |
Membuat kolom deteksi dengan kunci "post_body_info" dan nilai dari postbody. |
product_version |
Tidak Dipetakan | Khusus penggunaan internal. |
proto |
network.application_protocol |
Protokol dari data LEEF, yang dipetakan ke protokol aplikasi jaringan. |
protoVer |
network.tls.version, network.tls.cipher |
Versi protokol dari data LEEF, diuraikan untuk mengekstrak versi dan cipher TLS. |
qstr |
Ditambahkan ke target.url |
String kueri dari data LEEF, yang ditambahkan ke URL target. |
ref |
network.http.referral_url |
URL rujukan dari data LEEF. |
request |
target.url |
Meminta URL dari data CEF. |
requestClientApplication |
network.http.user_agent |
Meminta aplikasi klien dari data LEEF atau CEF, yang dipetakan ke agen pengguna HTTP jaringan. |
requestContext |
network.http.user_agent |
Meminta konteks dari data CEF, yang dipetakan ke agen pengguna HTTP jaringan. |
requestMethod |
network.http.method |
Metode permintaan dari data LEEF atau CEF, yang dipetakan ke metode HTTP jaringan dan diubah menjadi huruf besar. |
resource_id |
target.resource.id |
ID resource dari payload JSON. |
resource_type_key |
target.resource.type |
Kunci jenis resource dari payload JSON. |
rt |
metadata.event_timestamp |
Waktu tanda terima dari data CEF, yang digunakan sebagai stempel waktu peristiwa. |
security_result.action |
security_result.action |
Tetapkan berdasarkan nilai act atau cat. |
security_result.action_details |
security_result.action_details |
Memberikan konteks tambahan berdasarkan nilai act atau cat. |
security_result.category_details |
security_result.category_details |
Tetapkan ke nilai dproc. |
security_result.detection_fields |
security_result.detection_fields |
Berisi berbagai pasangan nilai kunci yang diekstrak dari data log. |
security_result.description |
security_result.description |
Tetapkan ke nilai imperva.risk_reason atau log.imperva.abp.tls_fingerprint. |
security_result.rule_name |
security_result.rule_name |
Tetapkan ke nilai cs9. |
security_result.rule_type |
security_result.rule_type |
Tetapkan ke nilai fileType. |
security_result.severity |
security_result.severity |
Tetapkan berdasarkan nilai sevs atau imperva.risk_level. |
security_result.severity_details |
security_result.severity_details |
Tetapkan ke nilai imperva.risk_level. |
security_result.threat_id |
Perubahan
2024-04-02
- Memetakan "log.imperva.request_user" ke "security_result.detection_fields".
- Memetakan "log.imperva.classified_client" ke "security_result.detection_fields".
2024-02-26
- Memetakan "log.imperva.request_session_id" ke "network.session_id".
- Memetakan ""log.imperva.successful_logins_last_24h","log.imperva.path", dan "log.imperva.failed_logins_last_24h" ke "security_result.detection_fields".
- Memetakan "log.imperva.risk_reason" ke "security_result.severity_details" dan "security_result.severity".
- Memetakan "additional_factor","log.imperva.device_reputation", dan "log.imperva.credentials_leaked" ke "additional.fields".
- Memetakan "log.imperva.fingerprint" ke "security_result.description".
- Memetakan "log.imperva.referrer" ke "network.http.referral_url".
- Memetakan "log.imperva.classified_client" ke "principal.process.file.full_path"
2024-02-06
- Melakukan inisialisasi "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name", dan "detection_fields_domain_risk" ke null di dalam "for loop" untuk json_array.
2024-01-27
- Memetakan "description" ke "security_result.threat_name".
- Memetakan "severity" ke "security_result.threat_id".
- Memetakan "kv.src", "src", dan "log.client.ip" ke "principal.asset.ip".
- Memetakan "kv.dst" dan "dst" ke "target.asset.ip".
- Memetakan "kv.dvc" ke "about.asset.ip".
- Memetakan "kv.cs9" dan "cs9" ke "security_result.rule_name".
- Memetakan "kv.fileType" dan "fileType" ke "security_result.rule_type".
- Memetakan "dst" ke "target.asset.ip".
- Memetakan "xff" dan "forwardedIp" ke "intermediary.asset.ip".
- Memetakan "log.client.domain" ke "principal.asset.hostname".
- Memetakan "log.server.domain" ke "target.asset.hostname".
2023-10-16
- Perbaikan Bug:
- Melakukan inisialisasi "security_result" dan "security_action" ke null di dalam "for loop" untuk json_array.
- Menambahkan pemeriksaan null sebelum menggabungkan "security_action" ke "security_result.action".
- Jika "log.imperva.abp.monitor_action" adalah "block", maka pemetaan "security_action" ke "BLOCK".
2023-09-26
- Memetakan "significant_domain_name", "domain_risk", "violated_directives" ke "security_result.detection_fields" di log CSP.
2023-08-07
- Perbaikan bug -
- Menambahkan dukungan untuk mengurai array log JSON.
- Menambahkan pola Grok untuk memeriksa nama host sebelum memetakan "xff" ke "intermediary.hostname".
2023-06-16
- Menyelesaikan masalah pra-pengiriman karena satu on_error untuk dua kolom.
2023-06-16
- Perbaikan bug -
- Memetakan "imperva.audit_trail.event_action" ke "security_result.detection_fields".
- Memetakan "imperva.audit_trail.event_action_description" ke "security_result.detection_fields".
- Memetakan "imperva.audit_trail.event_context" ke "security_result.detection_fields".
- Memetakan "imperva.audit_trail.event_context_description" ke "security_result.detection_fields".
- Memperbaiki masalah penguraian Stempel Waktu.
- Menghapus log yang salah formatnya.
2023-06-08
- Peningkatan -
- Memetakan "imperva.abp.apollo_rule_versions" ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_violations" ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_behaviors" ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_deciding_condition_ids" ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_deciding_condition_names " ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_triggered_condition_ids" ke "security_result.detection_fields".
- Memetakan "imperva.abp.bot_triggered_condition_names" ke "security_result.detection_fields".
2023-04-26
- Peningkatan -
- Menentukan kolom "kv.src" di statedata.
- Memetakan "kvdata.ver" ke "network.tls.version" dan network.tls.cipher.
- Memetakan "kvdata.sip" ke "principal.ip".
- Memetakan "kvdata.spt" ke "principal.port".
- Memetakan "kvdata.act" ke 'security_result.action_details'.
- Memetakan "kvdata.app" ke 'network.application_protocol'.
- Memetakan "kvdata.requestMethod" ke "network.http.method".
2023-02-04
- Peningkatan -
- Untuk kolom "deviceReceiptTime", menambahkan rebase = true di "event.timestamp".
2023-01-19
- Peningkatan -
- Menambahkan dukungan ke log parser dengan menambahkan pemetaan berikut.
- Memetakan "event.provider" ke "principal.user.userid".
- Memetakan "client.ip" ke "principal.ip".
- Memetakan "client.domain" ke "principal.hostname".
- Memetakan "imperva.abp.request_type" ke "principal.labels".
- Memetakan "imperva.abp.pid" ke "principal.process.pid".
- Memetakan "client.geo.country_iso_code" ke "principal.location.country_or_region".
- Memetakan "server.domain" ke "target.hostname".
- Memetakan "server.geo.name" ke "target.location.name".
- Memetakan "url.path" ke "target.process.file.full_path".
- Memetakan "imperva.abp.customer_request_id" ke "target.resource.id".
- Memetakan "imperva.abp.token_id" ke "target.resource.product_object_id".
- Memetakan "imperva.abp.random_id" ke "additional.fields".
- Memetakan "http.request.method" ke "network.http.method".
- Memetakan "user_agent.original" ke "network.http.parsed_user_agent".
- Memetakan "imperva.abp.headers_referer" ke "network.http.referral_url".
- Memetakan "imperva.abp.zuid" ke "additional.fields".
- Memetakan "imperva.ids.site_name" ke "additional.fields".
- Memetakan "imperva.ids.site_id" ke "additional.fields".
- Memetakan "imperva.ids.account_name" ke "metadata.product_event_type".
- Memetakan "imperva.ids.account_id" ke "metadata.product_log_id".
- Memetakan "imperva.abp.headers_accept_encoding" ke "security_result.detection_fields".
- Memetakan "imperva.abp.headers_accept_language" ke "security_result.detection_fields".
- Memetakan "imperva.abp.headers_connection" ke "security_result.detection_fields"
- Memetakan "imperva.abp.policy_id" ke "security_result.detection_fields".
- Memetakan "imperva.abp.policy_name" ke "security_result.detection_fields".
- Memetakan "imperva.abp.selector_derived_id" ke "security_result.detection_fields".
- Memetakan "imperva.abp.monitor_action" ke "security_result.action".
2022-06-28
- Peningkatan -
- vendor.name = Imperva dan product.name = Web Application Firewall yang dipetakan untuk semua log
- Mengubah "metadata.event_type" dengan "src" "Distributed" dari "GENERIC_EVENT" menjadi "USER_UNCATEGORIZED"
- Mengubah "metadata.event_type" dari "USER_UNCATEGORIZED" menjadi "USER_STATS"
2022-06-20
- Pola grok diubah untuk kolom "rt".
- Perbaikan bug - Peningkatan pada security_result.action.
- REQ_PASSED: Jika permintaan dirutekan ke server web situs (security_result.action = 'ALLOW').
- REQ_CACHED_X: Jika respons ditampilkan dari cache pusat data (security_result.action = 'ALLOW').
- REQ_BAD_X: Jika terjadi error protokol atau jaringan (security_result.action = 'GAGAL').
- REQ_CHALLENGE_X: Jika tantangan ditampilkan ke klien (security_result.action = 'BLOCK').
- REQ_BLOCKED_X: Jika permintaan diblokir (security_result.action = 'BLOCK').
2022-06-14
- Perbaikan bug - Menambahkan gsub dan mengubah filter kv untuk menghindari pemetaan kolom yang salah 'cs1Label', 'cs2Label', 'cs3Label' yang dipetakan ke kolom UDM 'security_result.detection_fields'.
2022-05-26
- Perbaikan bug - Menghapus nama kunci dan karakter titik dua dari nilai kolom deteksi.
2022-05-10
- Peningkatan - Memetakan kolom berikut:
- 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' ke 'security_result.detection_fields'.
- 'cs7' ke 'principal.location.region_latitude'.
- 'cs8' ke 'principal.location.region_longitude'.
- 'cn1', 'cn2' ke 'security_result.detection_fields' untuk log format CEF.
- 'act' ke 'security_result.action' dan 'security_result.action_details' untuk log format CEF.
- 'app' ke 'network.application_protocol' untuk log format CEF.
- 'requestClientApplication' ke 'network.http.user_agent' untuk log format CEF.
- 'dvc' menjadi 'about.ip' untuk log format CEF.