Coletar registros do WAF do Imperva Incapsula
Compatível com:
Google SecOps
SIEM
Este documento descreve como processar logs do firewall de aplicativo da Web (WAF, na sigla em inglês) do Imperva Incapsula configurando um feed de operações de segurança do Google.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com o rótulo de transferência IMPERVA_WAF.
Configurar o WAF do Incapsula
- Faça login em my.imperva.com com uma conta de leitor.
- Selecione Gerenciamento > Usuários > Adicionar usuário. Somente usuários com a função de administrador da conta ou outras permissões necessárias podem adicionar um novo usuário à conta. Um e-mail de verificação é enviado para os endereços listados do usuário e do administrador da conta.
Clique no link no e-mail para verificar o endereço de e-mail do novo usuário e definir uma senha de login.
Gerar o ID e a chave de API do usuário do leitor
- Faça login na conta my.imperva.com.
- Acesse Gerenciamento e selecione Usuários.
- Selecione um usuário com a função de leitor.
- Navegue até Configurações e selecione Chaves de API.
- Informe um nome para a chave de API.
- Na lista A chave da API vai expirar em, selecione Nunca.
- Para ativar o status, selecione Status.
- Clique em Salvar.
- Copie e salve a chave e o ID da API na caixa de diálogo que aparece. Você precisa da chave de API e do ID da API ao configurar o feed do Google Security Operations.
- Opcional: você pode fornecer uma lista de endereços IP aprovados ou deixar o campo em branco.
Configurar um feed no Google Security Operations para processar os registros do firewall de aplicativos da Web do Imperva Incapsula
- Selecione Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- Insira um nome exclusivo para o nome do feed.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Imperva como o Tipo de registro.
- Informe o ID e a chave da API na Configuração do cabeçalho HTTP de autenticação.
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo.
Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador processa registros formatados em CEF (formato de evento comum) e LEEF (formato estendido de evento de registro) do firewall de aplicativo da Web (WAF, na sigla em inglês) do Imperva, além de registros formatados em JSON. Ele extrai campos, realiza transformações de dados e mapeia os dados para a UDM com base no formato de registro detectado. O analisador também processa tipos de eventos específicos do Imperva, como "Análise de ataque", e várias ações, como "permitir", "bloquear" e "negar", mapeando-as para os campos apropriados do UDM.
Tabela de mapeamento de UDM do analisador Imperva
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
account_id |
target.user.userid |
O ID da conta do payload JSON é mapeado para o ID do usuário de destino. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
O campo act determina a ação e os detalhes da ação do UDM. allowed, alert, REQ_PASSED, REQ_CACHED são mapeados para PERMITIR. deny, blocked, REQ_BLOCKED e REQ_CHALLENGE são mapeados para BLOQUEIO. REQ_BAD é mapeado para REPROVADO. Os detalhes da ação fornecem mais contexto com base no valor específico de act. |
additionalReqHeaders |
Não mapeado | No momento, esses cabeçalhos não estão mapeados para o objeto IDM. |
additionalResHeaders |
Não mapeado | No momento, esses cabeçalhos não estão mapeados para o objeto IDM. |
app |
network.application_protocol |
O protocolo do aplicativo (por exemplo, HTTP, HTTPS) é extraído do campo app e convertido em letras maiúsculas. |
calCountryOrRegion |
principal.location.country_or_region |
Código de país ou região extraído dos dados do LEEF. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Lógica semelhante à act para determinar a ação e os detalhes da ação no formato LEEF. |
ccode |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
ccpt |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
cef_version |
Não mapeado | Somente para uso interno. |
cicode |
principal.location.city |
Informações da cidade extraídas dos dados do LEEF. |
client.domain |
principal.hostname, principal.asset.hostname |
Domínio do cliente do payload JSON. |
client.geo.country_iso_code |
principal.location.country_or_region |
Código do país do payload JSON. |
client.ip |
principal.ip, principal.asset.ip |
IP do cliente do payload JSON. |
cn1 |
network.http.response_code |
Código de resposta HTTP extraído dos dados do LEEF ou do CEF. Convertido em número inteiro. |
context_key |
target.resource.name |
Chave de contexto do payload JSON, usada como nome do recurso. |
cpt |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
cs1 |
security_result.detection_fields |
Se presente e não "N/A", cria um campo de detecção com a chave de cs1Label e o valor de cs1. |
cs2 |
security_result.detection_fields |
Cria um campo de detecção com a chave de cs2Label e o valor de cs2. |
cs3 |
security_result.detection_fields |
Se presente e não for "-", cria um campo de detecção com a chave de cs3Label e o valor de cs3. |
cs4 |
security_result.detection_fields |
Cria um campo de detecção com a chave de cs4Label e o valor de cs4. |
cs5 |
security_result.detection_fields |
Cria um campo de detecção com a chave de cs5Label e o valor de cs5. |
cs6 |
principal.application |
Aplicativo usado pelo titular, extraído dos dados do LEEF. |
cs7 |
principal.location.region_latitude |
Latitude extraída dos dados de LEEF ou CEF. Convertido em flutuante. |
cs8 |
principal.location.region_longitude |
Longitude extraída dos dados de LEEF ou CEF. Convertido em flutuante. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Nome da regra ou da vulnerabilidade, dependendo do formato do registro. |
Customer |
target.user.user_display_name |
Nome do cliente dos dados do LEEF, mapeado para o nome de exibição do usuário de destino. |
data |
Várias (consulte outros campos) | O campo de dados brutos do registro que contém CEF, LEEF ou JSON. |
description |
security_result.threat_name (CEF), metadata.description (Análise de ataques) |
Descrição dos registros de CEF ou Attack Analytics mapeada para o nome da ameaça ou a descrição dos metadados. |
deviceExternalId |
network.community_id |
ID do dispositivo dos dados do LEEF, mapeado para o ID da comunidade de rede. |
deviceFacility |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
deviceReceiptTime |
metadata.event_timestamp |
Carimbo de data/hora extraído de vários campos (rt, start, log_timestamp) dependendo da disponibilidade e do formato. Analisado usando o filtro date. |
dhost |
target.hostname |
Nome do host de destino dos dados do CEF. |
dproc |
security_result.category_details |
Processo do dispositivo (por exemplo, Navegador, bot) dos dados do LEEF. |
dst |
target.ip, target.asset.ip |
Endereço IP de destino de dados CEF ou LEEF. |
dpt |
target.port |
Porta de destino dos dados do CEF. Convertido em número inteiro. |
duser |
target.user.userid |
ID do usuário de destino dos dados do CEF. |
end |
security_result.detection_fields |
Cria um campo de detecção com a chave "event_end_time" e o valor de end. |
event.id |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
event_attributes |
Várias (consulte outros campos) | Atributos extraídos dos dados do LEEF. |
event_id |
Não mapeado | Somente para uso interno. |
fileId |
network.session_id |
ID do arquivo dos dados do LEEF, mapeado para o ID da sessão de rede. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Permissão de arquivo de dados do LEEF, usada como um campo de detecção e um tipo de regra. |
fileType |
security_result.detection_fields, security_result.rule_type |
Tipo de arquivo de dados do LEEF, usado como campo de detecção e tipo de regra. |
flexString1 |
network.http.response_code |
Código de resposta dos dados do CEF. Convertido em número inteiro. |
http.request.body.bytes |
network.sent_bytes |
Bytes enviados no corpo da solicitação HTTP do payload JSON. Convertido em número inteiro sem sinal. |
http.request.method |
network.http.method |
Método de solicitação HTTP do payload JSON. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Cria campos de detecção para cada versão da regra do Apollo. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Cria campos de detecção para cada comportamento de bot. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Cria campos de detecção para cada ID de condição de decisão do bot. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Cria campos de detecção para cada nome de condição de decisão do bot. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Cria campos de detecção para cada ID de condição acionada por bot. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Cria campos de detecção para cada nome de condição acionada pelo bot. |
imperva.abp.bot_violations |
security_result.detection_fields |
Cria campos de detecção para cada violação de bot. |
imperva.abp.customer_request_id |
network.session_id |
ID da solicitação do cliente do payload JSON, usado como ID da sessão de rede. |
imperva.abp.deciding_tags |
Não mapeado | No momento, essas tags não estão mapeadas para o objeto IDM. |
imperva.abp.hsig |
security_result.detection_fields |
Cria um campo de detecção com a chave "hsig" e o valor de imperva.abp.hsig. |
imperva.abp.headers_accept |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
imperva.abp.headers_accept_charset |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
imperva.abp.header_names |
Não mapeado | No momento, esses nomes de cabeçalho não estão mapeados para o objeto IDM. |
imperva.abp.headers_cookie_length |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
imperva.abp.header_lengths |
Não mapeado | No momento, essas comprimentos de cabeçalho não estão mapeadas para o objeto IDM. |
imperva.abp.monitor_action |
security_result.action (PERMITIR/BLOQUEAR), security_result.severity (INFORMAÇÃO) |
Monitore a ação do payload JSON. "permitir" é mapeado para PERMITIR e INFORMATIVO. "captcha" e "block" são mapeados para BLOQUEAR. |
imperva.abp.pid |
principal.process.pid |
ID do processo do payload JSON. |
imperva.abp.policy_id |
security_result.detection_fields |
Cria um campo de detecção com a chave "Policy Id" e o valor de imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Cria um campo de detecção com a chave "Nome da política" e o valor de imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Cria um campo extra com a chave "Random Id" e o valor de imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Caminho de solicitação decodificado do payload JSON, usado como caminho de processo. |
imperva.abp.request_type |
principal.labels |
Tipo de solicitação do payload JSON, usado como um rótulo principal. |
imperva.abp.selector |
security_result.detection_fields |
Cria um campo de detecção com a chave "seletor" e o valor de imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Cria um campo de detecção com a chave "selector_derived_id" e o valor de imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
Impressão digital TLS do payload JSON, usada como descrição do resultado de segurança. |
imperva.abp.triggered_tags |
Não mapeado | No momento, essas tags não estão mapeadas para o objeto IDM. |
imperva.abp.zuid |
additional.fields |
Cria um campo extra com a chave "zuid" e o valor de imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Cria campos adicionais para cada fator extra. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Cria um campo de detecção com a chave de event_action e o valor de event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Usado como o valor do campo de detecção criado a partir de event_action. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Cria um campo de detecção com a chave de event_context e o valor de event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Usado como o valor do campo de detecção criado a partir de event_context. |
imperva.classified_client |
security_result.detection_fields |
Cria um campo de detecção com a chave "classified_client" e o valor de imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Código do país do payload JSON. |
imperva.credentials_leaked |
security_result.detection_fields |
Cria um campo de detecção com a chave "credentials_leaked" e o valor de imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Cria um campo de detecção com a chave "declared_client" e o valor de imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Cria um campo adicional com a chave "device_reputation" e uma lista de valores de imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Cria um campo de detecção com a chave "domain_risk" e o valor de imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Cria um campo de detecção com a chave "failed_logins_last_24h" e o valor de imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Cria um campo de detecção com a chave "log_imperva_fingerprint" e o valor de imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
ID da conta do payload JSON, usado como ID de registro do produto. |
imperva.ids.account_name |
metadata.product_event_type |
Nome da conta do payload JSON, usado como tipo de evento do produto. |
imperva.ids.site_id |
additional.fields |
Cria um campo extra com a chave "site_id" e o valor de imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Cria um campo extra com a chave "site_name" e o valor de imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
URL de referência do payload JSON. |
imperva.request_id |
network.session_id |
ID do pedido do payload JSON, usado como ID da sessão de rede. |
imperva.request_session_id |
network.session_id |
Solicitar o ID da sessão do payload JSON, usado como ID da sessão de rede. |
imperva.request_user |
security_result.detection_fields |
Cria um campo de detecção com a chave "request_user" e o valor de imperva.request_user. |
imperva.risk_level |
security_result.severity (ALTO/CRÍTICO/MÉDIO/BAIXO), security_result.severity_details |
Nível de risco do payload JSON. Mapeado para a gravidade do UDM. Também usado como detalhes de gravidade. |
imperva.risk_reason |
security_result.description |
Motivo do risco do payload JSON, usado como descrição do resultado de segurança. |
imperva.significant_domain_name |
security_result.detection_fields |
Cria um campo de detecção com a chave "significant_domain_name" e o valor de imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Cria um campo de detecção com a chave "successful_logins_last_24h" e o valor de imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Cria campos de detecção para cada diretiva violada. |
in |
network.received_bytes |
Bytes recebidos na rede dos dados do LEEF. Convertido em número inteiro sem sinal. |
leef_version |
Não mapeado | Somente para uso interno. |
log.@timestamp |
metadata.event_timestamp |
Carimbo de data/hora do payload JSON, analisado usando o filtro date. Usado quando log.time não está disponível. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Código do país do payload JSON aninhado. |
log.client.ip |
principal.ip, principal.asset.ip |
IP do cliente do payload JSON aninhado. |
log.context_key |
target.resource.name |
Chave de contexto do payload JSON aninhado, usada como nome do recurso. |
log.event.provider |
principal.user.user_display_name |
Provedor de eventos do payload JSON aninhado, usado como nome de exibição do usuário principal. |
log.http.request.body.bytes |
network.sent_bytes |
Solicitar bytes do corpo de um payload JSON aninhado. Convertido em número inteiro sem sinal. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
Método HTTP do payload JSON aninhado. Se presente, define o protocolo do aplicativo como HTTP. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Cria campos de detecção para cada comportamento de bot com base no payload JSON aninhado. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Cria campos de detecção para cada ID de condição de decisão do bot a partir do payload JSON aninhado. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Cria campos de detecção para cada nome de condição de decisão de bot do payload JSON aninhado. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Cria campos de detecção para cada ID de condição acionado pelo bot do payload JSON aninhado. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Cria campos de detecção para cada nome de condição acionado pelo bot do payload JSON aninhado. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Cria campos de detecção para cada violação de bot do payload JSON aninhado. |
log.imperva.abp.customer_request_id |
network.session_id |
ID da solicitação do cliente do payload JSON aninhado, usado como ID da sessão de rede. |
log.imperva.abp.headers_accept |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.headers_accept_charset |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Cria um campo de detecção com a chave "Accept Encoding" e o valor de log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Cria um campo de detecção com a chave "Accept Language" e o valor de log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Cria um campo de detecção com a chave "headers_connection" e o valor de log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.headers_host |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.header_lengths |
Não mapeado | No momento, essas comprimentos de cabeçalho não estão mapeadas para o objeto IDM. |
log.imperva.abp.header_names |
Não mapeado | No momento, esses nomes de cabeçalho não estão mapeados para o objeto IDM. |
log.imperva.abp.hsig |
security_result.detection_fields |
Cria um campo de detecção com a chave "hsig" e o valor de log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (PERMITIR/BLOQUEAR), security_result.severity (INFORMAÇÃO) |
Monitore a ação do payload JSON aninhado. "permitir" é mapeado para PERMITIR e INFORMATIVO. "captcha" e "block" são mapeados para BLOQUEAR. |
log.imperva.abp.pid |
principal.process.pid |
ID do processo do payload JSON aninhado. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Cria um campo de detecção com a chave "Policy Id" e o valor de log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Cria um campo de detecção com a chave "Nome da política" e o valor de log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Cria um campo extra com a chave "Random Id" e o valor de log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Caminho de solicitação decodificado do payload JSON aninhado, usado como caminho de processo. |
log.imperva.abp.request_type |
principal.labels |
Tipo de solicitação do payload JSON aninhado, usado como um rótulo principal. |
log.imperva.abp.selector |
security_result.detection_fields |
Cria um campo de detecção com a chave "seletor" e o valor de log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Cria um campo de detecção com a chave "selector_derived_id" e o valor de log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
Impressão digital TLS do payload JSON aninhado, usada como descrição do resultado de segurança. |
log.imperva.abp.token_expire |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
log.imperva.abp.token_id |
target.resource.product_object_id |
ID do token do payload JSON aninhado, usado como o ID do objeto do produto de recurso. |
log.imperva.abp.triggered_tags |
Não mapeado | No momento, essas tags não estão mapeadas para o objeto IDM. |
log.imperva.abp.zuid |
additional.fields |
Cria um campo extra com a chave "zuid" e o valor de log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Cria campos adicionais para cada fator adicional do payload JSON aninhado. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Cria um campo de detecção com a chave de event_action e o valor de event_action_description do payload JSON aninhado. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Usado como o valor do campo de detecção criado com event_action do payload JSON aninhado. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Cria um campo de detecção com a chave de event_context e o valor de event_context_description do payload JSON aninhado. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Usado como o valor do campo de detecção criado com event_context do payload JSON aninhado. |
log.imperva.classified_client |
security_result.detection_fields |
Cria um campo de detecção com a chave "classified_client" e o valor de log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Código do país do payload JSON aninhado. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Cria um campo de detecção com a chave "credentials_leaked" e o valor de log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Cria um campo de detecção com a chave "declared_client" e o valor de log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Cria um campo adicional com a chave "device_reputation" e uma lista de valores de log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Cria um campo de detecção com a chave "domain_risk" e o valor de log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Cria um campo de detecção com a chave "failed_logins_last_24h" e o valor de log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Cria um campo de detecção com a chave "log_imperva_fingerprint" e o valor de log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
ID da conta do payload JSON aninhado, usado como ID de registro do produto. |
log.imperva.ids.account_name |
metadata.product_event_type |
Nome da conta do payload JSON aninhado, usado como tipo de evento do produto. |
log.imperva.ids.site_id |
additional.fields |
Cria um campo extra com a chave "site_id" e o valor de log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Cria um campo extra com a chave "site_name" e o valor de log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Caminho do payload JSON aninhado, usado como caminho do processo. |
log.imperva.referrer |
network.http.referral_url |
URL de referência do payload JSON aninhado. |
log.imperva.request_id |
network.session_id |
ID de solicitação do payload JSON aninhado, usado como ID de sessão de rede. |
log.imperva.request_session_id |
network.session_id |
Solicitar o ID da sessão do payload JSON aninhado, usado como ID da sessão de rede. |
log.imperva.request_user |
security_result.detection_fields |
Cria um campo de detecção com a chave "request_user" e o valor de log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (ALTO/CRÍTICO/MÉDIO/BAIXO), security_result.severity_details |
Nível de risco do payload JSON aninhado. Mapeado para a gravidade do UDM. Também usado como detalhes de gravidade. |
log.imperva.risk_reason |
security_result.description |
Motivo do risco do payload JSON aninhado, usado como descrição do resultado de segurança. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Cria um campo de detecção com a chave "significant_domain_name" e o valor de log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Cria um campo de detecção com a chave "successful_logins_last_24h" e o valor de log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Cria campos de detecção para cada diretiva violada do payload JSON aninhado. |
log.message |
metadata.description |
Mensagem do payload JSON aninhado, usada como descrição de metadados se nenhuma outra descrição estiver disponível. |
log.resource_id |
target.resource.id |
ID do recurso do payload JSON aninhado. |
log.resource_type_key |
target.resource.type |
Chave de tipo de recurso do payload JSON aninhado. |
log.server.domain |
target.hostname, target.asset.hostname |
Domínio do servidor do payload JSON aninhado. |
log.server.geo.name |
target.location.name |
Nome do local do servidor do payload JSON aninhado. |
log.time |
metadata.event_timestamp |
Carimbo de data/hora do payload JSON aninhado, analisado usando o filtro date. |
log.type_key |
metadata.product_event_type |
Digite a chave do payload JSON aninhado, usada como o tipo de evento do produto. |
log.user.email |
principal.user.email_addresses |
E-mail do usuário do payload JSON aninhado. |
log.user_agent.original |
network.http.parsed_user_agent |
Agente do usuário do payload JSON aninhado, analisado usando o filtro useragent. |
log.user_details |
principal.user.email_addresses |
Detalhes do usuário do payload JSON aninhado, usados como endereço de e-mail se corresponder ao formato de e-mail. |
log.user_id |
principal.user.userid |
ID do usuário do payload JSON aninhado. |
log_timestamp |
metadata.event_timestamp |
Carimbo de data/hora do registro do syslog, usado como carimbo de data/hora do evento se outros carimbos não estiverem disponíveis. |
log_type |
Não mapeado | Somente para uso interno. |
message |
Várias (consulte outros campos) | O campo da mensagem que contém os dados do registro. |
metadata.event_type |
metadata.event_type |
Defina como "NETWORK_HTTP" para registros CEF e JSON, "SCAN_UNCATEGORIZED" para registros de análise de ataque, "USER_UNCATEGORIZED" se src for "Distributed", "USER_STATS" para registros JSON com type_key, "STATUS_UPDATE" para registros JSON com IP do cliente ou domínio e domínio do servidor e "GENERIC_EVENT" para outros registros JSON. |
metadata.log_type |
metadata.log_type |
Defina como "IMPERVA_WAF". |
metadata.product_event_type |
metadata.product_event_type |
Preenchido com vários campos, dependendo do formato de registro (csv.event_id, log.imperva.ids.account_name, log.type_key). |
metadata.product_name |
metadata.product_name |
Defina como "Firewall de aplicativos da Web". |
metadata.vendor_name |
metadata.vendor_name |
Defina como "Imperva". |
msg |
Não mapeado | No momento, esse campo não está mapeado para o objeto IDM. |
organization |
Não mapeado | Somente para uso interno. |
payload |
Várias (consulte outros campos) | Payload extraído dos dados do CEF. |
popName |
intermediary.location.country_or_region |
Nome do ponto de presença dos dados do LEEF, mapeado para o local intermediário. |
postbody |
security_result.detection_fields |
Cria um campo de detecção com a chave "post_body_info" e o valor de postbody. |
product_version |
Não mapeado | Somente para uso interno. |
proto |
network.application_protocol |
Protocolo dos dados do LEEF, mapeado para o protocolo de aplicativo de rede. |
protoVer |
network.tls.version, network.tls.cipher |
Versão do protocolo dos dados do LEEF, analisada para extrair a versão e a criptografia do TLS. |
qstr |
Adicionado a target.url |
String de consulta dos dados do LEEF, anexada ao URL de destino. |
ref |
network.http.referral_url |
URL de referência dos dados do LEEF. |
request |
target.url |
Solicitar URL dos dados do CEF. |
requestClientApplication |
network.http.user_agent |
Solicitar o aplicativo cliente de dados LEEF ou CEF, mapeado para o user agent HTTP da rede. |
requestContext |
network.http.user_agent |
Solicitar contexto de dados do CEF, mapeado para o user agent HTTP da rede. |
requestMethod |
network.http.method |
Método de solicitação de dados do LEEF ou CEF, mapeado para o método HTTP da rede e em letras maiúsculas. |
resource_id |
target.resource.id |
ID do recurso do payload JSON. |
resource_type_key |
target.resource.type |
Chave de tipo de recurso do payload JSON. |
rt |
metadata.event_timestamp |
Hora do recibo dos dados do CEF, usada como carimbo de data/hora do evento. |
security_result.action |
security_result.action |
Defina com base no valor de act ou cat. |
security_result.action_details |
security_result.action_details |
Fornece contexto adicional com base no valor de act ou cat. |
security_result.category_details |
security_result.category_details |
Defina como o valor de dproc. |
security_result.detection_fields |
security_result.detection_fields |
Contém vários pares de chave-valor extraídos dos dados de registro. |
security_result.description |
security_result.description |
Defina como o valor de imperva.risk_reason ou log.imperva.abp.tls_fingerprint. |
security_result.rule_name |
security_result.rule_name |
Defina como o valor de cs9. |
security_result.rule_type |
security_result.rule_type |
Defina como o valor de fileType. |
security_result.severity |
security_result.severity |
Defina com base no valor de sevs ou imperva.risk_level. |
security_result.severity_details |
security_result.severity_details |
Defina como o valor de imperva.risk_level. |
security_result.threat_id |
Alterações
2024-04-02
- "log.imperva.request_user" foi associado a "security_result.detection_fields".
- "log.imperva.classified_client" foi associado a "security_result.detection_fields".
2024-02-26
- "log.imperva.request_session_id" foi mapeado para "network.session_id".
- "log.imperva.successful_logins_last_24h","log.imperva.path" e "log.imperva.failed_logins_last_24h" foram mapeados para "security_result.detection_fields".
- Mapeamos "log.imperva.risk_reason" para "security_result.severity_details" e "security_result.severity".
- Mapeamos "additional_factor","log.imperva.device_reputation" e "log.imperva.credentials_leaked" para "additional.fields".
- "log.imperva.fingerprint" foi associado a "security_result.description".
- "log.imperva.referrer" foi associado a "network.http.referral_url".
- "log.imperva.classified_client" foi associado a "principal.process.file.full_path"
2024-02-06
- Inicializou "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name" e "detection_fields_domain_risk" como null dentro do "loop for" para json_array.
2024-01-27
- Mapeamos "description" para "security_result.threat_name".
- "severity" foi mapeado para "security_result.threat_id".
- Mapeamos "kv.src", "src" e "log.client.ip" para "principal.asset.ip".
- Mapeamos "kv.dst" e "dst" para "target.asset.ip".
- Mapeamos "kv.dvc" para "about.asset.ip".
- Mapeamos "kv.cs9" e "cs9" para "security_result.rule_name".
- Mapeamos "kv.fileType" e "fileType" para "security_result.rule_type".
- Mapeamos "dst" para "target.asset.ip".
- Mapeamos "xff" e "forwardedIp" para "intermediary.asset.ip".
- Mapeamos "log.client.domain" para "principal.asset.hostname".
- Mapeamos "log.server.domain" para "target.asset.hostname".
2023-10-16
- Correção de bugs:
- Inicialização de "security_result" e "security_action" como nulo dentro do "loop for" para json_array.
- Foi adicionada uma verificação de nulos antes da mesclagem de "security_action" com "security_result.action".
- Quando "log.imperva.abp.monitor_action" é "block", "security_action" é mapeado para "BLOCK".
2023-09-26
- "Significant_domain_name", "domain_risk" e "violated_directives" foram mapeados para "security_result.detection_fields" nos registros do CSP.
2023-08-07
- Correção de bugs:
- Foi adicionado suporte para analisar matrizes de registros JSON.
- O padrão Grok foi adicionado para verificar o nome do host antes de mapear "xff" para "intermediary.hostname".
2023-06-16
- O problema de pré-envio foi resolvido devido a um único on_error para dois campos.
2023-06-16
- Correção de bugs:
- "imperva.audit_trail.event_action" foi associado a "security_result.detection_fields".
- "imperva.audit_trail.event_action_description" foi associado a "security_result.detection_fields".
- "imperva.audit_trail.event_context" foi associado a "security_result.detection_fields".
- "imperva.audit_trail.event_context_description" foi associado a "security_result.detection_fields".
- Correção de problemas de análise de carimbo de data/hora.
- Registros malformados foram descartados.
2023-06-08
- Melhoria:
- "imperva.abp.apollo_rule_versions" foi associado a "security_result.detection_fields".
- "imperva.abp.bot_violations" foi associado a "security_result.detection_fields".
- "imperva.abp.bot_behaviors" foi associado a "security_result.detection_fields".
- "imperva.abp.bot_deciding_condition_ids" foi associado a "security_result.detection_fields".
- Mapeamos "imperva.abp.bot_deciding_condition_names " para "security_result.detection_fields".
- "imperva.abp.bot_triggered_condition_ids" foi associado a "security_result.detection_fields".
- "imperva.abp.bot_triggered_condition_names" foi associado a "security_result.detection_fields".
2023-04-26
- Melhoria:
- O campo "kv.src" foi definido nos dados de estado.
- "kvdata.ver" foi mapeado para "network.tls.version" e network.tls.cipher.
- "kvdata.sip" foi mapeado para "principal.ip".
- "kvdata.spt" foi mapeado para "principal.port".
- "kvdata.act" foi mapeado para "security_result.action_details".
- "kvdata.app" foi mapeado para "network.application_protocol".
- "kvdata.requestMethod" foi mapeado para "network.http.method".
2023-02-04
- Melhoria:
- Para o campo "deviceReceiptTime", foi adicionado rebase = true em "event.timestamp".
2023-01-19
- Melhoria:
- Adição de suporte aos registros do analisador com os seguintes mapeamentos.
- "event.provider" foi mapeado para "principal.user.userid".
- "client.ip" foi associado a "principal.ip".
- "client.domain" foi associado a "principal.hostname".
- "imperva.abp.request_type" foi associado a "principal.labels".
- "imperva.abp.pid" foi mapeado para "principal.process.pid".
- "client.geo.country_iso_code" foi associado a "principal.location.country_or_region".
- Mapeamos "server.domain" para "target.hostname".
- Mapeamos "server.geo.name" para "target.location.name".
- "url.path" foi associado a "target.process.file.full_path".
- "imperva.abp.customer_request_id" foi associado a "target.resource.id".
- "imperva.abp.token_id" foi associado a "target.resource.product_object_id".
- "imperva.abp.random_id" foi associado a "additional.fields".
- "http.request.method" foi associado a "network.http.method".
- "user_agent.original" foi associado a "network.http.parsed_user_agent".
- "imperva.abp.headers_referer" foi associado a "network.http.referral_url".
- "imperva.abp.zuid" foi mapeado para "additional.fields".
- Mapeamos "imperva.ids.site_name" para "additional.fields".
- "imperva.ids.site_id" foi associado a "additional.fields".
- "imperva.ids.account_name" foi associado a "metadata.product_event_type".
- "imperva.ids.account_id" foi associado a "metadata.product_log_id".
- "imperva.abp.headers_accept_encoding" foi associado a "security_result.detection_fields".
- "imperva.abp.headers_accept_language" foi associado a "security_result.detection_fields".
- "imperva.abp.headers_connection" foi associado a "security_result.detection_fields".
- "imperva.abp.policy_id" foi associado a "security_result.detection_fields".
- "imperva.abp.policy_name" foi associado a "security_result.detection_fields".
- "imperva.abp.selector_derived_id" foi associado a "security_result.detection_fields".
- "imperva.abp.monitor_action" foi associado a "security_result.action".
2022-06-28
- Melhoria:
- O mapeamento vendor.name = Imperva e product.name = Web Application Firewall para todos os registros
- "metadata.event_type" mudou de "GENERIC_EVENT" para "USER_UNCATEGORIZED", em que "src" é "Distributed"
- "metadata.event_type" foi alterado de "USER_UNCATEGORIZED" para "USER_STATS"
2022-06-20
- O padrão de grok foi modificado para o campo "rt".
- Correção de bugs: melhorias em security_result.action.
- REQ_PASSED: se a solicitação foi roteada para o servidor da Web do site (security_result.action = 'ALLOW').
- REQ_CACHED_X: se uma resposta foi retornada do cache do data center (security_result.action = 'ALLOW').
- REQ_BAD_X: se ocorreu um erro de protocolo ou de rede (security_result.action = 'FAIL').
- REQ_CHALLENGE_X: se um desafio foi retornado ao cliente (security_result.action = 'BLOCK').
- REQ_BLOCKED_X: se a solicitação foi bloqueada (security_result.action = 'BLOCK').
2022-06-14
- Correção de bug: adicionamos o gsub e modificamos o filtro kv para evitar o mapeamento incorreto dos campos "cs1Label", "cs2Label" e "cs3Label" mapeados para o campo "security_result.detection_fields" do UDM.
2022-05-26
- Correção de bug: o nome da chave e o caractere dois-pontos foram removidos do valor dos campos de detecção.
2022-05-10
- Melhoria: mapeamos os seguintes campos:
- 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' para 'security_result.detection_fields'.
- "cs7" para "principal.location.region_latitude".
- "cs8" para "principal.location.region_longitude".
- 'cn1', 'cn2' para 'security_result.detection_fields' nos registros de formato CEF.
- "act" para "security_result.action" e "security_result.action_details" para registros no formato CEF.
- "app" para "network.application_protocol" para registros no formato CEF.
- "requestClientApplication" para "network.http.user_agent" para registros de formato CEF.
- "dvc" para "about.ip" para registros de formato CEF.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.