« Imperva Cloud WAF InfluxDB 集成 »
Elastic 文档 Elastic 集成 Imperva

Imperva

编辑

Imperva

编辑

版本

1.1.0 (查看全部)

兼容的 Kibana 版本

8.10.1 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基础版

支持级别
这是什么?

Elastic

此集成用于 Imperva 设备日志。它包括通过 syslog 接收日志或从文件读取日志的数据集

  • securesphere 数据集:支持 Imperva SecureSphere 日志。

数据流

编辑

Imperva 集成收集一种类型的数据:securesphere。

Securesphere 包括警报、违规和系统事件。请参阅有关 警报、违规和事件的更多详细信息

要求

编辑

必须安装 Elastic Agent。有关更多信息,请参阅此处的链接。

安装和管理 Elastic Agent
编辑

您有几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent(推荐)
编辑

使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。

以独立模式安装 Elastic Agent(高级用户)
编辑

使用此方法,您可以安装 Elastic Agent,并在安装该代理的系统上本地手动配置该代理。您负责管理和升级代理。此方法仅保留给高级用户使用。

在容器化环境中安装 Elastic Agent
编辑

您可以在容器内运行 Elastic Agent,可以使用 Fleet Server,也可以独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可以从 Elastic Docker 注册表中获取,并且我们提供用于在 Kubernetes 上运行的部署清单。

运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。

最低要求的 kibana.version8.10.1

设置

编辑
要从 Imperva 收集数据,请按照要求的步骤操作
编辑
  1. 网关和管理服务器 (MX) 应该具有使用 Syslog 服务器发送日志的相关连接。

  2. 要将所有安全违规从网关发送到 Elastic

    • 创建一个自定义操作集

      • 安全违规 – 全部类型中添加网关安全系统日志 > 使用 CEF 标准将网关日志安全事件记录到系统日志 (syslog)。
      • 为操作集配置相关名称和参数。
    • 将后续操作分配给安全 - > 策略规则。

  3. 要将所有安全警报(聚合违规)从网关发送到 Elastic

    • 创建一个自定义操作集

      • 任何事件类型,键入并添加服务器系统日志 > 使用 CEF 标准将安全事件记录到系统日志 (syslog)。
      • 为操作集配置相关名称和参数。
    • 将后续操作分配给安全 - > 策略规则。

  4. 要将所有系统事件从网关发送到 Elastic

    • 创建一个自定义操作集

      • 任何事件类型,键入并添加服务器系统日志 > 使用 CEF 标准将系统事件记录到系统日志 (syslog)。
      • 为操作集配置相关名称和参数。
    • 创建系统事件策略。
    • 将后续操作分配给系统事件策略。

有关使用操作集和后续操作的更多信息,请参阅 Imperva 相关文档

在 Elastic 中启用集成
编辑
  1. 在 Kibana 中,转到管理 > 集成
  2. 在“搜索集成”搜索栏中,键入 Imperva。
  3. 从搜索结果中单击“Imperva”集成。
  4. 单击“添加 Imperva”按钮以添加集成。
  5. 从以下项启用数据收集模式:Filestream、TCP 或 UDP。
  6. 添加所有必需的配置参数,例如 filestream 的路径或 TCP 和 UDP 的侦听地址和侦听端口。

日志参考

编辑
SecureSphere
编辑

这是 Securesphere 数据集。

示例

securesphere 的示例事件如下所示

{
    "@timestamp": "2023-10-05T18:33:02.000Z",
    "agent": {
        "ephemeral_id": "94608df6-6778-4ec4-99dc-d0cd37d583d8",
        "id": "0412638f-dd94-4c0e-b349-e99a0886d9f0",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.1"
    },
    "data_stream": {
        "dataset": "imperva.securesphere",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "0412638f-dd94-4c0e-b349-e99a0886d9f0",
        "snapshot": false,
        "version": "8.10.1"
    },
    "event": {
        "agent_id_status": "verified",
        "code": "User logged in",
        "dataset": "imperva.securesphere",
        "ingested": "2023-12-01T09:10:18Z",
        "kind": "event",
        "original": "\u003c14\u003eCEF:0|Imperva Inc.|SecureSphere|15.1.0|User logged in|User admin logged in from 81.2.69.142.|High|suser=admin rt=Oct 05 2023 18:33:02 cat=SystemEvent",
        "severity": 7
    },
    "imperva": {
        "securesphere": {
            "device": {
                "event": {
                    "category": "SystemEvent",
                    "class_id": "User logged in"
                },
                "product": "SecureSphere",
                "receipt_time": "2023-10-05T18:33:02.000Z",
                "vendor": "Imperva Inc.",
                "version": "15.1.0"
            },
            "name": "User admin logged in from 81.2.69.142.",
            "severity": "High",
            "source": {
                "user_name": "admin"
            },
            "version": "0"
        }
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "192.168.249.7:48857"
        }
    },
    "message": "User admin logged in from 81.2.69.142.",
    "observer": {
        "product": "SecureSphere",
        "vendor": "Imperva Inc.",
        "version": "15.1.0"
    },
    "related": {
        "user": [
            "admin"
        ]
    },
    "source": {
        "user": {
            "name": "admin"
        }
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "imperva.securesphere"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集。

constant_keyword

event.module

事件模块。

constant_keyword

imperva.securesphere.destination.address

ip

imperva.securesphere.destination.port

long

imperva.securesphere.destination.user_name

keyword

imperva.securesphere.device.action

keyword

imperva.securesphere.device.custom_string1.label

keyword

imperva.securesphere.device.custom_string1.value

keyword

imperva.securesphere.device.custom_string2.label

keyword

imperva.securesphere.device.custom_string2.value

keyword

imperva.securesphere.device.custom_string3.label

keyword

imperva.securesphere.device.custom_string3.value

keyword

imperva.securesphere.device.custom_string4.label

keyword

imperva.securesphere.device.custom_string4.value

keyword

imperva.securesphere.device.custom_string5.label

keyword

imperva.securesphere.device.custom_string5.value

keyword

imperva.securesphere.device.event.category

keyword

imperva.securesphere.device.event.class_id

keyword

imperva.securesphere.device.product

keyword

imperva.securesphere.device.receipt_time

日期

imperva.securesphere.device.vendor

keyword

imperva.securesphere.device.version

keyword

imperva.securesphere.name

keyword

imperva.securesphere.severity

keyword

imperva.securesphere.source.address

ip

imperva.securesphere.source.port

long

imperva.securesphere.source.user_name

keyword

imperva.securesphere.transport_protocol

keyword

imperva.securesphere.version

keyword

input.type

filebeat 输入类型。

keyword

log.file.device_id

包含文件所在文件系统的设备的 ID。

keyword

log.file.fingerprint

启用指纹识别时,文件的 sha256 指纹标识。

keyword

log.file.idxhi

与文件关联的唯一标识符的高位部分。(仅限 Windows)

keyword

log.file.idxlo

与文件关联的唯一标识符的低位部分。(仅限 Windows)

keyword

log.file.inode

日志文件的 Inode 号。

keyword

log.file.vol

包含文件的卷的序列号。(仅限 Windows)

keyword

log.offset

日志偏移量。

long

log.source.address

从中读取/发送日志事件的源地址。

keyword

tags

用户定义的标签。

keyword

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.1.0

增强功能 (查看拉取请求)
将软件包规范更新到 3.0.3。

8.10.1 或更高版本

1.0.1

增强功能 (查看拉取请求)
更改所有者

8.10.1 或更高版本

1.0.0

增强功能 (查看拉取请求)
作为 GA 发布软件包。

8.10.1 或更高版本

0.20.2

错误修复 (查看拉取请求)
修复 exclude_files 模式。

0.20.1

错误修复 (查看拉取请求)
调整字段以适应文件系统信息的更改。

0.20.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。

0.19.0

增强功能 (查看拉取请求)
用 Syslog 集成替换 RSA2ELK。

0.18.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.10.0。

0.17.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.9.0。

0.16.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.15.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

0.14.0

增强功能 (查看拉取请求)
将软件包规范版本更新到 2.7.0。

0.13.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

0.12.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

0.11.2

错误修复 (查看拉取请求)
更新文档以匹配字段定义。

0.11.1

错误修复 (查看拉取请求)
删除重复字段。

0.11.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

0.10.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

0.10.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0

0.9.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

0.8.0

增强 (查看拉取请求)
更新至 ECS 8.2.0

0.7.0

增强 (查看拉取请求)
更新至 ECS 8.0.0

0.6.1

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.6.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

0.5.4

增强 (查看拉取请求)
与指南保持一致

0.5.3

增强 (查看拉取请求)
更新标题和描述。

0.5.2

错误修复 (查看拉取请求)
修复了阻止软件包在 7.16 中工作的错误。

0.5.1

错误修复 (查看拉取请求)
修复检查forwarded标签的逻辑

0.5.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

0.4.3

错误修复 (查看拉取请求)
需要 7.14.1 版本的堆栈

0.4.2

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.4.1

增强 (查看拉取请求)
更新至 ECS 1.11.0

0.4.0

增强 (查看拉取请求)
更新集成描述

0.3.0

增强 (查看拉取请求)
设置 “event.module” 和 “event.dataset”

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项

0.1.4

增强 (查看拉取请求)
更新至 ECS 1.9.0

0.1.0

增强 (查看拉取请求)
初始版本

« Imperva Cloud WAF InfluxDB 集成 »