- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
Imperva
编辑Imperva
编辑此集成用于 Imperva 设备日志。它包括通过 syslog 接收日志或从文件读取日志的数据集
-
securesphere数据集:支持 Imperva SecureSphere 日志。
数据流
编辑Imperva 集成收集一种类型的数据:securesphere。
Securesphere 包括警报、违规和系统事件。请参阅有关 警报、违规和事件的更多详细信息
要求
编辑必须安装 Elastic Agent。有关更多信息,请参阅此处的链接。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装该代理的系统上本地手动配置该代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,可以使用 Fleet Server,也可以独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可以从 Elastic Docker 注册表中获取,并且我们提供用于在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。
最低要求的 kibana.version 是 8.10.1。
设置
编辑要从 Imperva 收集数据,请按照要求的步骤操作
编辑- 网关和管理服务器 (MX) 应该具有使用 Syslog 服务器发送日志的相关连接。
-
要将所有安全违规从网关发送到 Elastic
-
创建一个自定义操作集
- 从 安全违规 – 全部类型中添加网关安全系统日志 > 使用 CEF 标准将网关日志安全事件记录到系统日志 (syslog)。
- 为操作集配置相关名称和参数。
- 将后续操作分配给安全 - > 策略规则。
-
-
要将所有安全警报(聚合违规)从网关发送到 Elastic
-
创建一个自定义操作集
- 从 任何事件类型,键入并添加服务器系统日志 > 使用 CEF 标准将安全事件记录到系统日志 (syslog)。
- 为操作集配置相关名称和参数。
- 将后续操作分配给安全 - > 策略规则。
-
-
要将所有系统事件从网关发送到 Elastic
-
创建一个自定义操作集
- 从 任何事件类型,键入并添加服务器系统日志 > 使用 CEF 标准将系统事件记录到系统日志 (syslog)。
- 为操作集配置相关名称和参数。
- 创建系统事件策略。
- 将后续操作分配给系统事件策略。
-
有关使用操作集和后续操作的更多信息,请参阅 Imperva 相关文档。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到管理 > 集成
- 在“搜索集成”搜索栏中,键入 Imperva。
- 从搜索结果中单击“Imperva”集成。
- 单击“添加 Imperva”按钮以添加集成。
- 从以下项启用数据收集模式:Filestream、TCP 或 UDP。
- 添加所有必需的配置参数,例如 filestream 的路径或 TCP 和 UDP 的侦听地址和侦听端口。
日志参考
编辑SecureSphere
编辑这是 Securesphere 数据集。
示例
securesphere 的示例事件如下所示
{ "@timestamp": "2023-10-05T18:33:02.000Z", "agent": { "ephemeral_id": "94608df6-6778-4ec4-99dc-d0cd37d583d8", "id": "0412638f-dd94-4c0e-b349-e99a0886d9f0", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.10.1" }, "data_stream": { "dataset": "imperva.securesphere", "namespace": "ep", "type": "logs" }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "0412638f-dd94-4c0e-b349-e99a0886d9f0", "snapshot": false, "version": "8.10.1" }, "event": { "agent_id_status": "verified", "code": "User logged in", "dataset": "imperva.securesphere", "ingested": "2023-12-01T09:10:18Z", "kind": "event", "original": "\u003c14\u003eCEF:0|Imperva Inc.|SecureSphere|15.1.0|User logged in|User admin logged in from 81.2.69.142.|High|suser=admin rt=Oct 05 2023 18:33:02 cat=SystemEvent", "severity": 7 }, "imperva": { "securesphere": { "device": { "event": { "category": "SystemEvent", "class_id": "User logged in" }, "product": "SecureSphere", "receipt_time": "2023-10-05T18:33:02.000Z", "vendor": "Imperva Inc.", "version": "15.1.0" }, "name": "User admin logged in from 81.2.69.142.", "severity": "High", "source": { "user_name": "admin" }, "version": "0" } }, "input": { "type": "udp" }, "log": { "source": { "address": "192.168.249.7:48857" } }, "message": "User admin logged in from 81.2.69.142.", "observer": { "product": "SecureSphere", "vendor": "Imperva Inc.", "version": "15.1.0" }, "related": { "user": [ "admin" ] }, "source": { "user": { "name": "admin" } }, "tags": [ "preserve_original_event", "preserve_duplicate_custom_fields", "forwarded", "imperva.securesphere" ] }
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
imperva.securesphere.destination.address |
ip |
|
imperva.securesphere.destination.port |
long |
|
imperva.securesphere.destination.user_name |
keyword |
|
imperva.securesphere.device.action |
keyword |
|
imperva.securesphere.device.custom_string1.label |
keyword |
|
imperva.securesphere.device.custom_string1.value |
keyword |
|
imperva.securesphere.device.custom_string2.label |
keyword |
|
imperva.securesphere.device.custom_string2.value |
keyword |
|
imperva.securesphere.device.custom_string3.label |
keyword |
|
imperva.securesphere.device.custom_string3.value |
keyword |
|
imperva.securesphere.device.custom_string4.label |
keyword |
|
imperva.securesphere.device.custom_string4.value |
keyword |
|
imperva.securesphere.device.custom_string5.label |
keyword |
|
imperva.securesphere.device.custom_string5.value |
keyword |
|
imperva.securesphere.device.event.category |
keyword |
|
imperva.securesphere.device.event.class_id |
keyword |
|
imperva.securesphere.device.product |
keyword |
|
imperva.securesphere.device.receipt_time |
日期 |
|
imperva.securesphere.device.vendor |
keyword |
|
imperva.securesphere.device.version |
keyword |
|
imperva.securesphere.name |
keyword |
|
imperva.securesphere.severity |
keyword |
|
imperva.securesphere.source.address |
ip |
|
imperva.securesphere.source.port |
long |
|
imperva.securesphere.source.user_name |
keyword |
|
imperva.securesphere.transport_protocol |
keyword |
|
imperva.securesphere.version |
keyword |
|
input.type |
filebeat 输入类型。 |
keyword |
log.file.device_id |
包含文件所在文件系统的设备的 ID。 |
keyword |
log.file.fingerprint |
启用指纹识别时,文件的 sha256 指纹标识。 |
keyword |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
keyword |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
keyword |
log.file.inode |
日志文件的 Inode 号。 |
keyword |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
tags |
用户定义的标签。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.1.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.0.1 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
0.20.2 |
错误修复 (查看拉取请求) |
— |
0.20.1 |
错误修复 (查看拉取请求) |
— |
0.20.0 |
增强功能 (查看拉取请求) |
— |
0.19.0 |
增强功能 (查看拉取请求) |
— |
0.18.0 |
增强功能 (查看拉取请求) |
— |
0.17.0 |
增强功能 (查看拉取请求) |
— |
0.16.0 |
增强功能 (查看拉取请求) |
— |
0.15.0 |
增强功能 (查看拉取请求) |
— |
0.14.0 |
增强功能 (查看拉取请求) |
— |
0.13.0 |
增强功能 (查看拉取请求) |
— |
0.12.0 |
增强功能 (查看拉取请求) |
— |
0.11.2 |
错误修复 (查看拉取请求) |
— |
0.11.1 |
错误修复 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.1 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
错误修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.4 |
增强 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
错误修复 (查看拉取请求) |
— |
0.5.1 |
错误修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.3 |
错误修复 (查看拉取请求) |
— |
0.4.2 |
增强 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.4 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
On this page