Imperva 云 WAF
编辑Imperva 云 WAF
编辑Imperva 云 WAF 是一种基于云的应用程序交付服务,包括 Web 安全、DDoS 保护、CDN 和负载均衡。
数据流
编辑此集成支持通过 AWS S3 输入或 Imperva API 接收来自 Imperva 云 WAF 的事件。
事件 用于检索访问和安全事件。有关更多详细信息,请参阅 此处 的文档。
要求
编辑必须安装 Elastic Agent。有关更多信息,请参阅 此处 的链接。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选择
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,使用 Fleet Server 或独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,我们还提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅 此处 的链接。
设置
编辑设置 Amazon S3 连接的步骤(推送模式)
编辑- 登录您的 Imperva 云 WAF 控制台。
- 在侧边栏中,单击“日志”>“日志设置”。
- 连接。选择 Amazon S3。
- 接下来,填写您的凭据
您的 S3 访问密钥、密钥和路径,其中路径是您要存储日志的文件夹的位置。以以下格式输入路径:<Amazon S3 存储桶名称>/<日志文件夹>。例如:MyBucket/MyIncapsulaLogFolder。 - 单击“测试连接”以执行完整的测试周期,其中测试文件将传输到您指定的文件夹。测试文件不包含真实数据,并且在传输完成后将由 Incapsula 删除。
-
配置其他选项
- 格式。选择日志文件的格式:CEF
- 压缩日志。默认情况下,日志文件是压缩的。清除此选项以保持日志未压缩。
获取 API URL、API 密钥和 API ID 的步骤(拉取模式)
编辑- 登录您的 Imperva 云 WAF 控制台。
- 在侧边栏中,单击“日志”>“日志设置”。
- 连接。选择 Imperva API。
- 从此窗口复制并保存 API 密钥,这将在以后的集成配置中需要。
- 复制 API ID 和 日志服务器 URI。
-
配置其他选项
- 格式。选择日志文件的格式:CEF
- 压缩日志。默认情况下,日志文件是压缩的。清除此选项以保持日志未压缩。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”
- 在“搜索集成”搜索栏中,键入 Imperva 云 WAF
- 从搜索结果中单击“Imperva 云 WAF”集成。
- 单击“添加 Imperva 云 WAF”按钮以添加集成。
-
在添加集成时,如果您想通过 AWS S3 收集日志,请保持 通过 AWS S3 或 AWS SQS 收集 Imperva 云 WAF 日志 开关处于开启状态,然后配置以下参数
- 访问密钥 ID
- 密钥
- 存储桶 ARN
-
通过 S3 存储桶收集日志开关已开启
或者,如果您想通过 AWS SQS 收集日志,请保持 通过 AWS S3 或 AWS SQS 收集 Imperva 云 WAF 日志 开关处于开启状态,然后配置以下参数
- 访问密钥 ID
- 密钥
- 队列 URL
-
通过 S3 存储桶收集日志开关已关闭
或者,如果您想通过 API 收集日志,请保持 通过 API 收集 Imperva 云 WAF 日志 开关处于开启状态,然后配置以下参数
- API ID
- API 密钥
- URL
- 保存集成。
AWS S3 输入还有其他输入组合选项可用,请查看 此处。
日志参考
编辑事件
编辑这是 Event 数据集。
示例
event 的示例事件如下
{
"@timestamp": "2024-01-31T09:22:42.456Z",
"agent": {
"ephemeral_id": "7d22d234-404b-426a-be1c-8ca128c3357b",
"id": "1c0e504b-c5db-46af-aa55-bd7efb79ed8c",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"aws": {
"s3": {
"bucket": {
"arn": "arn:aws:s3:::elastic-package-imperva-cloud-waf-bucket-13510",
"name": "elastic-package-imperva-cloud-waf-bucket-13510"
},
"object": {
"key": "events.log"
}
}
},
"cloud": {
"region": "us-east-1"
},
"data_stream": {
"dataset": "imperva_cloud_waf.event",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "1c0e504b-c5db-46af-aa55-bd7efb79ed8c",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"web"
],
"code": "1",
"dataset": "imperva_cloud_waf.event",
"end": "2019-08-20T11:31:10.892Z",
"ingested": "2024-01-31T09:22:43Z",
"kind": "event",
"original": "CEF:0|Incapsula|SIEMintegration|1|1|Normal|0| sourceServiceName=site123.abcd.info siteid=1509732 suid=50005477 requestClientApplication=Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0 deviceFacility=mia ccode=IL tag=www.elvis.com cicode=Rehovot cs7=31.8969 cs7Label=latitude cs8=34.8186 cs8Label=longitude Customer=CEFcustomer123 siteTag=my-site-tag start=1453290121336 request=site123.abcd.info/main.css ref=www.incapsula.com/lama requestmethod=GET cn1=200 app=HTTP deviceExternalID=33411452762204224 in=54 xff=44.44.44.44 cpt=443 src=12.12.12.12 ver=TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 end=1566300670892 additionalReqHeaders=[{\"Accept\":\"*/*\"},{\"x-v\":\"1\"},{\"x-fapi-interaction-id\":\"10.10.10.10\"}] additionalResHeaders=[{\"Content-Type\":\"text/html; charset\\=UTF-8\"}]",
"severity": 0,
"start": "2016-01-20T11:42:01.336Z",
"type": [
"info"
]
},
"http": {
"request": {
"method": "GET"
},
"response": {
"status_code": 200
}
},
"imperva_cloud_waf": {
"event": {
"extensions": {
"additional": {
"req_headers": [
{
"Accept": "*/*"
},
{
"x-v": "1"
},
{
"x-fapi-interaction-id": "10.10.10.10"
}
],
"res_headers": [
{
"Content-Type": "text/html; charset=UTF-8"
}
]
},
"cicode": "Rehovot",
"cs7Label": "latitude",
"cs8Label": "longitude",
"customer": "CEFcustomer123",
"device": {
"externalId": "33411452762204224",
"facility": "mia"
},
"ref": "www.incapsula.com/lama",
"site": {
"id": "1509732",
"tag": "my-site-tag"
},
"source": {
"service_name": "site123.abcd.info"
},
"tag": "www.elvis.com",
"ver": "TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256"
},
"name": "Normal",
"version": "0"
}
},
"input": {
"type": "aws-s3"
},
"log": {
"file": {
"path": "https://elastic-package-imperva-cloud-waf-bucket-13510.s3.us-east-1.amazonaws.com/events.log"
},
"offset": 134
},
"message": "Normal",
"network": {
"application": "http",
"forwarded_ip": "44.44.44.44"
},
"observer": {
"product": "SIEMintegration",
"vendor": "Incapsula",
"version": "1"
},
"related": {
"ip": [
"12.12.12.12",
"44.44.44.44"
],
"user": [
"50005477"
]
},
"source": {
"bytes": 54,
"geo": {
"country_iso_code": "IL",
"location": {
"lat": 31.8969,
"lon": 34.8186
}
},
"ip": "12.12.12.12",
"port": 443,
"service": {
"name": "site123.abcd.info"
},
"user": {
"id": "50005477"
}
},
"tags": [
"collect_sqs_logs",
"preserve_original_event",
"forwarded",
"imperva_cloud_waf-event"
],
"tls": {
"cipher": "ECDHE-RSA-AES128-GCM-SHA256",
"version": "1.2"
},
"url": {
"extension": "css",
"original": "site123.abcd.info/main.css",
"path": "site123.abcd.info/main.css"
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Firefox",
"original": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0",
"os": {
"full": "Windows 7",
"name": "Windows",
"version": "7"
},
"version": "40.0."
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
aws.s3.bucket.arn |
AWS S3 存储桶 ARN。 |
关键字 |
aws.s3.bucket.name |
AWS S3 存储桶名称。 |
关键字 |
aws.s3.object.key |
AWS S3 对象键。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.process.name |
关键字 |
|
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
imperva_cloud_waf.event.device.event_class_id |
签名 ID。 |
关键字 |
imperva_cloud_waf.event.device.product |
生成日志的产品或服务。 |
关键字 |
imperva_cloud_waf.event.device.vendor |
生成日志的供应商。 |
关键字 |
imperva_cloud_waf.event.device.version |
标识日志格式版本的整数。 |
关键字 |
imperva_cloud_waf.event.extensions.action |
Imperva 处理请求的方法。 |
关键字 |
imperva_cloud_waf.event.extensions.additional.req_headers |
JSON 格式的请求头,每个字段都表示为一个名称-值对。 |
对象 |
imperva_cloud_waf.event.extensions.additional.res_headers |
JSON 格式的响应头,每个字段都表示为一个名称-值对。 |
对象 |
imperva_cloud_waf.event.extensions.application_protocol |
请求协议。 |
关键字 |
imperva_cloud_waf.event.extensions.bytes_in |
内容长度。 |
长整型 |
imperva_cloud_waf.event.extensions.ccode |
站点访问者的国家/地区代码。 |
关键字 |
imperva_cloud_waf.event.extensions.cicode |
站点访问者的城市代码。 |
关键字 |
imperva_cloud_waf.event.extensions.cpt |
用于通信请求的客户端端口。 |
长整型 |
imperva_cloud_waf.event.extensions.cs10 |
描述应用于特定请求的所有操作的 JSON。 |
对象 |
imperva_cloud_waf.event.extensions.cs10Label |
关键字 |
|
imperva_cloud_waf.event.extensions.cs11 |
有关触发规则的违规行为的其他信息,采用 JSON 格式。 |
对象 |
imperva_cloud_waf.event.extensions.cs11Label |
关键字 |
|
imperva_cloud_waf.event.extensions.cs7 |
事件的纬度。 |
双精度浮点数 |
imperva_cloud_waf.event.extensions.cs7Label |
关键字 |
|
imperva_cloud_waf.event.extensions.cs8 |
事件的经度。 |
双精度浮点数 |
imperva_cloud_waf.event.extensions.cs8Label |
关键字 |
|
imperva_cloud_waf.event.extensions.cs9 |
此请求触发的威胁规则名称。 |
关键字 |
imperva_cloud_waf.event.extensions.cs9Label |
关键字 |
|
imperva_cloud_waf.event.extensions.customer |
站点所有者的帐户名称。 |
关键字 |
imperva_cloud_waf.event.extensions.destination_process_name |
浏览器类型。 |
关键字 |
imperva_cloud_waf.event.extensions.device.custom_number1 |
返回给客户端的 HTTP 响应代码。 |
长整型 |
imperva_cloud_waf.event.extensions.device.custom_string1 |
客户端应用程序是否支持验证码。 |
关键字 |
imperva_cloud_waf.event.extensions.device.custom_string1_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.custom_string2 |
客户端应用程序是否支持 JavaScript。 |
布尔值 |
imperva_cloud_waf.event.extensions.device.custom_string2_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.custom_string3 |
客户端应用程序是否支持 Cookie。 |
布尔值 |
imperva_cloud_waf.event.extensions.device.custom_string3_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.custom_string4 |
访问者的 ID。 |
关键字 |
imperva_cloud_waf.event.extensions.device.custom_string4_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.custom_string5 |
供内部使用。 |
关键字 |
imperva_cloud_waf.event.extensions.device.custom_string5_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.custom_string6 |
客户端应用程序软件。 |
关键字 |
imperva_cloud_waf.event.extensions.device.custom_string6_label |
关键字 |
|
imperva_cloud_waf.event.extensions.device.externalId |
请求的唯一标识符,可用于与 Imperva 云安全控制台中的报告和数据关联。 |
关键字 |
imperva_cloud_waf.event.extensions.device.facility |
处理请求的 Imperva PoP。 |
关键字 |
imperva_cloud_waf.event.extensions.end_time |
请求响应的结束时间,以 UTC 表示。采用 UNIX 纪元时间格式。 |
日期 |
imperva_cloud_waf.event.extensions.file.permission |
Imperva 攻击 ID。 |
关键字 |
imperva_cloud_waf.event.extensions.file.type |
攻击类型。 |
关键字 |
imperva_cloud_waf.event.extensions.file_id |
唯一标识。 |
关键字 |
imperva_cloud_waf.event.extensions.postbody |
请求的 post 正文数据。 |
关键字 |
imperva_cloud_waf.event.extensions.qstr |
请求的查询字符串。 |
关键字 |
imperva_cloud_waf.event.extensions.ref |
客户端访问的上一页面的 URL。 |
关键字 |
imperva_cloud_waf.event.extensions.request.client_application |
UserAgent 标头值。 |
关键字 |
imperva_cloud_waf.event.extensions.request.method |
请求方法。 |
关键字 |
imperva_cloud_waf.event.extensions.request.url |
请求的 URL。 |
关键字 |
imperva_cloud_waf.event.extensions.sip |
服务器的 IP 地址。 |
IP |
imperva_cloud_waf.event.extensions.site.id |
站点的数字标识符。 |
关键字 |
imperva_cloud_waf.event.extensions.site.tag |
站点级参考 ID。 |
关键字 |
imperva_cloud_waf.event.extensions.source.address |
发出请求的客户端 IP。 |
IP |
imperva_cloud_waf.event.extensions.source.port |
服务器的端口。 |
长整型 |
imperva_cloud_waf.event.extensions.source.service_name |
站点的名称。 |
关键字 |
imperva_cloud_waf.event.extensions.source.user_id |
站点所有者帐户的数字标识符。 |
关键字 |
imperva_cloud_waf.event.extensions.start_time |
此次访问开始的时间,以 UTC 表示。采用 UNIX 纪元时间格式。 |
日期 |
imperva_cloud_waf.event.extensions.tag |
帐户级参考 ID。 |
关键字 |
imperva_cloud_waf.event.extensions.ver |
请求中使用的 TLS 版本和加密算法。 |
关键字 |
imperva_cloud_waf.event.extensions.xff |
X-Forwarded-For 请求标头。 |
IP |
imperva_cloud_waf.event.name |
触发的规则类型。 |
关键字 |
imperva_cloud_waf.event.severity |
Imperva 内部规则 ID 号。 |
长整型 |
imperva_cloud_waf.event.version |
标识日志格式版本的整数。 |
关键字 |
input.type |
Filebeat 输入的类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |
source.service.name |
关键字 |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |