Recopila registros del firewall de aplicaciones web de Imperva Incapsula
Se admite en los siguientes países:
Google SecOps
SIEM
En este documento, se describe cómo puedes transferir los registros del firewall de aplicaciones web de Imperva Incapsula configurando un feed de Operaciones de seguridad de Google.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
con la etiqueta de transferencia IMPERVA_WAF.
Configura el WAF de Incapsula
- Accede a my.imperva.com con una cuenta de lector.
- Selecciona Administración > Usuarios > Agregar usuario. Solo los usuarios con el permiso de administrador de la cuenta o con otros permisos requeridos pueden agregar un usuario nuevo a la cuenta. Se enviará un correo electrónico de verificación a las direcciones que se indican del usuario y del administrador de la cuenta.
Haz clic en el vínculo del correo electrónico para verificar la dirección de correo electrónico del usuario nuevo y establecer una contraseña de acceso.
Genera el ID y la clave de API del usuario lector
- Accede a la cuenta de my.imperva.com.
- Navega a Administración y selecciona Usuarios.
- Selecciona un usuario con el rol de lector.
- Navega a Configuración y selecciona Claves de API.
- Proporciona un nombre para la clave de API.
- En la lista La clave de API vencerá en, selecciona Nunca.
- Para habilitar el estado, selecciona Estado.
- Haz clic en Guardar.
- Copia y guarda la clave de API y el ID de API del diálogo que aparece. Necesitas la clave de API y el ID de API cuando configuras el feed de Google Security Operations.
- Opcional: Puedes proporcionar una lista de direcciones IP aprobadas o dejar este campo en blanco.
Configura un feed en Google Security Operations para transferir los registros del firewall de aplicaciones web de Imperva Incapsula
- Selecciona Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- Ingresa un nombre único para el Nombre del feed.
- Selecciona API de terceros como el Tipo de fuente.
- Selecciona Imperva como el Tipo de registro.
- Proporciona el ID y la clave de la API en Configuración del encabezado HTTP de autenticación.
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.
Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador controla los registros con formato CEF (Common Event Format) y LEEF (Log Event Extended Format) del firewall de aplicaciones web (WAF) de Imperva, así como los registros con formato JSON. Extrae campos, realiza transformaciones de datos y asigna los datos a la UDM según el formato de registro detectado. El analizador también controla tipos de eventos específicos de Imperva, como "Attack Analytics", y varias acciones, como "allow", "block" y "deny", y los asigna a los campos de la AUA adecuados.
Tabla de asignación de UDM del analizador de Imperva
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
account_id |
target.user.userid |
El ID de la cuenta de la carga útil JSON se asigna al ID del usuario de destino. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
El campo act determina la acción de la AUA y los detalles de la acción. allowed, alert, REQ_PASSED y REQ_CACHED se asignan a ALLOW. deny, blocked, REQ_BLOCKED y REQ_CHALLENGE se asignan a BLOCK. REQ_BAD se asigna a FAIL. Los detalles de la acción proporcionan más contexto según el valor específico de act. |
additionalReqHeaders |
Sin asignación | Actualmente, estos encabezados no están asignados al objeto IDM. |
additionalResHeaders |
Sin asignación | Actualmente, estos encabezados no están asignados al objeto IDM. |
app |
network.application_protocol |
El protocolo de la aplicación (p.ej., HTTP, HTTPS) se extrae del campo app y se convierte a mayúsculas. |
calCountryOrRegion |
principal.location.country_or_region |
Código de país o región extraído de los datos de LEEF. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Lógica similar a act para determinar la acción y los detalles de la acción en formato LEEF. |
ccode |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
ccpt |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
cef_version |
Sin asignación | Solo para uso interno. |
cicode |
principal.location.city |
Información de la ciudad extraída de los datos de LEEF. |
client.domain |
principal.hostname, principal.asset.hostname |
Es el dominio del cliente de la carga útil de JSON. |
client.geo.country_iso_code |
principal.location.country_or_region |
Código de país de la carga útil de JSON. |
client.ip |
principal.ip, principal.asset.ip |
IP del cliente de la carga útil de JSON |
cn1 |
network.http.response_code |
Código de respuesta HTTP extraído de los datos de LEEF o CEF. Se convirtió en número entero. |
context_key |
target.resource.name |
Clave de contexto de la carga útil JSON, que se usa como nombre del recurso. |
cpt |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
cs1 |
security_result.detection_fields |
Si está presente y no es "N/A", crea un campo de detección con la clave de cs1Label y el valor de cs1. |
cs2 |
security_result.detection_fields |
Crea un campo de detección con la clave de cs2Label y el valor de cs2. |
cs3 |
security_result.detection_fields |
Si está presente y no es “-”, crea un campo de detección con la clave de cs3Label y el valor de cs3. |
cs4 |
security_result.detection_fields |
Crea un campo de detección con la clave de cs4Label y el valor de cs4. |
cs5 |
security_result.detection_fields |
Crea un campo de detección con la clave de cs5Label y el valor de cs5. |
cs6 |
principal.application |
Aplicación que usa el director, extraída de los datos de LEEF |
cs7 |
principal.location.region_latitude |
Latitud extraída de los datos de LEEF o CEF. Se convirtió en número de punto flotante. |
cs8 |
principal.location.region_longitude |
Longitud extraída de los datos de LEEF o CEF. Se convirtió en número de punto flotante. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Nombre de la regla o nombre de la vulnerabilidad, según el formato del registro |
Customer |
target.user.user_display_name |
Es el nombre del cliente de los datos de LEEF, asignado al nombre visible del usuario de destino. |
data |
Varios (consulta otros campos) | Es el campo de datos de registro sin procesar que contiene CEF, LEEF o JSON. |
description |
security_result.threat_name (CEF) y metadata.description (Analytics de ataques) |
Descripción de los registros de CEF o Attack Analytics, asignada al nombre de la amenaza o a la descripción de los metadatos |
deviceExternalId |
network.community_id |
ID del dispositivo de los datos de LEEF, asignado al ID de la comunidad de red |
deviceFacility |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
deviceReceiptTime |
metadata.event_timestamp |
Marca de tiempo extraída de varios campos (rt, start, log_timestamp) según la disponibilidad y el formato. Se analiza con el filtro date. |
dhost |
target.hostname |
Nombre de host de destino de los datos de CEF. |
dproc |
security_result.category_details |
Proceso del dispositivo (p.ej., Browser, Bot) de los datos de LEEF. |
dst |
target.ip, target.asset.ip |
IP de destino de los datos de CEF o LEEF |
dpt |
target.port |
Es el puerto de destino de los datos de CEF. Se convirtió en número entero. |
duser |
target.user.userid |
ID de usuario de destino de los datos de CEF. |
end |
security_result.detection_fields |
Crea un campo de detección con la clave "event_end_time" y el valor de end. |
event.id |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
event_attributes |
Varios (consulta otros campos) | Atributos extraídos de los datos de LEEF. |
event_id |
Sin asignación | Solo para uso interno. |
fileId |
network.session_id |
Es el ID de archivo de los datos de LEEF, asignado al ID de sesión de red. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Permiso de archivo de los datos de LEEF, que se usa como campo de detección y tipo de regla. |
fileType |
security_result.detection_fields, security_result.rule_type |
Es el tipo de archivo de los datos de LEEF, que se usa como campo de detección y tipo de regla. |
flexString1 |
network.http.response_code |
Código de respuesta de los datos de CEF. Se convirtió en número entero. |
http.request.body.bytes |
network.sent_bytes |
Bytes enviados en el cuerpo de la solicitud HTTP desde la carga útil de JSON. Se convirtió en un número entero sin firma. |
http.request.method |
network.http.method |
Método de solicitud HTTP de la carga útil de JSON. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Crea campos de detección para cada versión de la regla de Apollo. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Crea campos de detección para cada comportamiento de bot. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crea campos de detección para cada ID de condición de decisión de bot. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crea campos de detección para cada nombre de condición de decisión de bot. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crea campos de detección para cada ID de condición activada por un bot. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crea campos de detección para cada nombre de condición activada por un bot. |
imperva.abp.bot_violations |
security_result.detection_fields |
Crea campos de detección para cada incumplimiento de bot. |
imperva.abp.customer_request_id |
network.session_id |
Es el ID de solicitud del cliente de la carga útil JSON, que se usa como ID de sesión de red. |
imperva.abp.deciding_tags |
Sin asignación | Actualmente, estas etiquetas no están asignadas al objeto IDM. |
imperva.abp.hsig |
security_result.detection_fields |
Crea un campo de detección con la clave "hsig" y el valor de imperva.abp.hsig. |
imperva.abp.headers_accept |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
imperva.abp.headers_accept_charset |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
imperva.abp.header_names |
Sin asignación | Actualmente, estos nombres de encabezado no están asignados al objeto IDM. |
imperva.abp.headers_cookie_length |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
imperva.abp.header_lengths |
Sin asignación | Actualmente, estas longitudes de encabezado no están asignadas al objeto IDM. |
imperva.abp.monitor_action |
security_result.action (PERMITIR/BLOQUEAR), security_result.severity (INFORMACIÓN) |
Supervisa la acción desde la carga útil de JSON. "allow" maps to ALLOW and INFORMATIONAL severity. "captcha" y "block" se asignan a BLOCK. |
imperva.abp.pid |
principal.process.pid |
ID de proceso de la carga útil de JSON. |
imperva.abp.policy_id |
security_result.detection_fields |
Crea un campo de detección con la clave "Policy Id" y el valor de imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Crea un campo de detección con la clave "Nombre de la política" y el valor de imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Crea un campo adicional con la clave "Random Id" y el valor de imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Ruta de la solicitud decodificada de la carga útil JSON, que se usa como ruta de proceso. |
imperva.abp.request_type |
principal.labels |
Es el tipo de solicitud de la carga útil JSON, que se usa como etiqueta principal. |
imperva.abp.selector |
security_result.detection_fields |
Crea un campo de detección con la clave "selector" y el valor de imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Crea un campo de detección con la clave "selector_derived_id" y el valor de imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
La huella digital de TLS de la carga útil JSON, que se usa como descripción del resultado de seguridad |
imperva.abp.triggered_tags |
Sin asignación | Actualmente, estas etiquetas no están asignadas al objeto IDM. |
imperva.abp.zuid |
additional.fields |
Crea un campo adicional con la clave "zuid" y el valor de imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Crea campos adicionales para cada factor adicional. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Crea un campo de detección con la clave de event_action y el valor de event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Se usa como valor para el campo de detección creado a partir de event_action. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Crea un campo de detección con la clave de event_context y el valor de event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Se usa como valor para el campo de detección creado a partir de event_context. |
imperva.classified_client |
security_result.detection_fields |
Crea un campo de detección con la clave "classified_client" y el valor de imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Código de país de la carga útil de JSON. |
imperva.credentials_leaked |
security_result.detection_fields |
Crea un campo de detección con la clave "credentials_leaked" y el valor de imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Crea un campo de detección con la clave "declared_client" y el valor de imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Crea un campo adicional con la clave "device_reputation" y una lista de valores de imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Crea un campo de detección con la clave "domain_risk" y el valor de imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Crea un campo de detección con la clave "failed_logins_last_24h" y el valor de imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Crea un campo de detección con la clave "log_imperva_fingerprint" y el valor de imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
Es el ID de la cuenta de la carga útil JSON, que se usa como ID de registro del producto. |
imperva.ids.account_name |
metadata.product_event_type |
Es el nombre de la cuenta de la carga útil JSON, que se usa como tipo de evento de producto. |
imperva.ids.site_id |
additional.fields |
Crea un campo adicional con la clave "site_id" y el valor de imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Crea un campo adicional con la clave "site_name" y el valor de imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
URL de referencia de la carga útil de JSON. |
imperva.request_id |
network.session_id |
Es el ID de solicitud de la carga útil JSON, que se usa como ID de sesión de red. |
imperva.request_session_id |
network.session_id |
Solicita el ID de sesión de la carga útil JSON, que se usa como ID de sesión de red. |
imperva.request_user |
security_result.detection_fields |
Crea un campo de detección con la clave "request_user" y el valor de imperva.request_user. |
imperva.risk_level |
security_result.severity (ALTO/CRÍTICO/MEDIO/BAJO), security_result.severity_details |
Nivel de riesgo de la carga útil de JSON. Se asignan a la gravedad de la UDM. También se usa como detalles de gravedad. |
imperva.risk_reason |
security_result.description |
Es el motivo del riesgo de la carga útil JSON, que se usa como descripción del resultado de seguridad. |
imperva.significant_domain_name |
security_result.detection_fields |
Crea un campo de detección con la clave "significant_domain_name" y el valor de imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Crea un campo de detección con la clave "successful_logins_last_24h" y el valor de imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Crea campos de detección para cada directiva infringida. |
in |
network.received_bytes |
Bytes recibidos en la red a partir de los datos de LEEF. Se convirtió en un número entero sin signo. |
leef_version |
Sin asignación | Solo para uso interno. |
log.@timestamp |
metadata.event_timestamp |
Marca de tiempo de la carga útil de JSON, analizada con el filtro date. Se usa si log.time no está disponible. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Código de país de la carga útil de JSON anidada. |
log.client.ip |
principal.ip, principal.asset.ip |
IP del cliente de la carga útil de JSON anidada |
log.context_key |
target.resource.name |
Clave de contexto de la carga útil JSON anidada, que se usa como nombre del recurso. |
log.event.provider |
principal.user.user_display_name |
Proveedor de eventos de la carga útil de JSON anidada, que se usa como nombre visible del usuario principal. |
log.http.request.body.bytes |
network.sent_bytes |
Bytes del cuerpo de la solicitud de la carga útil JSON anidada Se convirtió en un número entero sin signo. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
Método HTTP de la carga útil JSON anidada. Si está presente, establece el protocolo de la aplicación en HTTP. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Crea campos de detección para cada comportamiento de bot a partir de una carga útil de JSON anidada. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crea campos de detección para cada ID de condición de decisión de bot a partir de una carga útil JSON anidada. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crea campos de detección para cada nombre de condición de decisión de bot a partir de una carga útil JSON anidada. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crea campos de detección para cada ID de condición activada por un bot a partir de una carga útil JSON anidada. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crea campos de detección para cada nombre de condición activada por un bot a partir de una carga útil JSON anidada. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Crea campos de detección para cada infracción de bot a partir de una carga útil de JSON anidada. |
log.imperva.abp.customer_request_id |
network.session_id |
Es el ID de solicitud del cliente de la carga útil JSON anidada, que se usa como ID de sesión de red. |
log.imperva.abp.headers_accept |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.headers_accept_charset |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Crea un campo de detección con la clave "Accept Encoding" y el valor de log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Crea un campo de detección con la clave "Accept Language" y el valor de log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Crea un campo de detección con la clave "headers_connection" y el valor de log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.headers_host |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.header_lengths |
Sin asignación | Actualmente, estas longitudes de encabezado no están asignadas al objeto IDM. |
log.imperva.abp.header_names |
Sin asignación | Actualmente, estos nombres de encabezado no están asignados al objeto IDM. |
log.imperva.abp.hsig |
security_result.detection_fields |
Crea un campo de detección con la clave "hsig" y el valor de log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (PERMITIR/BLOQUEAR), security_result.severity (INFORMACIÓN) |
Supervisa la acción desde la carga útil de JSON anidada. "allow" maps to ALLOW and INFORMATIONAL severity. "captcha" y "block" se asignan a BLOCK. |
log.imperva.abp.pid |
principal.process.pid |
ID de proceso de la carga útil de JSON anidada. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Crea un campo de detección con la clave "Policy Id" y el valor de log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Crea un campo de detección con la clave "Nombre de la política" y el valor de log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Crea un campo adicional con la clave "Random Id" y el valor de log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Ruta de solicitud decodificada de la carga útil de JSON anidada, que se usa como ruta de proceso. |
log.imperva.abp.request_type |
principal.labels |
Es el tipo de solicitud de la carga útil JSON anidada, que se usa como etiqueta principal. |
log.imperva.abp.selector |
security_result.detection_fields |
Crea un campo de detección con la clave "selector" y el valor de log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Crea un campo de detección con la clave "selector_derived_id" y el valor de log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
La huella digital de TLS de la carga útil JSON anidada, que se usa como descripción del resultado de seguridad |
log.imperva.abp.token_expire |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
log.imperva.abp.token_id |
target.resource.product_object_id |
Es el ID de token de la carga útil JSON anidada, que se usa como ID de objeto de producto del recurso. |
log.imperva.abp.triggered_tags |
Sin asignación | Actualmente, estas etiquetas no están asignadas al objeto IDM. |
log.imperva.abp.zuid |
additional.fields |
Crea un campo adicional con la clave "zuid" y el valor de log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Crea campos adicionales para cada factor adicional a partir de la carga útil JSON anidada. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Crea un campo de detección con la clave de event_action y el valor de event_action_description a partir de la carga útil de JSON anidada. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Se usa como valor para el campo de detección creado a partir de event_action de la carga útil de JSON anidada. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Crea un campo de detección con la clave de event_context y el valor de event_context_description a partir de la carga útil de JSON anidada. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Se usa como valor para el campo de detección creado a partir de event_context de la carga útil de JSON anidada. |
log.imperva.classified_client |
security_result.detection_fields |
Crea un campo de detección con la clave "classified_client" y el valor de log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Código de país de la carga útil de JSON anidada. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Crea un campo de detección con la clave "credentials_leaked" y el valor de log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Crea un campo de detección con la clave "declared_client" y el valor de log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Crea un campo adicional con la clave "device_reputation" y una lista de valores de log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Crea un campo de detección con la clave "domain_risk" y el valor de log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Crea un campo de detección con la clave "failed_logins_last_24h" y el valor de log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Crea un campo de detección con la clave "log_imperva_fingerprint" y el valor de log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
Es el ID de la cuenta de la carga útil JSON anidada, que se usa como ID de registro del producto. |
log.imperva.ids.account_name |
metadata.product_event_type |
Es el nombre de la cuenta de la carga útil de JSON anidada, que se usa como tipo de evento de producto. |
log.imperva.ids.site_id |
additional.fields |
Crea un campo adicional con la clave "site_id" y el valor de log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Crea un campo adicional con la clave "site_name" y el valor de log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Es la ruta de acceso de la carga útil JSON anidada, que se usa como ruta de acceso del proceso. |
log.imperva.referrer |
network.http.referral_url |
URL de referencia de la carga útil de JSON anidada. |
log.imperva.request_id |
network.session_id |
ID de solicitud de la carga útil JSON anidada, que se usa como ID de sesión de red. |
log.imperva.request_session_id |
network.session_id |
Solicita el ID de sesión de la carga útil JSON anidada, que se usa como ID de sesión de red. |
log.imperva.request_user |
security_result.detection_fields |
Crea un campo de detección con la clave "request_user" y el valor de log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (ALTO/CRÍTICO/MEDIO/BAJO), security_result.severity_details |
Nivel de riesgo de la carga útil de JSON anidada. Se asignan a la gravedad de la UDM. También se usa como detalles de gravedad. |
log.imperva.risk_reason |
security_result.description |
Es el motivo del riesgo de la carga útil JSON anidada, que se usa como descripción del resultado de seguridad. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Crea un campo de detección con la clave "significant_domain_name" y el valor de log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Crea un campo de detección con la clave "successful_logins_last_24h" y el valor de log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Crea campos de detección para cada directiva infringida a partir de la carga útil de JSON anidada. |
log.message |
metadata.description |
Es un mensaje de la carga útil JSON anidada que se usa como descripción de metadatos si no hay otra descripción disponible. |
log.resource_id |
target.resource.id |
ID de recurso de la carga útil de JSON anidada. |
log.resource_type_key |
target.resource.type |
Clave de tipo de recurso de la carga útil JSON anidada. |
log.server.domain |
target.hostname, target.asset.hostname |
Es el dominio del servidor de la carga útil de JSON anidada. |
log.server.geo.name |
target.location.name |
Es el nombre de la ubicación del servidor de la carga útil de JSON anidada. |
log.time |
metadata.event_timestamp |
Marca de tiempo de la carga útil JSON anidada, analizada con el filtro date. |
log.type_key |
metadata.product_event_type |
Es la clave de tipo de la carga útil JSON anidada, que se usa como tipo de evento de producto. |
log.user.email |
principal.user.email_addresses |
Correo electrónico del usuario de la carga útil de JSON anidada. |
log.user_agent.original |
network.http.parsed_user_agent |
El usuario-agente de la carga útil JSON anidada, analizado con el filtro useragent |
log.user_details |
principal.user.email_addresses |
Detalles del usuario de la carga útil de JSON anidada, que se usa como dirección de correo electrónico si coincide con el formato de correo electrónico. |
log.user_id |
principal.user.userid |
ID de usuario de la carga útil de JSON anidada |
log_timestamp |
metadata.event_timestamp |
Marca de tiempo del registro de syslog, que se usa como marca de tiempo del evento si no hay otras marcas de tiempo disponibles. |
log_type |
Sin asignación | Solo para uso interno. |
message |
Varios (consulta otros campos) | Es el campo de mensaje que contiene los datos de registro. |
metadata.event_type |
metadata.event_type |
Se establece en "NETWORK_HTTP" para los registros de CEF y JSON, "SCAN_UNCATEGORIZED" para los registros de Attack Analytics, "USER_UNCATEGORIZED" si src es "Distributed", "USER_STATS" para los registros JSON con type_key, "STATUS_UPDATE" para los registros JSON con la IP o el dominio del cliente y el dominio del servidor, y "GENERIC_EVENT" para otros registros JSON. |
metadata.log_type |
metadata.log_type |
Establece el valor en "IMPERVA_WAF". |
metadata.product_event_type |
metadata.product_event_type |
Se propaga desde varios campos según el formato de registro (csv.event_id, log.imperva.ids.account_name, log.type_key). |
metadata.product_name |
metadata.product_name |
Establece la opción en “Firewall de aplicaciones web”. |
metadata.vendor_name |
metadata.vendor_name |
Establece el valor en "Imperva". |
msg |
Sin asignación | Actualmente, este campo no está asignado al objeto IDM. |
organization |
Sin asignación | Solo para uso interno. |
payload |
Varios (consulta otros campos) | Carga útil extraída de los datos de CEF. |
popName |
intermediary.location.country_or_region |
Nombre de la PoP de los datos de LEEF, asignado a la ubicación intermediaria |
postbody |
security_result.detection_fields |
Crea un campo de detección con la clave "post_body_info" y el valor de postbody. |
product_version |
Sin asignación | Solo para uso interno. |
proto |
network.application_protocol |
Protocolo de datos de LEEF, asignado al protocolo de aplicación de red |
protoVer |
network.tls.version, network.tls.cipher |
Versión del protocolo de los datos de LEEF, analizados para extraer la versión y el algoritmo de cifrado de TLS. |
qstr |
Se adjunta a target.url |
Cadena de consulta de los datos de LEEF, que se agrega a la URL de destino |
ref |
network.http.referral_url |
URL de referencia de los datos de LEEF |
request |
target.url |
Solicita la URL de los datos de CEF. |
requestClientApplication |
network.http.user_agent |
Solicita la aplicación cliente a partir de datos de LEEF o CEF, asignados al usuario-agente HTTP de la red. |
requestContext |
network.http.user_agent |
Solicita el contexto de los datos de CEF, asignados al usuario-agente HTTP de la red. |
requestMethod |
network.http.method |
Es el método de solicitud de los datos de LEEF o CEF, asignado al método HTTP de la red y en mayúsculas. |
resource_id |
target.resource.id |
ID de recurso de la carga útil de JSON. |
resource_type_key |
target.resource.type |
Clave de tipo de recurso de la carga útil de JSON. |
rt |
metadata.event_timestamp |
Hora de recepción de los datos del CEF, que se usa como marca de tiempo del evento. |
security_result.action |
security_result.action |
Se establece en función del valor de act o cat. |
security_result.action_details |
security_result.action_details |
Proporciona contexto adicional según el valor de act o cat. |
security_result.category_details |
security_result.category_details |
Se establece en el valor de dproc. |
security_result.detection_fields |
security_result.detection_fields |
Contiene varios pares clave-valor extraídos de los datos de registro. |
security_result.description |
security_result.description |
Se establece en el valor de imperva.risk_reason o log.imperva.abp.tls_fingerprint. |
security_result.rule_name |
security_result.rule_name |
Se establece en el valor de cs9. |
security_result.rule_type |
security_result.rule_type |
Se establece en el valor de fileType. |
security_result.severity |
security_result.severity |
Se establece en función del valor de sevs o imperva.risk_level. |
security_result.severity_details |
security_result.severity_details |
Se establece en el valor de imperva.risk_level. |
security_result.threat_id |
Cambios
2024-04-02
- Se asignó "log.imperva.request_user" a "security_result.detection_fields".
- Se asignó "log.imperva.classified_client" a "security_result.detection_fields".
2024-02-26
- Se asignó "log.imperva.request_session_id" a "network.session_id".
- Se asignaron ""log.imperva.successful_logins_last_24h","log.imperva.path" y "log.imperva.failed_logins_last_24h" a "security_result.detection_fields".
- Se asignó "log.imperva.risk_reason" a "security_result.severity_details" y "security_result.severity".
- Se asignaron "additional_factor","log.imperva.device_reputation" y "log.imperva.credentials_leaked" a "additional.fields".
- Se asignó "log.imperva.fingerprint" a "security_result.description".
- Se asignó "log.imperva.referrer" a "network.http.referral_url".
- Se asignó "log.imperva.classified_client" a "principal.process.file.full_path".
2024-02-06
- Se inicializaron "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name" y "detection_fields_domain_risk" a nulo dentro del "bucle for" para json_array.
2024-01-27
- Se asignó "description" a "security_result.threat_name".
- Se asignó "severity" a "security_result.threat_id".
- Se asignaron "kv.src", "src" y "log.client.ip" a "principal.asset.ip".
- Se asignaron "kv.dst" y "dst" a "target.asset.ip".
- Se asignó "kv.dvc" a "about.asset.ip".
- Se asignaron "kv.cs9" y "cs9" a "security_result.rule_name".
- Se asignaron "kv.fileType" y "fileType" a "security_result.rule_type".
- Se asignó "dst" a "target.asset.ip".
- Se asignaron "xff" y "forwardedIp" a "intermediary.asset.ip".
- Se asignó "log.client.domain" a "principal.asset.hostname".
- Se asignó "log.server.domain" a "target.asset.hostname".
2023-10-16
- Corrección de errores:
- Se inicializaron "security_result" y "security_action" en nulo dentro del "bucle for" para json_array.
- Se agregó una verificación de nulos antes de combinar "security_action" con "security_result.action".
- Cuando "log.imperva.abp.monitor_action" es "block", se asigna "security_action" a "BLOCK".
2023-09-26
- Se asignaron "significant_domain_name", "domain_risk" y "violated_directives" a "security_result.detection_fields" en los registros de CSP.
2023-08-07
- Bug-fix:
- Se agregó compatibilidad para analizar el array de registros JSON.
- Se agregó el patrón Grok para verificar el nombre de host antes de asignar "xff" a "intermediary.hostname".
16-06-2023
- Se resolvió el problema previo al envío debido a un solo on_error para dos campos.
16-06-2023
- Bug-fix:
- Se asignó "imperva.audit_trail.event_action" a "security_result.detection_fields".
- Se asignó "imperva.audit_trail.event_action_description" a "security_result.detection_fields".
- Se asignó "imperva.audit_trail.event_context" a "security_result.detection_fields".
- Se asignó "imperva.audit_trail.event_context_description" a "security_result.detection_fields".
- Se corrigieron problemas de análisis de marcas de tiempo.
- Se descartaron los registros con formato incorrecto.
2023-06-08
- Mejora:
- Se asignó "imperva.abp.apollo_rule_versions" a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_violations" a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_behaviors" a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_deciding_condition_ids" a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_deciding_condition_names " a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_triggered_condition_ids" a "security_result.detection_fields".
- Se asignó "imperva.abp.bot_triggered_condition_names" a "security_result.detection_fields".
26-04-2023
- Mejora:
- Se definió el campo "kv.src" en statedata.
- Se asignó "kvdata.ver" a "network.tls.version" y network.tls.cipher.
- Se asignó “kvdata.sip” a “principal.ip”.
- Se asignó "kvdata.spt" a "principal.port".
- Se asignó "kvdata.act" a "security_result.action_details".
- Se asignó "kvdata.app" a "network.application_protocol".
- Se asignó "kvdata.requestMethod" a "network.http.method".
2023-02-04
- Mejora:
- Para el campo "deviceReceiptTime", se agregó rebase = true en "event.timestamp".
2023-01-19
- Mejora:
- Se agregó compatibilidad con los registros del analizador agregando las siguientes asignaciones.
- Se asignó "event.provider" a "principal.user.userid".
- Se asignó "client.ip" a "principal.ip".
- Se asignó "client.domain" a "principal.hostname".
- Se asignó "imperva.abp.request_type" a "principal.labels".
- Se asignó "imperva.abp.pid" a "principal.process.pid".
- Se asignó "client.geo.country_iso_code" a "principal.location.country_or_region".
- Se asignó "server.domain" a "target.hostname".
- Se asignó "server.geo.name" a "target.location.name".
- Se asignó "url.path" a "target.process.file.full_path".
- Se asignó "imperva.abp.customer_request_id" a "target.resource.id".
- Se asignó "imperva.abp.token_id" a "target.resource.product_object_id".
- Se asignó "imperva.abp.random_id" a "additional.fields".
- Se asignó "http.request.method" a "network.http.method".
- Se asignó "user_agent.original" a "network.http.parsed_user_agent".
- Se asignó "imperva.abp.headers_referer" a "network.http.referral_url".
- Se asignó "imperva.abp.zuid" a "additional.fields".
- Se asignó "imperva.ids.site_name" a "additional.fields".
- Se asignó "imperva.ids.site_id" a "additional.fields".
- Se asignó "imperva.ids.account_name" a "metadata.product_event_type".
- Se asignó "imperva.ids.account_id" a "metadata.product_log_id".
- Se asignó "imperva.abp.headers_accept_encoding" a "security_result.detection_fields".
- Se asignó "imperva.abp.headers_accept_language" a "security_result.detection_fields".
- Se asignó "imperva.abp.headers_connection" a "security_result.detection_fields"
- Se asignó "imperva.abp.policy_id" a "security_result.detection_fields".
- Se asignó "imperva.abp.policy_name" a "security_result.detection_fields".
- Se asignó "imperva.abp.selector_derived_id" a "security_result.detection_fields".
- Se asignó "imperva.abp.monitor_action" a "security_result.action".
2022-06-28
- Mejora:
- Se asignó vendor.name = Imperva y product.name = Firewall de aplicación web para todos los registros
- Se cambió "metadata.event_type", donde "src" es "Distributed" de "GENERIC_EVENT" a "USER_UNCATEGORIZED".
- Se cambió "metadata.event_type" de "USER_UNCATEGORIZED" a "USER_STATS".
2022-06-20
- Se modificó el patrón grok para el campo "rt".
- Se corrigieron errores y se realizaron mejoras en security_result.action.
- REQ_PASSED: Si la solicitud se enrutó al servidor web del sitio (security_result.action = "ALLOW").
- REQ_CACHED_X: Si se devolvió una respuesta de la caché del centro de datos (security_result.action = "ALLOW").
- REQ_BAD_X: Si se produjo un error de protocolo o de red (security_result.action = "FAIL").
- REQ_CHALLENGE_X: Si se devolvió un desafío al cliente (security_result.action = "BLOCK").
- REQ_BLOCKED_X: Si se bloqueó la solicitud (security_result.action = "BLOCK").
2022-06-14
- Se corrigió un error: Se agregó gsub y se modificó el filtro kv para evitar la asignación incorrecta de los campos "cs1Label", "cs2Label" y "cs3Label" asignados al campo de la AUA "security_result.detection_fields".
2022-05-26
- Se corrigió un error: Se quitaron el nombre de la clave y el carácter de dos puntos del valor de los campos de detección.
2022-05-10
- Mejora: Se asignaron los siguientes campos:
- 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' a 'security_result.detection_fields'.
- 'cs7' a 'principal.location.region_latitude'.
- De 'cs8' a 'principal.location.region_longitude'.
- 'cn1' y 'cn2' a 'security_result.detection_fields' para los registros en formato CEF.
- "act" a "security_result.action" y "security_result.action_details" para los registros en formato CEF.
- "app" a "network.application_protocol" para los registros en formato CEF.
- "requestClientApplication" a "network.http.user_agent" para los registros en formato CEF.
- De "dvc" a "about.ip" para los registros de formato CEF.