Collecter les journaux du pare-feu d'application Web Imperva Incapsula
Compatible avec:
Google SecOps
SIEM
Ce document explique comment ingérer les journaux du pare-feu d'application Web Imperva Incapsula en configurant un flux Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion IMPERVA_WAF.
Configurer le WAF Incapsula
- Connectez-vous à my.imperva.com avec un compte lecteur.
- Sélectionnez Gestion > Utilisateurs > Ajouter un utilisateur. Seuls les utilisateurs disposant du rôle administrateur du compte ou d'autres autorisations requises peuvent ajouter un utilisateur au compte. Un e-mail de validation est envoyé aux adresses indiquées de l'utilisateur et de l'administrateur du compte.
Cliquez sur le lien figurant dans l'e-mail pour valider l'adresse e-mail du nouvel utilisateur et définir un mot de passe de connexion.
Générer l'ID et la clé API de l'utilisateur du lecteur
- Connectez-vous au compte my.imperva.com.
- Accédez à Gestion, puis sélectionnez Utilisateurs.
- Sélectionnez un utilisateur disposant du rôle de lecteur.
- Accédez à Paramètres, puis sélectionnez Clés API.
- Attribuez un nom à la clé API.
- Dans la liste La clé API expirera dans, sélectionnez Jamais.
- Pour activer l'état, sélectionnez État.
- Cliquez sur Enregistrer.
- Copiez et enregistrez la clé API et l'ID API dans la boîte de dialogue qui s'affiche. Vous avez besoin de la clé API et de l'ID de l'API lorsque vous configurez le flux Google Security Operations.
- Facultatif: vous pouvez fournir une liste d'adresses IP approuvées ou la laisser vide.
Configurer un flux dans Google Security Operations pour ingérer les journaux du pare-feu d'application Web Imperva Incapsula
- Sélectionnez Paramètres du SIEM > Flux.
- Cliquez sur Ajouter.
- Saisissez un nom unique pour le nom du flux.
- Sélectionnez API tierce comme Type de source.
- Sélectionnez Imperva comme Type de journal.
- Indiquez l'ID et la clé API dans la section Configuration de l'en-tête HTTP d'authentification.
- Cliquez sur Suivant, puis sur Envoyer.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez la section Configuration des flux par type.
Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Cet analyseur gère les journaux au format CEF (Common Event Format) et LEEF (Log Event Extended Format) de l'Imperva Web Application Firewall (WAF), ainsi que les journaux au format JSON. Il extrait les champs, effectue des transformations de données et met en correspondance les données avec l'UDM en fonction du format de journal détecté. L'analyseur gère également des types d'événements Imperva spécifiques tels que "Attack Analytics" et diverses actions telles que "allow", "block" et "deny", en les mappant sur les champs UDM appropriés.
Tableau de mappage UDM de l'analyseur Imperva
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
account_id |
target.user.userid |
L'ID de compte de la charge utile JSON est mappé à l'ID de l'utilisateur cible. |
act |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Le champ act détermine l'action UDM et les détails de l'action. allowed, alert, REQ_PASSED et REQ_CACHED correspondent à ALLOW. deny, blocked, REQ_BLOCKED et REQ_CHALLENGE correspondent à BLOCK. REQ_BAD correspond à ÉCHEC. Les détails de l'action fournissent un contexte supplémentaire en fonction de la valeur act spécifique. |
additionalReqHeaders |
Non mappé | Ces en-têtes ne sont actuellement pas mappés à l'objet IDM. |
additionalResHeaders |
Non mappé | Ces en-têtes ne sont actuellement pas mappés à l'objet IDM. |
app |
network.application_protocol |
Le protocole d'application (par exemple, (HTTP, HTTPS) est extrait du champ app et mis en majuscules. |
calCountryOrRegion |
principal.location.country_or_region |
Code pays ou régional extrait des données LEEF. |
cat |
security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details |
Logique similaire à celle de act pour déterminer l'action et les détails de l'action au format LEEF. |
ccode |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
ccpt |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
cef_version |
Non mappé | Usage interne uniquement. |
cicode |
principal.location.city |
Informations sur les villes extraites des données LEEF. |
client.domain |
principal.hostname, principal.asset.hostname |
Domaine client à partir de la charge utile JSON. |
client.geo.country_iso_code |
principal.location.country_or_region |
Code pays de la charge utile JSON. |
client.ip |
principal.ip, principal.asset.ip |
Adresse IP du client à partir de la charge utile JSON. |
cn1 |
network.http.response_code |
Code de réponse HTTP extrait des données LEEF ou CEF. Converti en entier. |
context_key |
target.resource.name |
Clé de contexte de la charge utile JSON, utilisée comme nom de ressource. |
cpt |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
cs1 |
security_result.detection_fields |
Si ce paramètre est présent et ne correspond pas à "N/A", il crée un champ de détection avec la clé de cs1Label et la valeur de cs1. |
cs2 |
security_result.detection_fields |
Crée un champ de détection avec la clé cs2Label et la valeur cs2. |
cs3 |
security_result.detection_fields |
Si ce paramètre est présent et ne correspond pas à "-", il crée un champ de détection avec la clé de cs3Label et la valeur de cs3. |
cs4 |
security_result.detection_fields |
Crée un champ de détection avec la clé cs4Label et la valeur cs4. |
cs5 |
security_result.detection_fields |
Crée un champ de détection avec la clé cs5Label et la valeur cs5. |
cs6 |
principal.application |
Application utilisée par le responsable, extraite des données LEEF. |
cs7 |
principal.location.region_latitude |
Latitude extraite des données LEEF ou CEF. Convertie en float. |
cs8 |
principal.location.region_longitude |
Longitude extraite des données LEEF ou CEF. Converti en float. |
cs9 |
security_result.rule_name, extensions.vulns.vulnerabilities.name |
Nom de la règle ou nom de la faille, en fonction du format du journal. |
Customer |
target.user.user_display_name |
Nom du client à partir des données LEEF, mappé sur le nom à afficher de l'utilisateur cible. |
data |
Divers (voir les autres champs) | Champ de données de journal brutes contenant CEF, LEEF ou JSON. |
description |
security_result.threat_name (CEF), metadata.description (analyse des attaques) |
Description des journaux CEF ou Attack Analytics, mappée sur le nom de la menace ou la description des métadonnées. |
deviceExternalId |
network.community_id |
ID de l'appareil à partir des données LEEF, mappé sur l'ID de la communauté réseau. |
deviceFacility |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
deviceReceiptTime |
metadata.event_timestamp |
Code temporel extrait de différents champs (rt, start, log_timestamp) en fonction de la disponibilité et du format. Analysé à l'aide du filtre date. |
dhost |
target.hostname |
Nom d'hôte de destination à partir des données CEF. |
dproc |
security_result.category_details |
Processus de l'appareil (par exemple, (navigateur, bot) à partir des données LEEF. |
dst |
target.ip, target.asset.ip |
Adresse IP de destination à partir des données CEF ou LEEF. |
dpt |
target.port |
Port de destination à partir des données CEF. Converti en entier. |
duser |
target.user.userid |
ID utilisateur de destination à partir des données CEF. |
end |
security_result.detection_fields |
Crée un champ de détection avec la clé "event_end_time" et la valeur de end. |
event.id |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
event_attributes |
Divers (voir les autres champs) | Attributs extraits des données LEEF. |
event_id |
Non mappé | Usage interne uniquement. |
fileId |
network.session_id |
ID de fichier à partir des données LEEF, mappé sur l'ID de session réseau. |
filePermission |
security_result.detection_fields, security_result.rule_type |
Autorisation de fichier à partir des données LEEF, utilisée comme champ de détection et type de règle. |
fileType |
security_result.detection_fields, security_result.rule_type |
Type de fichier à partir des données LEEF, utilisé comme champ de détection et type de règle. |
flexString1 |
network.http.response_code |
Code de réponse des données CEF. Converti en entier. |
http.request.body.bytes |
network.sent_bytes |
Octets envoyés dans le corps de la requête HTTP à partir de la charge utile JSON. Converti en entier sans signature. |
http.request.method |
network.http.method |
Méthode de requête HTTP à partir de la charge utile JSON. |
imperva.abp.apollo_rule_versions |
security_result.detection_fields |
Crée des champs de détection pour chaque version de règle Apollo. |
imperva.abp.bot_behaviors |
security_result.detection_fields |
Crée des champs de détection pour chaque comportement de bot. |
imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crée des champs de détection pour chaque ID de condition de décision de robot. |
imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crée des champs de détection pour chaque nom de condition de décision du bot. |
imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crée des champs de détection pour chaque ID de condition déclenchée par un robot. |
imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crée des champs de détection pour chaque nom de condition déclenchée par un bot. |
imperva.abp.bot_violations |
security_result.detection_fields |
Crée des champs de détection pour chaque infraction liée à un bot. |
imperva.abp.customer_request_id |
network.session_id |
ID de la requête client à partir de la charge utile JSON, utilisé comme ID de session réseau. |
imperva.abp.deciding_tags |
Non mappé | Ces balises ne sont pas actuellement mappées à l'objet IDM. |
imperva.abp.hsig |
security_result.detection_fields |
Crée un champ de détection avec la clé "hsig" et la valeur de imperva.abp.hsig. |
imperva.abp.headers_accept |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
imperva.abp.headers_accept_charset |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
imperva.abp.header_names |
Non mappé | Ces noms d'en-tête ne sont pas actuellement mappés à l'objet IDM. |
imperva.abp.headers_cookie_length |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
imperva.abp.header_lengths |
Non mappé | Ces longueurs d'en-tête ne sont actuellement pas mappées à l'objet IDM. |
imperva.abp.monitor_action |
security_result.action (AUTORISATION/BLOCAGE), security_result.severity (INFORMATION) |
Surveillez l'action à partir de la charge utile JSON. "allow" correspond à la sévérité ALLOW et INFORMATIONAL. "captcha" et "block" sont mappés sur "BLOCK". |
imperva.abp.pid |
principal.process.pid |
ID de processus de la charge utile JSON. |
imperva.abp.policy_id |
security_result.detection_fields |
Crée un champ de détection avec la clé "ID de stratégie" et la valeur de imperva.abp.policy_id. |
imperva.abp.policy_name |
security_result.detection_fields |
Crée un champ de détection avec la clé "Nom de la règle" et la valeur de imperva.abp.policy_name. |
imperva.abp.random_id |
additional.fields |
Crée un champ supplémentaire avec la clé "ID aléatoire" et la valeur de imperva.abp.random_id. |
imperva.abp.request_path_decoded |
target.process.file.full_path |
Chemin de requête décodé à partir de la charge utile JSON, utilisé comme chemin de processus. |
imperva.abp.request_type |
principal.labels |
Type de requête à partir de la charge utile JSON, utilisé comme étiquette principale. |
imperva.abp.selector |
security_result.detection_fields |
Crée un champ de détection avec la clé "sélecteur" et la valeur de imperva.abp.selector. |
imperva.abp.selector_derived_id |
security_result.detection_fields |
Crée un champ de détection avec la clé "selector_derived_id" et la valeur de imperva.abp.selector_derived_id. |
imperva.abp.tls_fingerprint |
security_result.description |
Empreinte TLS de la charge utile JSON, utilisée comme description des résultats de sécurité. |
imperva.abp.triggered_tags |
Non mappé | Ces balises ne sont pas actuellement mappées à l'objet IDM. |
imperva.abp.zuid |
additional.fields |
Crée un champ supplémentaire avec la clé "zuid" et la valeur de imperva.abp.zuid. |
imperva.additional_factors |
additional.fields |
Crée des champs supplémentaires pour chaque facteur supplémentaire. |
imperva.audit_trail.event_action |
security_result.detection_fields |
Crée un champ de détection avec la clé event_action et la valeur event_action_description. |
imperva.audit_trail.event_action_description |
security_result.detection_fields |
Utilisé comme valeur pour le champ de détection créé à partir de event_action. |
imperva.audit_trail.event_context |
security_result.detection_fields |
Crée un champ de détection avec la clé event_context et la valeur event_context_description. |
imperva.audit_trail.event_context_description |
security_result.detection_fields |
Utilisé comme valeur pour le champ de détection créé à partir de event_context. |
imperva.classified_client |
security_result.detection_fields |
Crée un champ de détection avec la clé "classified_client" et la valeur de imperva.classified_client. |
imperva.country |
principal.location.country_or_region |
Code pays de la charge utile JSON. |
imperva.credentials_leaked |
security_result.detection_fields |
Crée un champ de détection avec la clé "credentials_leaked" et la valeur de imperva.credentials_leaked. |
imperva.declared_client |
security_result.detection_fields |
Crée un champ de détection avec la clé "declared_client" et la valeur de imperva.declared_client. |
imperva.device_reputation |
additional.fields |
Crée un champ supplémentaire avec la clé "device_reputation" et une liste de valeurs à partir de imperva.device_reputation. |
imperva.domain_risk |
security_result.detection_fields |
Crée un champ de détection avec la clé "domain_risk" et la valeur de imperva.domain_risk. |
imperva.failed_logins_last_24h |
security_result.detection_fields |
Crée un champ de détection avec la clé "failed_logins_last_24h" et la valeur de imperva.failed_logins_last_24h. |
imperva.fingerprint |
security_result.detection_fields |
Crée un champ de détection avec la clé "log_imperva_fingerprint" et la valeur de imperva.fingerprint. |
imperva.ids.account_id |
metadata.product_log_id |
ID de compte de la charge utile JSON, utilisé comme ID de journal du produit. |
imperva.ids.account_name |
metadata.product_event_type |
Nom du compte de la charge utile JSON, utilisé comme type d'événement produit. |
imperva.ids.site_id |
additional.fields |
Crée un champ supplémentaire avec la clé "site_id" et la valeur de imperva.ids.site_id. |
imperva.ids.site_name |
additional.fields |
Crée un champ supplémentaire avec la clé "site_name" et la valeur de imperva.ids.site_name. |
imperva.referrer |
network.http.referral_url |
URL de référence de la charge utile JSON. |
imperva.request_id |
network.session_id |
ID de requête de la charge utile JSON, utilisé comme ID de session réseau. |
imperva.request_session_id |
network.session_id |
Demander l'ID de session à partir de la charge utile JSON, utilisé comme ID de session réseau. |
imperva.request_user |
security_result.detection_fields |
Crée un champ de détection avec la clé "request_user" et la valeur de imperva.request_user. |
imperva.risk_level |
security_result.severity (ÉLEVÉ/CRITIQUE/MOYEN/BAS), security_result.severity_details |
Niveau de risque de la charge utile JSON. Mappé à la gravité de l'UDM. Utilisé également comme informations sur la gravité. |
imperva.risk_reason |
security_result.description |
Raison du risque de la charge utile JSON, utilisée comme description du résultat de sécurité. |
imperva.significant_domain_name |
security_result.detection_fields |
Crée un champ de détection avec la clé "nom_de_domaine_important" et la valeur de imperva.significant_domain_name. |
imperva.successful_logins_last_24h |
security_result.detection_fields |
Crée un champ de détection avec la clé "successful_logins_last_24h" et la valeur de imperva.successful_logins_last_24h. |
imperva.violated_directives |
security_result.detection_fields |
Crée des champs de détection pour chaque directive non respectée. |
in |
network.received_bytes |
Octets reçus sur le réseau à partir des données LEEF. Converti en entier sans signature. |
leef_version |
Non mappé | Usage interne uniquement. |
log.@timestamp |
metadata.event_timestamp |
Code temporel de la charge utile JSON, analysé à l'aide du filtre date. Utilisé si log.time n'est pas disponible. |
log.client.geo.country_iso_code |
principal.location.country_or_region |
Code pays de la charge utile JSON imbriquée. |
log.client.ip |
principal.ip, principal.asset.ip |
Adresse IP du client à partir de la charge utile JSON imbriquée. |
log.context_key |
target.resource.name |
Clé de contexte de la charge utile JSON imbriquée, utilisée comme nom de ressource. |
log.event.provider |
principal.user.user_display_name |
Fournisseur d'événements à partir de la charge utile JSON imbriquée, utilisé comme nom à afficher de l'utilisateur principal. |
log.http.request.body.bytes |
network.sent_bytes |
Octets du corps de la requête à partir de la charge utile JSON imbriquée. Converti en entier sans signature. |
log.http.request.method |
network.http.method, network.application_protocol (HTTP) |
Méthode HTTP à partir de la charge utile JSON imbriquée. Si présent, définit le protocole d'application sur HTTP. |
log.imperva.abp.bot_behaviors |
security_result.detection_fields |
Crée des champs de détection pour chaque comportement de bot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.bot_deciding_condition_ids |
security_result.detection_fields |
Crée des champs de détection pour chaque ID de condition de décision de bot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.bot_deciding_condition_names |
security_result.detection_fields |
Crée des champs de détection pour chaque nom de condition de décision de bot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.bot_triggered_condition_ids |
security_result.detection_fields |
Crée des champs de détection pour chaque ID de condition déclenchée par un robot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.bot_triggered_condition_names |
security_result.detection_fields |
Crée des champs de détection pour chaque nom de condition déclenchée par un robot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.bot_violations |
security_result.detection_fields |
Crée des champs de détection pour chaque infraction liée à un robot à partir d'une charge utile JSON imbriquée. |
log.imperva.abp.customer_request_id |
network.session_id |
ID de requête client à partir de la charge utile JSON imbriquée, utilisé comme ID de session réseau. |
log.imperva.abp.headers_accept |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.headers_accept_charset |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.headers_accept_encoding |
security_result.detection_fields |
Crée un champ de détection avec la clé "Accept Encoding" et la valeur de log.imperva.abp.headers_accept_encoding. |
log.imperva.abp.headers_accept_language |
security_result.detection_fields |
Crée un champ de détection avec la clé "Accept Language" (Langue acceptée) et la valeur de log.imperva.abp.headers_accept_language. |
log.imperva.abp.headers_cf_connecting_ip |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.headers_connection |
security_result.detection_fields |
Crée un champ de détection avec la clé "headers_connection" et la valeur de log.imperva.abp.headers_connection. |
log.imperva.abp.headers_cookie_length |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.headers_host |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.header_lengths |
Non mappé | Ces longueurs d'en-tête ne sont actuellement pas mappées à l'objet IDM. |
log.imperva.abp.header_names |
Non mappé | Ces noms d'en-tête ne sont pas actuellement mappés à l'objet IDM. |
log.imperva.abp.hsig |
security_result.detection_fields |
Crée un champ de détection avec la clé "hsig" et la valeur de log.imperva.abp.hsig. |
log.imperva.abp.monitor_action |
security_result.action (AUTORISATION/BLOCAGE), security_result.severity (INFORMATION) |
Surveillez l'action à partir d'une charge utile JSON imbriquée. "allow" correspond à la sévérité ALLOW et INFORMATIONAL. "captcha" et "block" sont mappés sur "BLOCK". |
log.imperva.abp.pid |
principal.process.pid |
ID de processus à partir de la charge utile JSON imbriquée. |
log.imperva.abp.policy_id |
security_result.detection_fields |
Crée un champ de détection avec la clé "ID de stratégie" et la valeur de log.imperva.abp.policy_id. |
log.imperva.abp.policy_name |
security_result.detection_fields |
Crée un champ de détection avec la clé "Nom de la règle" et la valeur de log.imperva.abp.policy_name. |
log.imperva.abp.random_id |
additional.fields |
Crée un champ supplémentaire avec la clé "ID aléatoire" et la valeur de log.imperva.abp.random_id. |
log.imperva.abp.request_path_decoded |
target.process.file.full_path |
Chemin de requête décodé à partir de la charge utile JSON imbriquée, utilisé comme chemin de processus. |
log.imperva.abp.request_type |
principal.labels |
Type de requête à partir de la charge utile JSON imbriquée, utilisée comme étiquette principale. |
log.imperva.abp.selector |
security_result.detection_fields |
Crée un champ de détection avec la clé "sélecteur" et la valeur de log.imperva.abp.selector. |
log.imperva.abp.selector_derived_id |
security_result.detection_fields |
Crée un champ de détection avec la clé "selector_derived_id" et la valeur de log.imperva.abp.selector_derived_id. |
log.imperva.abp.tls_fingerprint |
security_result.description |
Empreinte TLS de la charge utile JSON imbriquée, utilisée comme description des résultats de sécurité. |
log.imperva.abp.token_expire |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
log.imperva.abp.token_id |
target.resource.product_object_id |
ID de jeton de la charge utile JSON imbriquée, utilisé comme ID d'objet de produit de ressource. |
log.imperva.abp.triggered_tags |
Non mappé | Ces balises ne sont pas actuellement mappées à l'objet IDM. |
log.imperva.abp.zuid |
additional.fields |
Crée un champ supplémentaire avec la clé "zuid" et la valeur de log.imperva.abp.zuid. |
log.imperva.additional_factors |
additional.fields |
Crée des champs supplémentaires pour chaque facteur supplémentaire à partir de la charge utile JSON imbriquée. |
log.imperva.audit_trail.event_action |
security_result.detection_fields |
Crée un champ de détection avec la clé de event_action et la valeur de event_action_description à partir de la charge utile JSON imbriquée. |
log.imperva.audit_trail.event_action_description |
security_result.detection_fields |
Utilisé comme valeur pour le champ de détection créé à partir de event_action à partir de la charge utile JSON imbriquée. |
log.imperva.audit_trail.event_context |
security_result.detection_fields |
Crée un champ de détection avec la clé de event_context et la valeur de event_context_description à partir de la charge utile JSON imbriquée. |
log.imperva.audit_trail.event_context_description |
security_result.detection_fields |
Utilisé comme valeur pour le champ de détection créé à partir de event_context à partir de la charge utile JSON imbriquée. |
log.imperva.classified_client |
security_result.detection_fields |
Crée un champ de détection avec la clé "classified_client" et la valeur de log.imperva.classified_client. |
log.imperva.country |
principal.location.country_or_region |
Code pays de la charge utile JSON imbriquée. |
log.imperva.credentials_leaked |
security_result.detection_fields |
Crée un champ de détection avec la clé "credentials_leaked" et la valeur de log.imperva.credentials_leaked. |
log.imperva.declared_client |
security_result.detection_fields |
Crée un champ de détection avec la clé "declared_client" et la valeur de log.imperva.declared_client. |
log.imperva.device_reputation |
additional.fields |
Crée un champ supplémentaire avec la clé "device_reputation" et une liste de valeurs à partir de log.imperva.device_reputation. |
log.imperva.domain_risk |
security_result.detection_fields |
Crée un champ de détection avec la clé "domain_risk" et la valeur de log.imperva.domain_risk. |
log.imperva.failed_logins_last_24h |
security_result.detection_fields |
Crée un champ de détection avec la clé "failed_logins_last_24h" et la valeur de log.imperva.failed_logins_last_24h. |
log.imperva.fingerprint |
security_result.detection_fields |
Crée un champ de détection avec la clé "log_imperva_fingerprint" et la valeur de log.imperva.fingerprint. |
log.imperva.ids.account_id |
metadata.product_log_id |
ID de compte de la charge utile JSON imbriquée, utilisé comme ID de journal du produit. |
log.imperva.ids.account_name |
metadata.product_event_type |
Nom du compte à partir de la charge utile JSON imbriquée, utilisé comme type d'événement produit. |
log.imperva.ids.site_id |
additional.fields |
Crée un champ supplémentaire avec la clé "site_id" et la valeur de log.imperva.ids.site_id. |
log.imperva.ids.site_name |
additional.fields |
Crée un champ supplémentaire avec la clé "site_name" et la valeur de log.imperva.ids.site_name. |
log.imperva.path |
principal.process.file.full_path |
Chemin de la charge utile JSON imbriquée, utilisé comme chemin de processus. |
log.imperva.referrer |
network.http.referral_url |
URL de référence à partir d'une charge utile JSON imbriquée. |
log.imperva.request_id |
network.session_id |
ID de requête de la charge utile JSON imbriquée, utilisé comme ID de session réseau. |
log.imperva.request_session_id |
network.session_id |
Demander l'ID de session à partir de la charge utile JSON imbriquée, utilisée comme ID de session réseau. |
log.imperva.request_user |
security_result.detection_fields |
Crée un champ de détection avec la clé "request_user" et la valeur de log.imperva.request_user. |
log.imperva.risk_level |
security_result.severity (ÉLEVÉ/CRITIQUE/MOYEN/BAS), security_result.severity_details |
Niveau de risque de la charge utile JSON imbriquée. Mappé à la gravité de l'UDM. Utilisé également comme informations sur la gravité. |
log.imperva.risk_reason |
security_result.description |
Raison du risque de la charge utile JSON imbriquée, utilisée comme description du résultat de sécurité. |
log.imperva.significant_domain_name |
security_result.detection_fields |
Crée un champ de détection avec la clé "nom_de_domaine_important" et la valeur de log.imperva.significant_domain_name. |
log.imperva.successful_logins_last_24h |
security_result.detection_fields |
Crée un champ de détection avec la clé "successful_logins_last_24h" et la valeur de log.imperva.successful_logins_last_24h. |
log.imperva.violated_directives |
security_result.detection_fields |
Crée des champs de détection pour chaque directive non respectée à partir de la charge utile JSON imbriquée. |
log.message |
metadata.description |
Message de la charge utile JSON imbriquée, utilisé comme description des métadonnées si aucune autre description n'est disponible. |
log.resource_id |
target.resource.id |
ID de ressource de la charge utile JSON imbriquée. |
log.resource_type_key |
target.resource.type |
Clé de type de ressource à partir de la charge utile JSON imbriquée. |
log.server.domain |
target.hostname, target.asset.hostname |
Domaine du serveur à partir de la charge utile JSON imbriquée. |
log.server.geo.name |
target.location.name |
Nom de l'emplacement du serveur à partir de la charge utile JSON imbriquée. |
log.time |
metadata.event_timestamp |
Code temporel de la charge utile JSON imbriquée, analysé à l'aide du filtre date. |
log.type_key |
metadata.product_event_type |
Clé de type à partir de la charge utile JSON imbriquée, utilisée comme type d'événement produit. |
log.user.email |
principal.user.email_addresses |
Adresse e-mail de l'utilisateur à partir de la charge utile JSON imbriquée. |
log.user_agent.original |
network.http.parsed_user_agent |
User-agent de la charge utile JSON imbriquée, analysé à l'aide du filtre useragent. |
log.user_details |
principal.user.email_addresses |
Détails utilisateur de la charge utile JSON imbriquée, utilisés comme adresse e-mail s'ils correspondent au format d'adresse e-mail. |
log.user_id |
principal.user.userid |
ID utilisateur de la charge utile JSON imbriquée. |
log_timestamp |
metadata.event_timestamp |
Code temporel du journal provenant de syslog, utilisé comme code temporel d'événement si d'autres codes temporels ne sont pas disponibles. |
log_type |
Non mappé | Usage interne uniquement. |
message |
Divers (voir les autres champs) | Champ du message contenant les données de journalisation. |
metadata.event_type |
metadata.event_type |
Définissez-le sur "NETWORK_HTTP" pour les journaux CEF et JSON, "SCAN_UNCATEGORIZED" pour les journaux d'analyse des attaques, "USER_UNCATEGORIZED" si src est défini sur "Distributed" (Distribué), "USER_STATS" pour les journaux JSON avec type_key, "STATUS_UPDATE" pour les journaux JSON avec l'adresse IP ou le domaine client et le domaine du serveur, et "GENERIC_EVENT" pour les autres journaux JSON. |
metadata.log_type |
metadata.log_type |
Définissez-le sur "IMPERVA_WAF". |
metadata.product_event_type |
metadata.product_event_type |
Renseigné à partir de différents champs en fonction du format de journal (csv.event_id, log.imperva.ids.account_name, log.type_key). |
metadata.product_name |
metadata.product_name |
Définissez-le sur "Pare-feu d'application Web". |
metadata.vendor_name |
metadata.vendor_name |
Défini sur "Imperva". |
msg |
Non mappé | Ce champ n'est pas mappé à l'objet IDM pour le moment. |
organization |
Non mappé | Usage interne uniquement. |
payload |
Divers (voir les autres champs) | Charge utile extraite des données CEF. |
popName |
intermediary.location.country_or_region |
Nom du point d'accès à partir des données LEEF, mis en correspondance avec l'emplacement intermédiaire. |
postbody |
security_result.detection_fields |
Crée un champ de détection avec la clé "post_body_info" et la valeur de postbody. |
product_version |
Non mappé | Usage interne uniquement. |
proto |
network.application_protocol |
Protocole des données LEEF, mappé sur le protocole d'application réseau. |
protoVer |
network.tls.version, network.tls.cipher |
Version du protocole à partir des données LEEF, analysée pour extraire la version et le chiffrement TLS. |
qstr |
Ajouté à target.url |
Chaîne de requête à partir des données LEEF, ajoutée à l'URL cible. |
ref |
network.http.referral_url |
URL de site référent à partir des données LEEF. |
request |
target.url |
URL de requête à partir des données CEF. |
requestClientApplication |
network.http.user_agent |
Demander l'application cliente à partir de données LEEF ou CEF, mappées sur l'user-agent HTTP du réseau. |
requestContext |
network.http.user_agent |
Contexte de la requête à partir des données CEF, mappé sur l'user-agent HTTP du réseau. |
requestMethod |
network.http.method |
Méthode de requête à partir de données LEEF ou CEF, mappée sur la méthode HTTP du réseau et mise en majuscules. |
resource_id |
target.resource.id |
ID de ressource de la charge utile JSON. |
resource_type_key |
target.resource.type |
Clé de type de ressource de la charge utile JSON. |
rt |
metadata.event_timestamp |
Heure de réception des données CEF, utilisée comme code temporel de l'événement. |
security_result.action |
security_result.action |
Défini en fonction de la valeur de act ou cat. |
security_result.action_details |
security_result.action_details |
Fournit un contexte supplémentaire en fonction de la valeur de act ou cat. |
security_result.category_details |
security_result.category_details |
Définissez ce paramètre sur la valeur dproc. |
security_result.detection_fields |
security_result.detection_fields |
Contient diverses paires clé-valeur extraites des données de journal. |
security_result.description |
security_result.description |
Définissez cette valeur sur imperva.risk_reason ou log.imperva.abp.tls_fingerprint. |
security_result.rule_name |
security_result.rule_name |
Définissez ce paramètre sur la valeur cs9. |
security_result.rule_type |
security_result.rule_type |
Définissez ce paramètre sur la valeur fileType. |
security_result.severity |
security_result.severity |
Défini en fonction de la valeur de sevs ou imperva.risk_level. |
security_result.severity_details |
security_result.severity_details |
Définissez ce paramètre sur la valeur imperva.risk_level. |
security_result.threat_id |
Modifications
2024-04-02
- Mappage de "log.imperva.request_user" sur "security_result.detection_fields".
- Mappage de "log.imperva.classified_client" sur "security_result.detection_fields".
2024-02-26
- Mappage de "log.imperva.request_session_id" sur "network.session_id".
- Mappage de ""log.imperva.successful_logins_last_24h","log.imperva.path" et "log.imperva.failed_logins_last_24h" sur "security_result.detection_fields".
- Mappage de "log.imperva.risk_reason" sur "security_result.severity_details" et "security_result.severity".
- Mappage de "additional_factor","log.imperva.device_reputation" et "log.imperva.credentials_leaked" sur "additional.fields".
- Mappage de "log.imperva.fingerprint" sur "security_result.description".
- Mappage de "log.imperva.referrer" sur "network.http.referral_url".
- Mappage de "log.imperva.classified_client" sur "principal.process.file.full_path"
2024-02-06
- Initialisation de "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name" et "detection_fields_domain_risk" à "null" dans la "boucle for" pour json_array.
2024-01-27
- "description" a été mappé sur "security_result.threat_name".
- Mappage de "severity" sur "security_result.threat_id".
- Mappage de "kv.src", "src" et "log.client.ip" sur "principal.asset.ip".
- Mappage de "kv.dst" et "dst" sur "target.asset.ip".
- Mappage de "kv.dvc" sur "about.asset.ip".
- "kv.cs9" et "cs9" ont été mappés sur "security_result.rule_name".
- Mise en correspondance de "kv.fileType" et "fileType" avec "security_result.rule_type".
- Mappage de "dst" sur "target.asset.ip".
- Mappage de "xff" et "forwardedIp" sur "intermediary.asset.ip".
- Mappage de "log.client.domain" sur "principal.asset.hostname".
- Mappage de "log.server.domain" sur "target.asset.hostname".
2023-10-16
- Correction de bug:
- Initialisation de "security_result" et "security_action" sur "null" dans la "boucle for" pour json_array.
- Ajout d'une vérification de valeur nulle avant de fusionner "security_action" avec "security_result.action".
- Lorsque "log.imperva.abp.monitor_action" est défini sur "block", "security_action" est mappé sur "BLOCK".
2023-09-26
- Mappage de "significant_domain_name", "domain_risk" et "violated_directives" sur "security_result.detection_fields" dans les journaux du CSP.
2023-08-07
- Correction de bug :
- Prise en charge de l'analyse du tableau de journaux JSON.
- Ajout d'un modèle Grok pour vérifier le nom d'hôte avant de mapper "xff" sur "intermediary.hostname".
2023-06-16
- Résolution du problème de pré-envoi en raison d'un seul on_error pour deux champs.
2023-06-16
- Correction de bugs :
- Mappage de "imperva.audit_trail.event_action" sur "security_result.detection_fields".
- Mappage de "imperva.audit_trail.event_action_description" sur "security_result.detection_fields".
- Mappage de "imperva.audit_trail.event_context" sur "security_result.detection_fields".
- Mappage de "imperva.audit_trail.event_context_description" sur "security_result.detection_fields".
- Correction des problèmes d'analyse des codes temporels.
- Journaux non valides supprimés.
2023-06-08
- Amélioration :
- Mappage de "imperva.abp.apollo_rule_versions" sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_violations" sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_behaviors" sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_deciding_condition_ids" sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_deciding_condition_names " sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_triggered_condition_ids" sur "security_result.detection_fields".
- Mappage de "imperva.abp.bot_triggered_condition_names" sur "security_result.detection_fields".
2023-04-26
- Amélioration :
- Définition du champ "kv.src" dans les données d'état.
- Mappage de "kvdata.ver" sur "network.tls.version" et network.tls.cipher.
- Mappage de "kvdata.sip" sur "principal.ip".
- Mappage de "kvdata.spt" sur "principal.port".
- Mappage de "kvdata.act" sur "security_result.action_details".
- Mappage de "kvdata.app" sur "network.application_protocol".
- Mappage de "kvdata.requestMethod" sur "network.http.method".
2023-02-04
- Amélioration :
- Pour le champ "deviceReceiptTime", ajout de rebase = true dans "event.timestamp".
2023-01-19
- Amélioration :
- Ajout de la prise en charge des journaux d'analyseur en ajoutant les mappages suivants.
- Mappage de "event.provider" sur "principal.user.userid".
- "client.ip" a été mappé sur "principal.ip".
- Mappage de "client.domain" sur "principal.hostname".
- Mappage de "imperva.abp.request_type" sur "principal.labels".
- Mappage de "imperva.abp.pid" sur "principal.process.pid".
- Mappage de "client.geo.country_iso_code" sur "principal.location.country_or_region".
- Mappage de "server.domain" sur "target.hostname".
- Mappage de "server.geo.name" sur "target.location.name".
- Mappage de "url.path" sur "target.process.file.full_path".
- Mappage de "imperva.abp.customer_request_id" sur "target.resource.id".
- Mappage de "imperva.abp.token_id" sur "target.resource.product_object_id".
- Mappage de "imperva.abp.random_id" sur "additional.fields".
- Mappage de "http.request.method" sur "network.http.method".
- Mappage de "user_agent.original" sur "network.http.parsed_user_agent".
- Mappage de "imperva.abp.headers_referer" sur "network.http.referral_url".
- Mappage de "imperva.abp.zuid" sur "additional.fields".
- Mappage de "imperva.ids.site_name" sur "additional.fields".
- Mappage de "imperva.ids.site_id" sur "additional.fields".
- Mappage de "imperva.ids.account_name" sur "metadata.product_event_type".
- Mappage de "imperva.ids.account_id" sur "metadata.product_log_id".
- Mappage de "imperva.abp.headers_accept_encoding" sur "security_result.detection_fields".
- Mappage de "imperva.abp.headers_accept_language" sur "security_result.detection_fields".
- Mappage de "imperva.abp.headers_connection" sur "security_result.detection_fields"
- Mappage de "imperva.abp.policy_id" sur "security_result.detection_fields".
- Mappage de "imperva.abp.policy_name" sur "security_result.detection_fields".
- Mappage de "imperva.abp.selector_derived_id" sur "security_result.detection_fields".
- Mappage de "imperva.abp.monitor_action" sur "security_result.action".
2022-06-28
- Amélioration :
- Nom du fournisseur mappé = Imperva et nom du produit = Pare-feu d'application Web pour tous les journaux
- Modification de "metadata.event_type" lorsque "src" est "Distributed", de "GENERIC_EVENT" à "USER_UNCATEGORIZED"
- Modification de "metadata.event_type" de "USER_UNCATEGORIZED" en "USER_STATS"
2022-06-20
- Modèle grok modifié pour le champ "rt".
- Correction de bug : améliorations de security_result.action.
- REQ_PASSED: si la requête a été acheminée vers le serveur Web du site (security_result.action = "ALLOW").
- REQ_CACHED_X: si une réponse a été renvoyée à partir du cache du centre de données (security_result.action = "ALLOW").
- REQ_BAD_X: si une erreur de protocole ou de réseau s'est produite (security_result.action = "FAIL").
- REQ_CHALLENGE_X: si un défi a été renvoyé au client (security_result.action = "BLOCK").
- REQ_BLOCKED_X: si la requête a été bloquée (security_result.action = "BLOCK").
2022-06-14
- Correction de bug : ajout de gsub et modification du filtre kv pour éviter le mappage incorrect des champs "cs1Label", "cs2Label" et "cs3Label" mappés sur le champ UDM "security_result.detection_fields".
2022-05-26
- Correction de bug : suppression du nom de la clé et du caractère deux-points de la valeur des champs de détection.
2022-05-10
- Amélioration : mise en correspondance des champs suivants :
- 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' à 'security_result.detection_fields'.
- "cs7" à "principal.location.region_latitude".
- "cs8" à "principal.location.region_longitude".
- "cn1", "cn2" à "security_result.detection_fields" pour les journaux au format CEF.
- "act" à "security_result.action" et "security_result.action_details" pour les journaux au format CEF.
- "app" à "network.application_protocol" pour les journaux au format CEF.
- "requestClientApplication" à "network.http.user_agent" pour les journaux au format CEF.
- "dvc" à "about.ip" pour les journaux au format CEF.