Raccogliere i log del web application firewall Imperva Incapsula

Supportato in:

Questo documento descrive come importare i log del firewall delle applicazioni web Imperva Incapsula impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione IMPERVA_WAF.

Configurare Incapsula WAF

  1. Accedi a my.imperva.com con un account lettore.
  2. Seleziona Gestione > Utenti > Aggiungi utente. Solo gli utenti con l'amministratore dell'account o altre autorizzazioni richieste possono aggiungere un nuovo utente all'account. Un'email di verifica viene inviata agli indirizzi elencati dell'utente e dell'amministratore dell'account.
  3. Fai clic sul link nell'email per verificare l'indirizzo email del nuovo utente e impostare una password di accesso.

Genera l'ID API e la chiave API dell'utente lettore

  1. Accedi all'account my.imperva.com.
  2. Vai a Gestione e seleziona Utenti.
  3. Seleziona un utente con il ruolo di lettore.
  4. Vai a Impostazioni e seleziona Chiavi API.
  5. Fornisci un nome per la chiave API.
  6. Nell'elenco La chiave API scadrà il giorno, seleziona Mai.
  7. Per attivare lo stato, seleziona Stato.
  8. Fai clic su Salva.
  9. Copia e salva la chiave API e l'ID API dalla finestra di dialogo visualizzata. La chiave API e l'ID API sono necessari per configurare il feed di Google Security Operations.
  10. (Facoltativo) Puoi fornire un elenco di indirizzi IP approvati o lasciarlo vuoto.

Configura un feed in Google Security Operations per importare i log del firewall delle applicazioni web Imperva Incapsula

  1. Seleziona Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Inserisci un nome univoco per il nome del feed.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Imperva come Tipo di log.
  6. Fornisci l'ID API e la chiave API in Configurazione dell'intestazione HTTP di autenticazione.
  7. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser gestisce i log formattati CEF (Common Event Format) e LEEF (Log Event Extended Format) di Imperva Web Application Firewall (WAF), nonché i log formattati JSON. Estrae i campi, esegue trasformazioni dei dati e mappa i dati all'UDM in base al formato del log rilevato. Il parser gestisce anche tipi di eventi Imperva specifici come "Attack Analytics" e varie azioni come "allow", "block" e "deny", mappandoli ai campi UDM appropriati.

Tabella di mappatura UDM del parser Imperva

Campo log Mappatura UDM Logica
account_id target.user.userid L'ID account del payload JSON è mappato all'ID dell'utente di destinazione.
act security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details Il campo act determina l'azione UDM e i relativi dettagli. allowed, alert, REQ_PASSED, REQ_CACHED mappati su ALLOW. deny, blocked, REQ_BLOCKED, REQ_CHALLENGE mappati a BLOCCO. REQ_BAD corrisponde a FAIL. I dettagli dell'azione forniscono ulteriore contesto in base al valore act specifico.
additionalReqHeaders Non mappato Al momento queste intestazioni non sono mappate all'oggetto IDM.
additionalResHeaders Non mappato Al momento queste intestazioni non sono mappate all'oggetto IDM.
app network.application_protocol Il protocollo dell'applicazione (ad es. HTTP, HTTPS) viene estratto dal campo app e scritto in maiuscolo.
calCountryOrRegion principal.location.country_or_region Codice paese o regione estratto dai dati LEEF.
cat security_result.action (ALLOW/BLOCK/FAIL/UNKNOWN), security_result.action_details Logica simile a act per determinare l'azione e i dettagli dell'azione in formato LEEF.
ccode Non mappato Al momento questo campo non è mappato all'oggetto IDM.
ccpt Non mappato Al momento questo campo non è mappato all'oggetto IDM.
cef_version Non mappato Solo per uso interno.
cicode principal.location.city Informazioni sulle città estratte dai dati LEEF.
client.domain principal.hostname, principal.asset.hostname Dominio client dal payload JSON.
client.geo.country_iso_code principal.location.country_or_region Codice paese dal payload JSON.
client.ip principal.ip, principal.asset.ip IP client dal payload JSON.
cn1 network.http.response_code Codice di risposta HTTP estratto dai dati LEEF o CEF. Convertito in numero intero.
context_key target.resource.name Chiave del contesto dal payload JSON, utilizzata come nome della risorsa.
cpt Non mappato Al momento questo campo non è mappato all'oggetto IDM.
cs1 security_result.detection_fields Se presente e non "N/A", crea un campo di rilevamento con la chiave di cs1Label e il valore di cs1.
cs2 security_result.detection_fields Crea un campo di rilevamento con la chiave di cs2Label e il valore di cs2.
cs3 security_result.detection_fields Se presente e non "-", crea un campo di rilevamento con la chiave di cs3Label e il valore di cs3.
cs4 security_result.detection_fields Crea un campo di rilevamento con la chiave di cs4Label e il valore di cs4.
cs5 security_result.detection_fields Crea un campo di rilevamento con la chiave di cs5Label e il valore di cs5.
cs6 principal.application Applicazione utilizzata dal principale, estratta dai dati LEEF.
cs7 principal.location.region_latitude Latitudine estratta dai dati LEEF o CEF. Convertito in numero decimale.
cs8 principal.location.region_longitude Longitudine estratta dai dati LEEF o CEF. Convertito in numero decimale.
cs9 security_result.rule_name, extensions.vulns.vulnerabilities.name Nome della regola o della vulnerabilità, a seconda del formato del log.
Customer target.user.user_display_name Nome del cliente dai dati LEEF, mappato al nome visualizzato dell'utente di destinazione.
data Varie (vedi altri campi) Il campo dei dati dei log non elaborati contenente CEF, LEEF o JSON.
description security_result.threat_name (CEF), metadata.description (Attack Analytics) Descrizione dai log CEF o Attack Analytics, mappata al nome della minaccia o alla descrizione dei metadati.
deviceExternalId network.community_id ID dispositivo dai dati LEEF, mappato all'ID della community di rete.
deviceFacility Non mappato Al momento questo campo non è mappato all'oggetto IDM.
deviceReceiptTime metadata.event_timestamp Timestamp estratto da vari campi (rt, start, log_timestamp) a seconda della disponibilità e del formato. Analizzati utilizzando il filtro date.
dhost target.hostname Nome host di destinazione dai dati CEF.
dproc security_result.category_details Processo del dispositivo (ad es. Browser, Bot) dai dati LEEF.
dst target.ip, target.asset.ip Indirizzo IP di destinazione dai dati CEF o LEEF.
dpt target.port Porta di destinazione dai dati CEF. Convertito in numero intero.
duser target.user.userid ID utente di destinazione dai dati CEF.
end security_result.detection_fields Crea un campo di rilevamento con chiave "event_end_time" e valore da end.
event.id Non mappato Al momento questo campo non è mappato all'oggetto IDM.
event_attributes Varie (vedi altri campi) Attributi estratti dai dati LEEF.
event_id Non mappato Solo per uso interno.
fileId network.session_id ID file dai dati LEEF, mappato all'ID sessione di rete.
filePermission security_result.detection_fields, security_result.rule_type Autorizzazione file dai dati LEEF, utilizzata come campo di rilevamento e tipo di regola.
fileType security_result.detection_fields, security_result.rule_type Tipo di file dai dati LEEF, utilizzato come campo di rilevamento e tipo di regola.
flexString1 network.http.response_code Codice di risposta dai dati CEF. Convertito in numero intero.
http.request.body.bytes network.sent_bytes Byte inviati nel corpo della richiesta HTTP dal payload JSON. Convertito in numero intero senza segno.
http.request.method network.http.method Metodo di richiesta HTTP dal payload JSON.
imperva.abp.apollo_rule_versions security_result.detection_fields Crea campi di rilevamento per ogni versione della regola Apollo.
imperva.abp.bot_behaviors security_result.detection_fields Crea campi di rilevamento per ogni comportamento del bot.
imperva.abp.bot_deciding_condition_ids security_result.detection_fields Crea campi di rilevamento per ogni ID condizione di decisione del bot.
imperva.abp.bot_deciding_condition_names security_result.detection_fields Crea campi di rilevamento per ogni nome della condizione di decisione del bot.
imperva.abp.bot_triggered_condition_ids security_result.detection_fields Crea campi di rilevamento per ogni ID condizione attivata dal bot.
imperva.abp.bot_triggered_condition_names security_result.detection_fields Crea campi di rilevamento per ogni nome della condizione attivata dal bot.
imperva.abp.bot_violations security_result.detection_fields Crea campi di rilevamento per ogni violazione dei bot.
imperva.abp.customer_request_id network.session_id ID richiesta del cliente dal payload JSON, utilizzato come ID sessione di rete.
imperva.abp.deciding_tags Non mappato Al momento questi tag non sono mappati all'oggetto IDM.
imperva.abp.hsig security_result.detection_fields Crea un campo di rilevamento con chiave "hsig" e valore da imperva.abp.hsig.
imperva.abp.headers_accept Non mappato Al momento questo campo non è mappato all'oggetto IDM.
imperva.abp.headers_accept_charset Non mappato Al momento questo campo non è mappato all'oggetto IDM.
imperva.abp.header_names Non mappato Al momento questi nomi di intestazione non sono mappati all'oggetto IDM.
imperva.abp.headers_cookie_length Non mappato Al momento questo campo non è mappato all'oggetto IDM.
imperva.abp.header_lengths Non mappato Al momento queste lunghezze di intestazione non sono mappate all'oggetto IDM.
imperva.abp.monitor_action security_result.action (CONSENTITO/BLOCCA), security_result.severity (INFORMATIVO) Monitora l'azione dal payload JSON. "allow" mappa a ALLOW e a SEVERITÀ INFORMATIVA. "captcha" e "block" mappano a BLOCCO.
imperva.abp.pid principal.process.pid ID processo dal payload JSON.
imperva.abp.policy_id security_result.detection_fields Crea un campo di rilevamento con la chiave "ID criterio" e il valore di imperva.abp.policy_id.
imperva.abp.policy_name security_result.detection_fields Crea un campo di rilevamento con chiave "Nome criterio" e valore da imperva.abp.policy_name.
imperva.abp.random_id additional.fields Crea un campo aggiuntivo con chiave "ID casuale" e valore da imperva.abp.random_id.
imperva.abp.request_path_decoded target.process.file.full_path Percorso della richiesta decodificato dal payload JSON, utilizzato come percorso di elaborazione.
imperva.abp.request_type principal.labels Tipo di richiesta dal payload JSON, utilizzato come etichetta principale.
imperva.abp.selector security_result.detection_fields Crea un campo di rilevamento con chiave "selettore" e valore da imperva.abp.selector.
imperva.abp.selector_derived_id security_result.detection_fields Crea un campo di rilevamento con chiave "selector_derived_id" e valore da imperva.abp.selector_derived_id.
imperva.abp.tls_fingerprint security_result.description Impronta TLS dal payload JSON, utilizzata come descrizione del risultato di sicurezza.
imperva.abp.triggered_tags Non mappato Al momento questi tag non sono mappati all'oggetto IDM.
imperva.abp.zuid additional.fields Crea un campo aggiuntivo con la chiave "zuid" e il valore di imperva.abp.zuid.
imperva.additional_factors additional.fields Crea campi aggiuntivi per ogni fattore aggiuntivo.
imperva.audit_trail.event_action security_result.detection_fields Crea un campo di rilevamento con la chiave di event_action e il valore di event_action_description.
imperva.audit_trail.event_action_description security_result.detection_fields Utilizzato come valore per il campo di rilevamento creato da event_action.
imperva.audit_trail.event_context security_result.detection_fields Crea un campo di rilevamento con la chiave di event_context e il valore di event_context_description.
imperva.audit_trail.event_context_description security_result.detection_fields Utilizzato come valore per il campo di rilevamento creato da event_context.
imperva.classified_client security_result.detection_fields Crea un campo di rilevamento con chiave "classified_client" e valore da imperva.classified_client.
imperva.country principal.location.country_or_region Codice paese dal payload JSON.
imperva.credentials_leaked security_result.detection_fields Crea un campo di rilevamento con la chiave "credentials_leaked" e il valore di imperva.credentials_leaked.
imperva.declared_client security_result.detection_fields Crea un campo di rilevamento con la chiave "declared_client" e il valore da imperva.declared_client.
imperva.device_reputation additional.fields Crea un campo aggiuntivo con la chiave "device_reputation" e un elenco di valori da imperva.device_reputation.
imperva.domain_risk security_result.detection_fields Crea un campo di rilevamento con la chiave "domain_risk" e il valore da imperva.domain_risk.
imperva.failed_logins_last_24h security_result.detection_fields Crea un campo di rilevamento con chiave "failed_logins_last_24h" e valore da imperva.failed_logins_last_24h.
imperva.fingerprint security_result.detection_fields Crea un campo di rilevamento con chiave "log_imperva_fingerprint" e valore da imperva.fingerprint.
imperva.ids.account_id metadata.product_log_id ID account dal payload JSON, utilizzato come ID log del prodotto.
imperva.ids.account_name metadata.product_event_type Nome dell'account dal payload JSON, utilizzato come tipo di evento del prodotto.
imperva.ids.site_id additional.fields Crea un campo aggiuntivo con la chiave "site_id" e il valore di imperva.ids.site_id.
imperva.ids.site_name additional.fields Crea un campo aggiuntivo con la chiave "site_name" e il valore di imperva.ids.site_name.
imperva.referrer network.http.referral_url URL referrer dal payload JSON.
imperva.request_id network.session_id ID richiesta dal payload JSON, utilizzato come ID sessione di rete.
imperva.request_session_id network.session_id Richiedi l'ID sessione dal payload JSON, utilizzato come ID sessione di rete.
imperva.request_user security_result.detection_fields Crea un campo di rilevamento con chiave "request_user" e valore da imperva.request_user.
imperva.risk_level security_result.severity (ELEVATO/CRITICO/MEDIO/BASSO), security_result.severity_details Livello di rischio dal payload JSON. Mappatura alla gravità UDM. Utilizzato anche come dettagli sulla gravità.
imperva.risk_reason security_result.description Motivo del rischio dal payload JSON, utilizzato come descrizione del risultato di sicurezza.
imperva.significant_domain_name security_result.detection_fields Crea un campo di rilevamento con chiave "significant_domain_name" e valore da imperva.significant_domain_name.
imperva.successful_logins_last_24h security_result.detection_fields Crea un campo di rilevamento con la chiave "successful_logins_last_24h" e il valore da imperva.successful_logins_last_24h.
imperva.violated_directives security_result.detection_fields Crea campi di rilevamento per ogni direttiva violata.
in network.received_bytes Byte ricevuti sulla rete dai dati LEEF. Convertito in numero intero senza segno.
leef_version Non mappato Solo per uso interno.
log.@timestamp metadata.event_timestamp Timestamp dal payload JSON, analizzato utilizzando il filtro date. Da utilizzare se log.time non è disponibile.
log.client.geo.country_iso_code principal.location.country_or_region Codice paese dal payload JSON nidificato.
log.client.ip principal.ip, principal.asset.ip IP client dal payload JSON nidificato.
log.context_key target.resource.name Chiave del contesto dal payload JSON nidificato, utilizzata come nome della risorsa.
log.event.provider principal.user.user_display_name Fornitore di eventi dal payload JSON nidificato, utilizzato come nome visualizzato dell'utente principale.
log.http.request.body.bytes network.sent_bytes Byte del corpo della richiesta dal payload JSON nidificato. Convertito in numero intero senza segno.
log.http.request.method network.http.method, network.application_protocol (HTTP) Metodo HTTP dal payload JSON nidificato. Se presente, imposta il protocollo dell'applicazione su HTTP.
log.imperva.abp.bot_behaviors security_result.detection_fields Crea campi di rilevamento per ogni comportamento del bot dal payload JSON nidificato.
log.imperva.abp.bot_deciding_condition_ids security_result.detection_fields Crea campi di rilevamento per ogni ID condizione di decisione del bot dal payload JSON nidificato.
log.imperva.abp.bot_deciding_condition_names security_result.detection_fields Crea campi di rilevamento per ogni nome della condizione di decisione del bot dal payload JSON nidificato.
log.imperva.abp.bot_triggered_condition_ids security_result.detection_fields Crea campi di rilevamento per ogni ID condizione attivata dal bot dal payload JSON nidificato.
log.imperva.abp.bot_triggered_condition_names security_result.detection_fields Crea campi di rilevamento per ogni nome della condizione attivata dal bot dal payload JSON nidificato.
log.imperva.abp.bot_violations security_result.detection_fields Crea campi di rilevamento per ogni violazione del bot dal payload JSON nidificato.
log.imperva.abp.customer_request_id network.session_id ID richiesta del cliente dal payload JSON nidificato, utilizzato come ID sessione di rete.
log.imperva.abp.headers_accept Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.headers_accept_charset Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.headers_accept_encoding security_result.detection_fields Crea un campo di rilevamento con la chiave "Accetta codifica" e il valore da log.imperva.abp.headers_accept_encoding.
log.imperva.abp.headers_accept_language security_result.detection_fields Crea un campo di rilevamento con la chiave "Accept Language" e il valore da log.imperva.abp.headers_accept_language.
log.imperva.abp.headers_cf_connecting_ip Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.headers_connection security_result.detection_fields Crea un campo di rilevamento con chiave "headers_connection" e valore da log.imperva.abp.headers_connection.
log.imperva.abp.headers_cookie_length Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.headers_host Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.header_lengths Non mappato Al momento queste lunghezze di intestazione non sono mappate all'oggetto IDM.
log.imperva.abp.header_names Non mappato Al momento questi nomi di intestazione non sono mappati all'oggetto IDM.
log.imperva.abp.hsig security_result.detection_fields Crea un campo di rilevamento con chiave "hsig" e valore da log.imperva.abp.hsig.
log.imperva.abp.monitor_action security_result.action (CONSENTITO/BLOCCA), security_result.severity (INFORMATIVO) Monitora l'azione dal payload JSON nidificato. "allow" mappa a ALLOW e a SEVERITÀ INFORMATIVA. "captcha" e "block" mappano a BLOCCO.
log.imperva.abp.pid principal.process.pid ID processo dal payload JSON nidificato.
log.imperva.abp.policy_id security_result.detection_fields Crea un campo di rilevamento con la chiave "ID criterio" e il valore da log.imperva.abp.policy_id.
log.imperva.abp.policy_name security_result.detection_fields Crea un campo di rilevamento con chiave "Nome criterio" e valore da log.imperva.abp.policy_name.
log.imperva.abp.random_id additional.fields Crea un campo aggiuntivo con chiave "ID casuale" e valore da log.imperva.abp.random_id.
log.imperva.abp.request_path_decoded target.process.file.full_path Percorso della richiesta decodificato dal payload JSON nidificato, utilizzato come percorso di elaborazione.
log.imperva.abp.request_type principal.labels Tipo di richiesta dal payload JSON nidificato, utilizzato come etichetta principale.
log.imperva.abp.selector security_result.detection_fields Crea un campo di rilevamento con chiave "selettore" e valore da log.imperva.abp.selector.
log.imperva.abp.selector_derived_id security_result.detection_fields Crea un campo di rilevamento con chiave "selector_derived_id" e valore da log.imperva.abp.selector_derived_id.
log.imperva.abp.tls_fingerprint security_result.description Impronta TLS dal payload JSON nidificato, utilizzata come descrizione del risultato di sicurezza.
log.imperva.abp.token_expire Non mappato Al momento questo campo non è mappato all'oggetto IDM.
log.imperva.abp.token_id target.resource.product_object_id ID token dal payload JSON nidificato, utilizzato come ID oggetto prodotto della risorsa.
log.imperva.abp.triggered_tags Non mappato Al momento questi tag non sono mappati all'oggetto IDM.
log.imperva.abp.zuid additional.fields Crea un campo aggiuntivo con la chiave "zuid" e il valore di log.imperva.abp.zuid.
log.imperva.additional_factors additional.fields Crea campi aggiuntivi per ogni fattore aggiuntivo dal payload JSON nidificato.
log.imperva.audit_trail.event_action security_result.detection_fields Crea un campo di rilevamento con chiave da event_action e valore da event_action_description dal payload JSON nidificato.
log.imperva.audit_trail.event_action_description security_result.detection_fields Utilizzato come valore per il campo di rilevamento creato da event_action dal payload JSON nidificato.
log.imperva.audit_trail.event_context security_result.detection_fields Crea un campo di rilevamento con la chiave di event_context e il valore di event_context_description dal payload JSON nidificato.
log.imperva.audit_trail.event_context_description security_result.detection_fields Utilizzato come valore per il campo di rilevamento creato da event_context dal payload JSON nidificato.
log.imperva.classified_client security_result.detection_fields Crea un campo di rilevamento con chiave "classified_client" e valore da log.imperva.classified_client.
log.imperva.country principal.location.country_or_region Codice paese dal payload JSON nidificato.
log.imperva.credentials_leaked security_result.detection_fields Crea un campo di rilevamento con la chiave "credentials_leaked" e il valore di log.imperva.credentials_leaked.
log.imperva.declared_client security_result.detection_fields Crea un campo di rilevamento con la chiave "declared_client" e il valore da log.imperva.declared_client.
log.imperva.device_reputation additional.fields Crea un campo aggiuntivo con la chiave "device_reputation" e un elenco di valori da log.imperva.device_reputation.
log.imperva.domain_risk security_result.detection_fields Crea un campo di rilevamento con la chiave "domain_risk" e il valore da log.imperva.domain_risk.
log.imperva.failed_logins_last_24h security_result.detection_fields Crea un campo di rilevamento con chiave "failed_logins_last_24h" e valore da log.imperva.failed_logins_last_24h.
log.imperva.fingerprint security_result.detection_fields Crea un campo di rilevamento con chiave "log_imperva_fingerprint" e valore da log.imperva.fingerprint.
log.imperva.ids.account_id metadata.product_log_id ID account dal payload JSON nidificato, utilizzato come ID log del prodotto.
log.imperva.ids.account_name metadata.product_event_type Nome dell'account dal payload JSON nidificato, utilizzato come tipo di evento del prodotto.
log.imperva.ids.site_id additional.fields Crea un campo aggiuntivo con la chiave "site_id" e il valore di log.imperva.ids.site_id.
log.imperva.ids.site_name additional.fields Crea un campo aggiuntivo con la chiave "site_name" e il valore di log.imperva.ids.site_name.
log.imperva.path principal.process.file.full_path Percorso dal payload JSON nidificato, utilizzato come percorso di elaborazione.
log.imperva.referrer network.http.referral_url URL referrer dal payload JSON nidificato.
log.imperva.request_id network.session_id ID richiesta dal payload JSON nidificato, utilizzato come ID sessione di rete.
log.imperva.request_session_id network.session_id Richiedi l'ID sessione dal payload JSON nidificato, utilizzato come ID sessione di rete.
log.imperva.request_user security_result.detection_fields Crea un campo di rilevamento con chiave "request_user" e valore da log.imperva.request_user.
log.imperva.risk_level security_result.severity (ELEVATO/CRITICO/MEDIO/BASSO), security_result.severity_details Livello di rischio dal payload JSON nidificato. Mappatura alla gravità UDM. Utilizzato anche come dettagli sulla gravità.
log.imperva.risk_reason security_result.description Motivo del rischio dal payload JSON nidificato, utilizzato come descrizione del risultato di sicurezza.
log.imperva.significant_domain_name security_result.detection_fields Crea un campo di rilevamento con chiave "significant_domain_name" e valore da log.imperva.significant_domain_name.
log.imperva.successful_logins_last_24h security_result.detection_fields Crea un campo di rilevamento con chiave "successful_logins_last_24h" e valore da log.imperva.successful_logins_last_24h.
log.imperva.violated_directives security_result.detection_fields Crea campi di rilevamento per ogni direttiva violata dal payload JSON nidificato.
log.message metadata.description Messaggio dal payload JSON nidificato, utilizzato come descrizione dei metadati se non è disponibile un'altra descrizione.
log.resource_id target.resource.id ID risorsa dal payload JSON nidificato.
log.resource_type_key target.resource.type Chiave del tipo di risorsa dal payload JSON nidificato.
log.server.domain target.hostname, target.asset.hostname Dominio del server dal payload JSON nidificato.
log.server.geo.name target.location.name Nome della posizione del server dal payload JSON nidificato.
log.time metadata.event_timestamp Timestamp dal payload JSON nidificato, analizzato utilizzando il filtro date.
log.type_key metadata.product_event_type Tipo di chiave dal payload JSON nidificato, utilizzato come tipo di evento del prodotto.
log.user.email principal.user.email_addresses Indirizzo email dell'utente dal payload JSON nidificato.
log.user_agent.original network.http.parsed_user_agent User agent dal payload JSON nidificato, analizzato utilizzando il filtro useragent.
log.user_details principal.user.email_addresses Dettagli utente dal payload JSON nidificato, utilizzati come indirizzo email se corrisponde al formato email.
log.user_id principal.user.userid ID utente dal payload JSON nidificato.
log_timestamp metadata.event_timestamp Timestamp del log da syslog, utilizzato come timestamp dell'evento se non sono disponibili altri timestamp.
log_type Non mappato Solo per uso interno.
message Varie (vedi altri campi) Il campo del messaggio contenente i dati del log.
metadata.event_type metadata.event_type Imposta su "NETWORK_HTTP" per i log CEF e JSON, "SCAN_UNCATEGORIZED" per i log di Attack Analytics, "USER_UNCATEGORIZED" se src è "Distributed", "USER_STATS" per i log JSON con type_key, "STATUS_UPDATE" per i log JSON con l'IP o il dominio client e il dominio del server e "GENERIC_EVENT" per gli altri log JSON.
metadata.log_type metadata.log_type Impostato su "IMPERVA_WAF".
metadata.product_event_type metadata.product_event_type Viene compilato da vari campi a seconda del formato del log (csv.event_id, log.imperva.ids.account_name, log.type_key).
metadata.product_name metadata.product_name Imposta su "Web Application Firewall".
metadata.vendor_name metadata.vendor_name Imposta su "Imperva".
msg Non mappato Al momento questo campo non è mappato all'oggetto IDM.
organization Non mappato Solo per uso interno.
payload Varie (vedi altri campi) Payload estratto dai dati CEF.
popName intermediary.location.country_or_region Nome del PoP dai dati LEEF, mappato alla posizione intermedia.
postbody security_result.detection_fields Crea un campo di rilevamento con la chiave "post_body_info" e il valore di postbody.
product_version Non mappato Solo per uso interno.
proto network.application_protocol Protocollo dei dati LEEF, mappato al protocollo di applicazione di rete.
protoVer network.tls.version, network.tls.cipher Versione del protocollo dai dati LEEF, analizzata per estrarre la versione e la crittografia TLS.
qstr Allegato a target.url Stringa di query dai dati LEEF, aggiunta all'URL target.
ref network.http.referral_url URL del referral dai dati LEEF.
request target.url URL richiesta dai dati CEF.
requestClientApplication network.http.user_agent Richiedi l'applicazione client dai dati LEEF o CEF, mappati allo user agent HTTP di rete.
requestContext network.http.user_agent Contesto della richiesta dai dati CEF, mappato allo user agent HTTP di rete.
requestMethod network.http.method Metodo di richiesta dai dati LEEF o CEF, mappato al metodo HTTP di rete e in maiuscolo.
resource_id target.resource.id ID risorsa dal payload JSON.
resource_type_key target.resource.type Chiave del tipo di risorsa dal payload JSON.
rt metadata.event_timestamp Ora di ricezione dai dati CEF, utilizzata come timestamp dell'evento.
security_result.action security_result.action Impostato in base al valore di act o cat.
security_result.action_details security_result.action_details Fornisce un contesto aggiuntivo in base al valore di act o cat.
security_result.category_details security_result.category_details Imposta il valore dproc.
security_result.detection_fields security_result.detection_fields Contiene varie coppie chiave-valore estratte dai dati dei log.
security_result.description security_result.description Impostato sul valore imperva.risk_reason o log.imperva.abp.tls_fingerprint.
security_result.rule_name security_result.rule_name Imposta il valore cs9.
security_result.rule_type security_result.rule_type Imposta il valore fileType.
security_result.severity security_result.severity Impostato in base al valore di sevs o imperva.risk_level.
security_result.severity_details security_result.severity_details Imposta il valore imperva.risk_level.
security_result.threat_id

Modifiche

2024-04-02

  • "log.imperva.request_user" è stato mappato a "security_result.detection_fields".
  • "log.imperva.classified_client" è stato mappato a "security_result.detection_fields".

2024-02-26

  • "log.imperva.request_session_id" è stato mappato a "network.session_id".
  • ""log.imperva.successful_logins_last_24h","log.imperva.path" e "log.imperva.failed_logins_last_24h" sono stati mappati a "security_result.detection_fields".
  • "log.imperva.risk_reason" è stato mappato a "security_result.severity_details" e "security_result.severity".
  • Ho mappato "additional_factor","log.imperva.device_reputation" e "log.imperva.credentials_leaked" a "additional.fields".
  • "log.imperva.fingerprint" è stato mappato a "security_result.description".
  • È stata eseguita la mappatura di "log.imperva.referrer" a "network.http.referral_url".
  • "log.imperva.classified_client" è stato mappato a "principal.process.file.full_path"

2024-02-06

  • Inizializzato "accept_encoding_label", "site_name_label", "random_id_label", "request_type_label", "accept_language_label", "headers_connection_label", "zuid_labels", "site_id_label", "policy_id", "policy_name", "selector_derived_id", "hsig", "selector", "detection_fields_event_action", "detection_fields_event_context", "detection_fields_significant_domain_name" e "detection_fields_domain_risk" su null all'interno del "ciclo for" per json_array.

2024-01-27

  • "description" è stato mappato a "security_result.threat_name".
  • "Severità" è stato mappato a "security_result.threat_id".
  • "kv.src", "src" e "log.client.ip" sono stati mappati a "principal.asset.ip".
  • "kv.dst" e "dst" sono stati mappati a "target.asset.ip".
  • "kv.dvc" è stato mappato a "about.asset.ip".
  • "kv.cs9" e "cs9" sono stati mappati a "security_result.rule_name".
  • "kv.fileType" e "fileType" sono stati mappati a "security_result.rule_type".
  • "dst" è stato mappato a "target.asset.ip".
  • "xff" e "forwardedIp" sono stati mappati a "intermediary.asset.ip".
  • "log.client.domain" è stato mappato a "principal.asset.hostname".
  • "log.server.domain" è stato mappato a "target.asset.hostname".

2023-10-16

  • Correzione di bug:
  • "security_result" e "security_action" sono stati inizializzati a null all'interno del "ciclo for" per json_array.
  • È stato aggiunto un controllo null prima dell'unione di "security_action" a "security_result.action".
  • Quando "log.imperva.abp.monitor_action" è "block", mappa "security_action" a "BLOCK".

2023-09-26

  • "significant_domain_name", "domain_risk" e "violated_directives" sono stati mappati a "security_result.detection_fields" nei log CSP.

2023-08-07

  • Correzione di bug:
  • È stato aggiunto il supporto per l'analisi dell'array di log JSON.
  • È stato aggiunto il pattern Grok per verificare la presenza del nome host prima di mappare "xff" a "intermediary.hostname".

2023-06-16

  • Problema pre-invio risolto a causa di un singolo on_error per due campi.

2023-06-16

  • Correzione di bug:
  • "imperva.audit_trail.event_action" è stato mappato a "security_result.detection_fields".
  • È stata mappata la colonna "imperva.audit_trail.event_action_description" alla colonna "security_result.detection_fields".
  • "imperva.audit_trail.event_context" è stato mappato a "security_result.detection_fields".
  • È stata mappata la colonna "imperva.audit_trail.event_context_description" a "security_result.detection_fields".
  • Sono stati risolti i problemi di analisi del timestamp.
  • Sono stati ignorati i log con formato non corretto.

2023-06-08

  • Miglioramento:
  • È stata eseguita la mappatura di "imperva.abp.apollo_rule_versions" a "security_result.detection_fields".
  • È stata mappata la colonna "imperva.abp.bot_violations" alla colonna "security_result.detection_fields".
  • È stata eseguita la mappatura di "imperva.abp.bot_behaviors" a "security_result.detection_fields".
  • È stata eseguita la mappatura di "imperva.abp.bot_deciding_condition_ids" a "security_result.detection_fields".
  • È stata eseguita la mappatura di "imperva.abp.bot_deciding_condition_names " a "security_result.detection_fields".
  • È stata eseguita la mappatura di "imperva.abp.bot_triggered_condition_ids" a "security_result.detection_fields".
  • È stata eseguita la mappatura di "imperva.abp.bot_triggered_condition_names" a "security_result.detection_fields".

2023-04-26

  • Miglioramento:
  • È stato definito il campo "kv.src" in statedata.
  • "kvdata.ver" è stato mappato a "network.tls.version" e "network.tls.cipher".
  • "kvdata.sip" è stato mappato a "principal.ip".
  • "kvdata.spt" è stato mappato a "principal.port".
  • "kvdata.act" è stato mappato a "security_result.action_details".
  • "kvdata.app" è stato mappato a "network.application_protocol".
  • "kvdata.requestMethod" è stato mappato a "network.http.method".

2023-02-04

  • Miglioramento:
  • Per il campo "deviceReceiptTime" è stato aggiunto rebase = true in "event.timestamp".

2023-01-19

  • Miglioramento:
  • È stato aggiunto il supporto ai log del parser aggiungendo le seguenti mappature.
  • "event.provider" è stato mappato a "principal.user.userid".
  • "client.ip" è stato mappato a "principal.ip".
  • "client.domain" è stato mappato a "principal.hostname".
  • "imperva.abp.request_type" è stato mappato a "principal.labels".
  • "imperva.abp.pid" è stato mappato a "principal.process.pid".
  • "client.geo.country_iso_code" è stato mappato a "principal.location.country_or_region".
  • "server.domain" è stato mappato a "target.hostname".
  • "server.geo.name" è stato mappato a "target.location.name".
  • "url.path" è stato mappato a "target.process.file.full_path".
  • "imperva.abp.customer_request_id" è stato mappato a "target.resource.id".
  • "imperva.abp.token_id" è stato mappato a "target.resource.product_object_id".
  • "imperva.abp.random_id" è stato mappato a "additional.fields".
  • "http.request.method" è stato mappato a "network.http.method".
  • "user_agent.original" è stato mappato a "network.http.parsed_user_agent".
  • È stata mappata la metrica "imperva.abp.headers_referer" a "network.http.referral_url".
  • "imperva.abp.zuid" è stato mappato a "additional.fields".
  • "imperva.ids.site_name" è stato mappato a "additional.fields".
  • "imperva.ids.site_id" è stato mappato a "additional.fields".
  • "imperva.ids.account_name" è stato mappato a "metadata.product_event_type".
  • "imperva.ids.account_id" è stato mappato a "metadata.product_log_id".
  • È stata mappata la colonna "imperva.abp.headers_accept_encoding" a "security_result.detection_fields".
  • È stata mappata la colonna "imperva.abp.headers_accept_language" a "security_result.detection_fields".
  • "imperva.abp.headers_connection" è stato mappato a "security_result.detection_fields"
  • È stato mappato "imperva.abp.policy_id" a "security_result.detection_fields".
  • "imperva.abp.policy_name" è stato mappato a "security_result.detection_fields".
  • È stata mappata la colonna "imperva.abp.selector_derived_id" a "security_result.detection_fields".
  • "imperva.abp.monitor_action" è stato mappato a "security_result.action".

2022-06-28

  • Miglioramento:
  • Vendor.name = Imperva e product.name = Web Application Firewall mappati per tutti i log
  • Modifica di "metadata.event_type" in cui "src" è "Distributed" da "GENERIC_EVENT" a "USER_UNCATEGORIZED"
  • "metadata.event_type" modificato da "USER_UNCATEGORIZED" in "USER_STATS"

2022-06-20

  • Pattern Grok modificato per il campo "rt".
  • Correzione di bug: miglioramenti a security_result.action.
  • REQ_PASSED: se la richiesta è stata indirizzata al server web del sito (security_result.action = "ALLOW").
  • REQ_CACHED_X: se è stata restituita una risposta dalla cache del data center (security_result.action = "ALLOW").
  • REQ_BAD_X: se si è verificato un errore di protocollo o di rete (security_result.action = "FAIL").
  • REQ_CHALLENGE_X: se al client è stata restituita una verifica (security_result.action = "BLOCK").
  • REQ_BLOCKED_X: se la richiesta è stata bloccata (security_result.action = "BLOCK").

2022-06-14

  • Correzione di bug: è stato aggiunto gsub e modificato il filtro kv per evitare la mappatura errata dei campi "cs1Label", "cs2Label", "cs3Label" mappati al campo UDM "security_result.detection_fields".

2022-05-26

  • Correzione di bug: è stato rimosso il nome della chiave e il carattere dei due punti dal valore dei campi di rilevamento.

2022-05-10

  • Miglioramento: sono stati mappati i seguenti campi:
  • 'cs1', 'cs2', 'cs3', 'cs4', 'cs5', 'fileType', 'filePermission' in 'security_result.detection_fields'.
  • 'cs7' a 'principal.location.region_latitude'.
  • 'cs8' a 'principal.location.region_longitude'.
  • "cn1", "cn2" a "security_result.detection_fields" per i log nel formato CEF.
  • "act" in "security_result.action" e "security_result.action_details" per i log nel formato CEF.
  • "app" a "network.application_protocol" per i log nel formato CEF.
  • "requestClientApplication" a "network.http.user_agent" per i log in formato CEF.
  • "dvc" in "about.ip" per i log nel formato CEF.