Imperva Cloud インテグレーションガイド 🔗
以下の手順は、Imperva Cloud を設定して Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。このインテグレーションは ImpervaのNear Real-Time SIEMログインテグレーション を利用して、ログをお客様のAWS S3バケットに送信します。
インテグレーションから提供されるデータ🔗
以下の Imperva Cloud WAFイベントタイプ は、Secureworks® Taegis™ XDR でJSON形式としてサポートされています。
- アカウント乗っ取り防止
- 監査証跡
- クライアントサイド保護
- DDoS防御
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Imperva Cloud WAF | CloudAudit, Thirdparty | Auth |
- クラウドWAF
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Imperva WAF | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
注意
上記に記載されていないImperva Cloudイベントタイプは、genericスキーマに正規化されます。
Imperva CloudのログをS3に送信する設定🔗
Imperva Cloudのドキュメント の手順に従い、S3バケットへのログ転送を設定してください。
ログの送信先として Amazon S3 を選択します。
お客様のAWS環境でXDR Lambda関数をデプロイ🔗
こちらの手順 に従い、Imperva Cloud WAFのログをS3バケットからXDRへ送信するLambda関数をデプロイしてください。
注意
上記の手順はCloudTrailを参照していますが、S3からXDRへログを送信する仕組みはデータソースに依存しません。すべての手順を必ず実施してください。
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
直近24時間のhttpイベントを検索する場合:
FROM http WHERE sensor_type = 'IMPERVA_INCAPSULA' and EARLIEST=-24h
重大度が高いイベントを検索する場合:
WHERE sensor_type = 'Imperva Cloud' AND severity = 'high'
特定ホストのhttpイベントを検索する場合:
FROM http WHERE sensor_type = 'IMPERVA_INCAPSULA' AND @ip = 10.10.10.10
イベント詳細🔗
