Imperva Cloud インテグレーションガイド 🔗
以下の手順は、Imperva Cloud を設定して Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。このインテグレーションでは、Imperva のニアリアルタイム SIEM ログインテグレーション を利用して、ログをお客様の AWS S3 バケットに送信します。
インテグレーションから提供されるデータ🔗
以下の Imperva Cloud WAF イベントタイプ は、Secureworks® Taegis™ XDR で JSON 形式としてサポートされています。
- アカウント乗っ取り防止
- 監査証跡
- クライアントサイド保護
- DDoS 保護
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Imperva Cloud WAF | CloudAudit, Thirdparty | Auth |
- クラウドWAF
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Imperva WAF | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
注意
上記に記載されていない Imperva Cloud のイベントタイプは、generic スキーマに正規化されます。
Imperva Cloud のログを S3 に送信する設定🔗
Imperva Cloud ドキュメント の手順に従い、S3 バケットへのログ転送を設定してください。
ログの送信先として Amazon S3 を選択します。
お客様の AWS 環境で XDR Lambda 関数をデプロイ🔗
こちらの手順 のすべてのステップに従い、Imperva Cloud WAF のログを S3 バケットから XDR へ送信する Lambda 関数をデプロイしてください。
注意
上記の手順は CloudTrail を参照していますが、S3 から XDR へログを送信する仕組みはデータソースに依存しません。必ずすべての手順を実施してください。
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
直近24時間の http イベントを検索する場合:
FROM http WHERE sensor_type = 'IMPERVA_INCAPSULA' and EARLIEST=-24h
重大度が高いイベントを検索する場合:
WHERE sensor_type = 'Imperva Cloud' AND severity = 'high'
特定ホストの http イベントを検索する場合:
FROM http WHERE sensor_type = 'IMPERVA_INCAPSULA' AND @ip = 10.10.10.10
イベント詳細🔗
