Imperva WAF インテグレーションガイド🔗

Impervaは、以下のログ送信手順に従い、syslog経由でTaegis™ XDR Collectorにログを送信するように設定してください。

接続要件🔗

ソース	宛先	ポート/プロトコル
Imperva WAF	XDR Collector (mgmt IP)	UDP/514

インテグレーションから提供されるデータ🔗

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Imperva WAF		HTTP

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

設定手順🔗

Impervaをsyslog経由でSecureworks® Taegis™ XDRにログ送信するには、以下の手順に従ってください。

セキュリティイベント🔗

カスタムアクションセットの作成🔗

Impervaが提供する手順に従い、セキュリティイベント用のカスタムアクションセットを作成します。設定手順を完了する際は、以下の要件を考慮してください。

Name — TDR-SecurityEvents などの分かりやすい名前を入力してください。
Apply to Event Type — Any Event Type を選択してください。

Action Interface — System Log > Log to System Log (syslog) の横にある緑色の上矢印を選択し、このアクションインターフェースを Selected Actions ペインに追加します。このアクションインターフェースは、以下のパラメータで設定してください（Impervaの詳細情報）:

Name — TDR-Customer-Name-SecurityEvents
Syslog Host — XDR Collector のIPアドレス
Syslog Log Level — INFO
Facility — LOCAL6
Run on Every Event — チェックを入れる
Message — 以下をコピー＆ペーストしてください:

    SecSphWeb--OriginGW=${Event.originGWDn};AlertInformation=${Alert.alertMetadata.alertName};displayName=${Rule.parent.displayName};AlertType=${Alert.alertType};Severity=${Alert.severity};AlertNumber=${Alert.dn};EventNumber=${Event.dn};AlertCreateTime=${Alert.createTime};EventCreateTime=${Event.createTime};ServerGroup=${Alert.serverGroupName};AttackedApp=${Alert.applicationName};AttackedService=${Alert.serviceName};AlertDescription=${Alert.description};AlertAction=${Alert.immediateAction};SimulationMode=${Alert.simulationMode};Alert.username=${Alert.username};Alert.aggregationInfo.occurrences=${Alert.aggregationInfo.occurrences};SourceIP=${Event.sourceInfo.sourceIp};SourcePort=${Event.sourceInfo.sourcePort};DestinationIP=${Event.destInfo.serverIp};DestinationPort=${Event.destInfo.serverPort};httpRequest.url.method=${Event.struct.httpRequest.url.method};httpRequest.url.path=${Event.struct.httpRequest.url.path};httpRequest.url.host=${Event.struct.httpRequest.url.host};httpRequest.url.queryString=${Event.struct.httpRequest.url.queryString};httpRequest.url.fullPath=${Event.struct.httpRequest.url.fullPath};httpResponse.responseCode=${Event.struct.httpResponse.responseCode};httpResponse.responseSize=${Event.struct.responseSize};httpResponse.responseTime=${Event.struct.responseTime};Event.struct.user.available=${Event.struct.user.available};Event.rawData=${Event.struct.rawData};HTTPRequestHeaders=#list(${Event.struct.httpRequest.headers} "${item.name} ${item.value}");

WebポリシーのFollowed Action設定🔗

前のセクションで作成した TDR-SecurityEvents アクションセットを、すべてのWebポリシーのFollowed Actionとして適用します。Impervaが提供する手順に従ってください。

ポリシーを選択しFollowed Actionを設定する前に、Security PoliciesウィンドウでWebポリシーのみが表示されるようにフィルタしてください。

注意

Followed Actionは有効なポリシールールにのみ設定できます。

システムイベント🔗

カスタムアクションセットの作成🔗

Impervaが提供する手順に従い、システムイベント用のカスタムアクションセットを作成します。設定手順を完了する際は、以下の要件を考慮してください。

Name — TDR-SystemEvents などの分かりやすい名前を入力してください。
Apply to Event Type — System Events を選択してください。
Action Interface — System Log > Log to System Log (syslog) の横にある緑色の上矢印を選択し、このアクションインターフェースを Selected Actions ペインに追加します。このアクションインターフェースは、以下のパラメータで設定してください（Impervaの詳細情報）:
- Name — TDR-Customer-Name-SystemEvents
- Syslog Host — XDR Collector のIPアドレス
- Syslog Log Level — INFO
- Facility — LOCAL6
- Run on Every Event — チェックを入れる
- Message — 以下をコピー＆ペーストしてください:
```
    SecureSphere category=SystemEvent${Event.createTime}${Event.eventType}${Event.message}${Event.severity.displayName}${Event.username}
```

システムイベントポリシーの作成とFollowed Action設定🔗

Impervaが提供する手順に従い、各システムイベントタイプごとにSystem Eventsポリシーを作成してください。必ずすべてのシステムイベントタイプに対してポリシーを作成してください。

各ポリシーでFollowed Actionタブを選択し、前のセクションで作成した TDR-SystemEvents アクションセットを選択して、Save を選択してください。

ネットワークポリシー🔗

最初のセクションで作成した TDR-SecurityEvents アクションセットを、すべてのネットワークポリシーのFollowed Actionとして適用します。Impervaが提供する手順に従ってください。

ポリシーを選択しFollowed Actionを設定する前に、Security Policiesウィンドウでネットワークポリシーのみが表示されるようにフィルタしてください。

注意

Followed Actionは有効なポリシールールにのみ設定できます。