メインコンテンツまでスキップ
Sumo Logic Japanese

Imperva - Incapsula Web アプリケーション ファイアウォール アプリケーションのログ収集

このページでは、Imperva - Incapsula Web アプリケーション ファイアウォール アプリケーションのログ収集を設定する手順を説明し、クエリの例を示します。

Imperva Incapsula でのログ統合のセットアップ

ログの統合を設定するには、次の手順を実行します。
  1. my.incapsula.com アカウントにログインします。

  2. サイドバーで [Logs (ログ)] > [Log Setup (ログのセットアップ)] をクリックします。
IncapsulaLogin.png
  3. Connection (接続)[Amazon S3] を選択します。
  4. 次に、資格情報を入力します。
    • S3 の [Access key (アクセス キー)]、[Secret key (シークレット キー)]、[Path (パス)] を入力します。パスは、ログを格納するフォルダの場所です。パスは、<Amazon S3 bucket name>/<log folder> の形式で入力します。例: MyBucket/MyIncapsulaLogFolder

    • [Test connection (接続のテスト)] をクリックして、指定したフォルダにテスト ファイルを転送する完全なテスト サイクルを実行します。テスト ファイルに実際のデータは含まれません。転送が完了すると、テスト ファイルは Incapsula により削除されます。

  5. 追加のオプションを設定します。
    • Format (形式)。ログ ファイルの形式を選択します: CEF
    • Compress logs (ログを圧縮)。デフォルトでは、ログ ファイルは圧縮されます。ログを圧縮しないようにするには、このオプションをオフにします。


詳細な手順については、こちらを参照してください。

Sumo Logic でのセットアップ

Sumo Logic のログ収集を設定するには、次の作業を行います。
  1. Sumo Logic の Hosted Collector を追加します。
  2. AWS S3 Source を設定します。

クエリのサンプル

Imperva Incapsula のすべての CEF 項目の parse コマンド

| parse "fileId=* " as ID nodrop
| parse "src=* " as main_client_ip nodrop
| parse "caIP=* " as additional_client_ip nodrop
| parse "requestClientApplication=* cs2" as user_agent nodrop
| parse "request=* " as URL nodrop
| parse "tag=* " as ref_id nodrop
| parse "ccode=* " as country_code nodrop
| parse "cicode=* " as City nodrop
| parse "ccode=[*] " as country_code nodrop
| parse "app=* " as Protocol nodrop
| parse "deviceExternalId=* " as request_id nodrop
| parse "ref=* " as Referrer nodrop
| parse "requestMethod=* " as Method nodrop
| parse "cn1=* " as http_status_code nodrop
| parse "xff=* " as X_Forwarded_For nodrop
| parse "in=* " as content_length nodrop
| parse "suid=* " as account_id nodrop
| parse "Customer=* " as account_name nodrop
| parse "siteid=* " as site_id nodrop
| parse "sourceServiceName=* " as site_name nodrop
| parse "act=* " as request_result nodrop
| parse "postbody=* " as post_body nodrop
| parse "start=* " as request_start_time nodrop
| parse "sip=* " as server_ip nodrop
| parse "spt=* " as server_port nodrop
| parse "qstr=* " as query_string nodrop
| parse "cs1=* " as captcha_support nodrop
| parse "cs2=* cs2" as js_support nodrop
| parse "cs3=* cs3" as cookies_support nodrop
| parse "cs4=* cs4" as visitor_id nodrop
| parse "cs5=* cs5" as Debug nodrop
| parse "cs6=* cs6" as client_app
| parse "cs7=* cs7" as Latitude nodrop
| parse "cs8=* cs8" as Longitude nodrop
| parse "cs9=* cs9" as rule_name nodrop
| parse "filePermission=* " as attack_id nodrop
| parse "fileType=* " as attack_type nodrop
| parse "dproc=* cs6" as browser_type nodrop

上位の攻撃ベクトル

_sourceCategory="Incapsula"
| parse "SIEMintegration|1|1|*|" as policy_type
| parse "sourceServiceName=* " as site_name
| count by policy_type
| top 10 policy_type by _count