Imperva - Incapsula Web アプリケーション ファイアウォール アプリケーションのログ収集
このページでは、Imperva - Incapsula Web アプリケーション ファイアウォール アプリケーションのログ収集を設定する手順を説明し、クエリの例を示します。
Imperva Incapsula でのログ統合のセットアップ
ログの統合を設定するには、次の手順を実行します。
- my.incapsula.com アカウントにログインします。
- サイドバーで [Logs (ログ)] > [Log Setup (ログのセットアップ)] をクリックします。
- Connection (接続)。[Amazon S3] を選択します。
- 次に、資格情報を入力します。
- S3 の [Access key (アクセス キー)]、[Secret key (シークレット キー)]、[Path (パス)] を入力します。パスは、ログを格納するフォルダの場所です。パスは、<Amazon S3 bucket name>/<log folder> の形式で入力します。例: MyBucket/MyIncapsulaLogFolder
- [Test connection (接続のテスト)] をクリックして、指定したフォルダにテスト ファイルを転送する完全なテスト サイクルを実行します。テスト ファイルに実際のデータは含まれません。転送が完了すると、テスト ファイルは Incapsula により削除されます。
- 追加のオプションを設定します。
- Format (形式)。ログ ファイルの形式を選択します: CEF
- Compress logs (ログを圧縮)。デフォルトでは、ログ ファイルは圧縮されます。ログを圧縮しないようにするには、このオプションをオフにします。
詳細な手順については、こちらを参照してください。
Sumo Logic でのセットアップ
Sumo Logic のログ収集を設定するには、次の作業を行います。
- Sumo Logic の Hosted Collector を追加します。
- AWS S3 Source を設定します。
クエリのサンプル
Imperva Incapsula のすべての CEF 項目の parse コマンド
| parse "fileId=* " as ID nodrop
| parse "src=* " as main_client_ip nodrop
| parse "caIP=* " as additional_client_ip nodrop
| parse "requestClientApplication=* cs2" as user_agent nodrop
| parse "request=* " as URL nodrop
| parse "tag=* " as ref_id nodrop
| parse "ccode=* " as country_code nodrop
| parse "cicode=* " as City nodrop
| parse "ccode=[*] " as country_code nodrop
| parse "app=* " as Protocol nodrop
| parse "deviceExternalId=* " as request_id nodrop
| parse "ref=* " as Referrer nodrop
| parse "requestMethod=* " as Method nodrop
| parse "cn1=* " as http_status_code nodrop
| parse "xff=* " as X_Forwarded_For nodrop
| parse "in=* " as content_length nodrop
| parse "suid=* " as account_id nodrop
| parse "Customer=* " as account_name nodrop
| parse "siteid=* " as site_id nodrop
| parse "sourceServiceName=* " as site_name nodrop
| parse "act=* " as request_result nodrop
| parse "postbody=* " as post_body nodrop
| parse "start=* " as request_start_time nodrop
| parse "sip=* " as server_ip nodrop
| parse "spt=* " as server_port nodrop
| parse "qstr=* " as query_string nodrop
| parse "cs1=* " as captcha_support nodrop
| parse "cs2=* cs2" as js_support nodrop
| parse "cs3=* cs3" as cookies_support nodrop
| parse "cs4=* cs4" as visitor_id nodrop
| parse "cs5=* cs5" as Debug nodrop
| parse "cs6=* cs6" as client_app
| parse "cs7=* cs7" as Latitude nodrop
| parse "cs8=* cs8" as Longitude nodrop
| parse "cs9=* cs9" as rule_name nodrop
| parse "filePermission=* " as attack_id nodrop
| parse "fileType=* " as attack_type nodrop
| parse "dproc=* cs6" as browser_type nodrop
上位の攻撃ベクトル
_sourceCategory="Incapsula"
| parse "SIEMintegration|1|1|*|" as policy_type
| parse "sourceServiceName=* " as site_name
| count by policy_type
| top 10 policy_type by _count