Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de Imperva SecureSphere v11.0 a V13 para enviar registros de auditoría de base de datos a JSA

Para enviar registros de auditoría de base de datos de Imperva SecureSphere V11.0 a JSA V13, cree un conjunto de acciones personalizado, agregue una interfaz de acciones y, a continuación, configure una política de auditoría.

  1. Cree un conjunto de acciones personalizado:

    1. Inicie sesión en su sistema Imperva SecureSphere.

    2. En el espacio de trabajo principal, seleccione Directivas >Conjuntos de acciones.

    3. En el panel Conjuntos de acciones, haga clic en el icono verde del signo más.

    4. En el cuadro de texto Conjunto de acciones, escriba un nombre para el conjunto de acciones. Por ejemplo, JSA.

    5. En la lista Aplicar al tipo de evento, seleccione Auditoría.

    6. Haga clic en Crear.

  2. Agregue la interfaz de acciones que desea que forme parte del conjunto de acciones al panel Acciones seleccionadas :

    1. Haga clic en el icono de flecha verde hacia arriba y, a continuación, seleccione Registro del sistema de puerta de enlace >registrar evento de auditoría en Registro del sistema (registro del sistema de puerta de enlace).

    2. Configure los siguientes parámetros de interfaz de acción:

      Parámetro

      Valor

      Nombre

      Escriba el nombre que creó para el conjunto de acciones. Por ejemplo, JSA.

      Protocolo

      Seleccione UDP.

      Host

      Escriba la dirección IP o el nombre de host del dispositivo JSA para el que desea enviar eventos.

      Puerto

      514

      Nivel de registro de Syslog

      Información

      Instalación

      Syslog

      Mensaje
      Nota:

      Los saltos de línea en el ejemplo de código pueden provocar un error en esta configuración. Para cada alerta, copie el bloque de código siguiente en un editor de texto, elimine los saltos de línea y péguelo como una sola línea en el campo Mensaje . 

      LEEF:1.0|Imperva|SecureSphere|$
{SecureSphereVersion}|${Alert.alertType}
${Alert.immediateAction}|Alert ID=$
{Alert.dn}|devTimeFormat=yyyy-MM-dd
HH:mm:ss.S|devTime=${Alert.createTime}|
Alert type=$
{Alert.alertType}|src=${Alert.sourceIp}|
usrName=${Event.struct.user.user}|
Application name=${Alert.applicationName}|
dst=${Event.destInfo.serverIp}|Alert
Description=${Alert.description}|
Severity=${Alert.severity}|Immediate
Action=${Alert.immediateAction}|
SecureSphere Version=$
{SecureSphereVersion}

    1. Active la casilla Ejecutar en cada evento.

  3. Configure una política de auditoría para los eventos que desea enviar a JSA:

    1. En el espacio de trabajo principal, haga clic en Directivas >Auditoría.

    2. Haga clic en Crear servicio de base de datos.

    3. Escriba un nombre para la directiva.

    4. Seleccione Usar existente y, a continuación, seleccione una directiva de la lista.

    5. Haga clic en la ficha Criterios de coincidencia y, a continuación, escriba los criterios para la directiva.

    6. Haga clic en la ficha Aplicar a y, a continuación, seleccione el grupo de servidores.

    7. Haga clic en la pestaña Registrador externo.

    8. En la lista Syslog, seleccione el JSA que configuró.

    9. Si selecciona una directiva predefinida de la lista Syslog, configure los campos Aplicar a y Registrador externo.

    10. Haga clic en Guardar.

Debe definir una política de auditoría o configurar una política predefinida para cada tipo de evento de auditoría que desee enviar a JSA.

Documentación relacionada