Mengumpulkan log Citrix StoreFront

Dokumen ini menjelaskan cara menyerap log Citrix StoreFront ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log yang diformat Citrix StoreFront Windows Event Log. Fitur ini menggunakan pengumpulan Log Peristiwa Windows untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa. Parser mengekstrak data dari log JSON Citrix StoreFront dengan menguraikan kolom pesan menjadi masing-masing entitas seperti Session, User, AppInstance, App, Connection, dan Machine menggunakan serangkaian pola grok. Kemudian, kolom yang diekstrak dipetakan ke struktur model data terpadu (UDM), yang diperkaya dengan informasi jaringan, prinsipal, perantara, dan target berdasarkan logika bersyarat dan transformasi data.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps.
• Host Windows 2016 atau yang lebih baru dengan systemd tempat BindPlane akan diinstal
• Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
• Akses istimewa ke server Citrix StoreFront dan konsol pengelolaan
• Akses administratif ke server Windows yang menghosting StoreFront

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap log peristiwa Windows dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:

   1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     windowseventlog/storefront:
       channel: Application
       operators:
         - type: filter
           expr: 'record["source_name"] matches "^Citrix"'
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: 'C:/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: CUSTOMER_ID_PLACEHOLDER
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'CITRIX_STOREFRONT'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/storefront:
         receivers:
           - windowseventlog/storefront
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ganti CUSTOMER_ID_PLACEHOLDER dengan ID Pelanggan yang sebenarnya.
   • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

1. Untuk memulai ulang agen BindPlane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Mengonfigurasi logging peristiwa StoreFront

1. Login ke Server StoreFront dengan hak istimewa administratif.
2. Buka PowerShell sebagai administrator.

3. Muat modul PowerShell StoreFront:

   Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
   

4. Aktifkan logging panjang untuk pemecahan masalah (opsional):

   Set-STFDiagnostics -All -TraceLevel "Info" -confirm:$False
   

5. Pastikan Logging Peristiwa Windows diaktifkan:

   • Buka Event Viewer di server StoreFront.
   • Buka Application and Services Logs > Citrix Delivery Services.
   • Verifikasi bahwa peristiwa dicatat untuk layanan autentikasi, toko, dan Receiver untuk situs Web.

Opsional: Mengonfigurasi pembatasan log peristiwa

1. Buka direktori konfigurasi StoreFront:
   • Layanan autentikasi: C:/inetpub/wwwroot/Citrix/Authentication
   • Toko: C:/inetpub/wwwroot/Citrixstorename
   • Situs Penerima untuk Web: C:/inetpub/wwwroot/Citrixstorename/Web
2. Buka file web.config di setiap direktori menggunakan editor teks.

3. Temukan elemen logger dan konfigurasikan sesuai kebutuhan:

   <logger duplicateInterval="00:01:00" duplicateLimit="10">
   

4. duplicateInterval: Tetapkan jangka waktu dalam jam, menit, dan detik untuk memantau entri log duplikat.

5. duplicateLimit: Menetapkan jumlah entri duplikat yang harus dicatat dalam interval waktu yang ditentukan untuk memicu pembatasan log.

6. Simpan file konfigurasi.

Memverifikasi pengumpulan log

1. Buka Windows Event Viewer di server StoreFront.
2. Buka Windows Logs > Application atau Application and Services Logs > Citrix Delivery Services.
3. Pastikan peristiwa StoreFront sedang dibuat.
4. Periksa log agen Bindplane untuk mengonfirmasi bahwa log diteruskan ke Google SecOps.

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.