Citrix StoreFront 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Citrix StoreFront 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 Citrix StoreFront Windows 이벤트 로그 형식 로그에서 필드를 추출합니다. Windows 이벤트 로그 수집을 사용하여 로그 메시지를 파싱한 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑합니다. 또한 이벤트 소스 및 유형의 기본 메타데이터 값을 설정합니다. 파서는 일련의 grok 패턴을 사용하여 메시지 필드를 Session, User, AppInstance, App, Connection, Machine과 같은 개별 항목으로 분류하여 Citrix StoreFront JSON 로그에서 데이터를 추출합니다. 그런 다음 추출된 필드를 통합 데이터 모델 (UDM) 구조에 매핑하고 조건부 로직 및 데이터 변환을 기반으로 네트워크, 주체, 중개자, 타겟 정보를 추가하여 보강합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스입니다.
  • Bindplane이 설치될 systemd가 있는 Windows 2016 이상 호스트
  • 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
  • Citrix StoreFront 서버 및 관리 콘솔에 대한 권한 액세스
  • StoreFront를 호스팅하는 Windows 서버에 대한 관리 액세스

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

Windows 이벤트 로그를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
  windowseventlog/storefront:
    channel: Application
    operators:
      - type: filter
        expr: 'record["source_name"] matches "^Citrix"'

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: 'C:/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: CUSTOMER_ID_PLACEHOLDER
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CITRIX_STOREFRONT'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/storefront:
      receivers:
        - windowseventlog/storefront
      exporters:
        - chronicle/chronicle_w_labels

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  1. Windows에서 BindPlane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

StoreFront 이벤트 로깅 구성

  1. 관리자 권한으로 StoreFront 서버에 로그인합니다.
  2. PowerShell을 관리자로 엽니다.

  3. StoreFront PowerShell 모듈을 로드합니다.

    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands

  4. 문제 해결을 위해 상세 로깅을 사용 설정합니다 (선택사항).

    Set-STFDiagnostics -All -TraceLevel "Info" -confirm:$False

  5. Windows 이벤트 로깅이 사용 설정되어 있는지 확인합니다.

    • StoreFront 서버에서 이벤트 뷰어를 엽니다.
    • Application and Services Logs(애플리케이션 및 서비스 로그) > Citrix Delivery Services(Citrix 전송 서비스)로 이동합니다.
    • 인증 서비스, 스토어, 웹사이트용 수신기에 이벤트가 로깅되는지 확인합니다.

선택사항: 이벤트 로그 제한 구성

  1. StoreFront 구성 디렉터리로 이동합니다.
    • 인증 서비스: C:/inetpub/wwwroot/Citrix/Authentication
    • 매장: C:/inetpub/wwwroot/Citrixstorename
    • 웹사이트 수신자: C:/inetpub/wwwroot/Citrixstorename/Web
  2. 텍스트 편집기를 사용하여 각 디렉터리에서 web.config 파일을 엽니다.

  3. 로거 요소를 찾아 필요에 따라 구성합니다.

    <logger duplicateInterval="00:01:00" duplicateLimit="10">

  4. duplicateInterval: 중복 로그 항목을 모니터링할 기간을 시간, 분, 초 단위로 설정합니다.

  5. duplicateLimit: 로그 제한을 트리거하기 위해 지정된 시간 간격 내에 로깅되어야 하는 중복 항목 수를 설정합니다.

  6. 구성 파일을 저장합니다.

로그 수집 확인

  1. StoreFront 서버에서 Windows 이벤트 뷰어를 엽니다.
  2. Windows 로그 > 애플리케이션 또는 애플리케이션 및 서비스 로그 > Citrix Delivery Services로 이동합니다.
  3. StoreFront 이벤트가 생성되는지 확인합니다.
  4. Bindplane 에이전트 로그를 확인하여 로그가 Google SecOps로 전달되는지 확인합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
App.PublishedName _principal.application 값은 App.PublishedName 필드에서 가져옵니다.
Connection.ClientAddress _principal.asset.ip 값은 Connection.ClientAddress 필드에서 가져옵니다.
Connection.ClientName _principal.asset.hostname 값은 Connection.ClientName 필드에서 가져옵니다.
Connection.ClientPlatform _principal.asset.platform_software.platform 값은 Connection.ClientPlatform 필드에서 가져와 대문자로 변환됩니다. 값이 'WINDOWS', 'MAC', 'LINUX'인 경우 직접 사용됩니다. 그 외에는 값이 'UNKNOWN_PLATFORM'으로 설정됩니다.
Connection.ConnectedViaHostName src.hostname 값은 Connection.ConnectedViaHostName 필드에서 가져옵니다.
Connection.LaunchedViaHostName _intermediary.hostname 값은 Connection.LaunchedViaHostName 필드에서 가져옵니다. 네임스페이스가 'StoreFront server'로 설정됩니다.
Connection.LaunchedViaIPAddress _intermediary.ip 값은 Connection.LaunchedViaIPAddress 필드에서 가져옵니다.
Connection.Protocol network.application_protocol 값은 Connection.Protocol 필드에서 가져옵니다. 값이 'HDX'이면 'UNKNOWN_APPLICATION_PROTOCOL'로 설정됩니다.
Machine.AgentVersion metadata.product_version 값은 Machine.AgentVersion 필드에서 가져옵니다.
Machine.AssociatedUserNames _intermediary.user.userid 값은 Machine.AssociatedUserNames 필드에서 가져옵니다. 각 이름이 추출되어 중간 사용자 객체의 사용자 ID로 사용됩니다.
Machine.AssociatedUserUPNs _target.group.email_addresses 값은 Machine.AssociatedUserUPNs 필드에서 가져옵니다. 각 이메일 주소가 추출되어 타겟 그룹의 email_addresses 필드에 추가됩니다.
Machine.ControllerDnsName _intermediary.hostname 값은 Machine.ControllerDnsName 필드에서 가져옵니다. 네임스페이스가 'Controller'로 설정됩니다.
Machine.CreatedDate _target.asset.attribute.creation_time 값은 Machine.CreatedDate 필드에서 가져와 타임스탬프로 변환됩니다.
Machine.DesktopGroupId _target.group.product_object_id 값은 Machine.DesktopGroupId 필드에서 가져옵니다.
Machine.DnsName _target.asset.network_domain 값은 Machine.DnsName 필드에서 가져옵니다.
Machine.HostedMachineName _target.asset.hostname 값은 Machine.HostedMachineName 필드에서 가져옵니다.
Machine.HostingServerName _intermediary.hostname 이 값은 Machine.HostingServerName 필드에서 가져옵니다. 네임스페이스가 'Hypervisor'로 설정됩니다.
Machine.IPAddress _target.asset.ip 값은 Machine.IPAddress 필드에서 가져옵니다.
Machine.LastDeregisteredDate _target.asset.last_discover_time 값은 Machine.LastDeregisteredDate 필드에서 가져와 타임스탬프로 변환됩니다.
Machine.ModifiedDate _target.asset.system_last_update_time 값은 Machine.ModifiedDate 필드에서 가져와 타임스탬프로 변환됩니다.
Machine.Name _target.asset.asset_id, _target.administrative_domain 이 값은 Machine.Name 필드에서 가져오며 도메인과 애셋 부분으로 분할됩니다. 도메인 부분은 타겟 관리 도메인으로 사용되고, 애셋 부분은 'machine:' 형식으로 타겟 애셋 ID를 구성하는 데 사용됩니다.
Machine.OSType _target.asset.platform_software.platform_version 값은 Machine.OSType 필드에서 가져옵니다.
Machine.PoweredOnDate _target.asset.last_boot_time 값은 Machine.PoweredOnDate 필드에서 가져와 타임스탬프로 변환됩니다.
Machine.RegistrationStateChangeDate _target.asset.first_discover_time 이 값은 Machine.RegistrationStateChangeDate 필드에서 가져와 타임스탬프로 변환됩니다.
Session.EndDate _vulns.last_found 값은 Session.EndDate 필드에서 가져와 타임스탬프로 변환됩니다.
Session.LifecycleState extensions.auth.auth_details 값은 Session.LifecycleState 필드에서 가져옵니다. 값이 0이면 'ACTIVE'로 설정됩니다. 값이 1이면 'DELETED'로 설정됩니다. 값이 2 또는 3이면 'UNKNOWN_AUTHENTICATION_STATUS'로 설정됩니다.
Session.LogOnDuration network.session_duration.seconds 값은 Session.LogOnDuration 필드에서 가져와 정수로 변환됩니다.
Session.SessionKey network.session_id 값은 Session.SessionKey 필드에서 가져옵니다.
Session.StartDate _vulns.first_found 값은 Session.StartDate 필드에서 가져와 타임스탬프로 변환됩니다.
User.Domain _principal.user.company_name, _principal.administrative_domain 이 값은 User.Domain 필드에서 가져오며, 주 사용자의 회사 이름과 주 관리 도메인으로 모두 사용됩니다.
User.FullName _principal.user.user_display_name 값은 User.FullName 필드에서 가져옵니다.
User.Sid _principal.user.windows_sid 값은 User.Sid 필드에서 가져옵니다.
User.Upn _principal.user.email_addresses 이 값은 User.Upn 필드에서 가져와 주 사용자's email_addresses 필드에 추가됩니다.
User.UserName _principal.user.userid 값은 User.UserName 필드에서 가져옵니다.
metadata.event_type 값은 'USER_LOGIN'으로 설정됩니다.
metadata.vendor_name 값은 'Citrix'로 설정됩니다.
metadata.product_name 값은 'Monitor Service OData'로 설정됩니다.
extensions.auth.type 값은 'MACHINE'으로 설정됩니다.
_intermediary.namespace 값은 중개자 객체에 따라 'StoreFront server', 'Controller' 또는 'Hypervisor'로 설정됩니다.
_target.asset.type 값은 'WORKSTATION'으로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.