Coletar registros do NetScaler

Compatível com:

Neste documento, descrevemos como coletar os registros do NetScaler usando um encaminhador do Google Security Operations.

Para mais informações, consulte Visão geral da ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CITRIX_NETSCALER.

Configurar o NetScaler VPX

Para configurar o NetScaler VPX para enviar registros ao encaminhador das Operações de segurança do Google, faça o seguinte:

Verificar a configuração do nome do host

  1. Faça login na interface da Web do NetScaler usando as credenciais de administrador.
  2. Selecione Configuração > Configurações.
  3. Clique em Nome do host, endereço IP do DNS e fuso horário.
  4. Se o campo Nome do host estiver vazio, insira o nome do host. Não inclua espaços. Se esse campo já estiver configurado, nenhuma ação será necessária.
  5. No campo Endereço IP do DNS, verifique se o endereço IP do DNS local está especificado.
  6. No campo Fuso horário, insira seu fuso horário.

Criar servidor de auditoria

  1. Na interface da Web do NetScaler, selecione Configuration > System > Auditing > Syslog > Servers.
  2. Especifique os detalhes do syslog nos seguintes campos:
    • Nome
    • Tipo de servidor
    • Endereço IP
    • Port
  3. Selecione Níveis de registro como Personalizado.
  4. Selecione todas as caixas de seleção, exceto o nível DEBUG na configuração.
  5. Na lista Facilidade de registro, selecione LOCAL0.
  6. Na lista Formato da data, selecione MMDDYYYY.
  7. Selecione Fuso horário como GMT.
  8. Desmarque as seguintes caixas de seleção:
    • Registro em log do TCP
    • Geração de registros da ACL
    • Mensagens de registro configuráveis pelo usuário
    • Registro em log do AppFlow
    • Geração de registros do NAT em grande escala
    • Registro de mensagens do ALG
    • Registro de assinantes
    • DNS
    • Interceptação de SSL
    • Filtragem de URL
    • Registro de inspeção de conteúdo
  9. Clique em OK para criar o servidor de auditoria.

Vincular a política de auditoria criada ao servidor

  1. Na interface da Web do NetScaler, selecione Configuration > System > Auditing > Syslog.
  2. Clique na guia Políticas.
  3. No campo Nome, insira um nome para a política.
  4. Na lista Servidor, selecione a política da seção anterior.
  5. Clique em Criar.
  6. Clique com o botão direito do mouse na política de auditoria criada e selecione Ação > Associações globais.
  7. Clique em Adicionar vinculação.
  8. Na janela Vinculação de política, faça o seguinte:
    1. No campo Selecionar política, insira a política de auditoria criada.
    2. No painel Detalhes da vinculação, no campo Prioridade, insira 120, que é a prioridade padrão.
    3. Clique em Bind.

Configurar o NetScaler SDX

Para configurar o NetScaler SDX para enviar registros ao encaminhador do Google Security Operations, faça o seguinte:

Verificar a configuração do nome do host para o NetScaler SDX

  1. Faça login na interface da Web do NetScaler usando as credenciais de administrador.
  2. Na interface da Web do NetScaler, selecione System > System settings.
  3. Se o campo Nome do host estiver vazio, insira o nome do host. Não inclua espaços. Se esse campo já estiver configurado, nenhuma ação será necessária.
  4. No campo Fuso horário, selecione UTC ou GMT.

Configurar o servidor syslog

  1. Na interface da Web do NetScaler, selecione System > Notifications > Syslog servers.
  2. No painel Detalhes, clique em Adicionar.
  3. Na janela Criar servidor syslog, especifique valores para os seguintes parâmetros do servidor syslog:
    1. Digite um nome no campo Nome.
    2. No campo Endereço IP, insira o endereço IP do encaminhador do Google Security Operations.
    3. No campo Porta, o número da porta.
    4. Selecione Níveis de registro como Personalizado.
    5. Selecione todos os níveis de registro, exceto Debug.
  4. Clique em Criar.

Configurar os parâmetros do syslog

  1. Na interface da Web do NetScaler, selecione System > Notifications > Syslog servers.
  2. No painel Detalhes, clique em Parâmetros do Syslog.
  3. Na página Configurar parâmetros do syslog, selecione Formato da data como MMDDYYYY e Fuso horário como GMT.
  4. Clique em OK.

Configurar o encaminhador do Google Security Operations para ingerir registros do NetScaler

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome exclusivo para ele.
  6. Selecione Citrix NetScaler como o Tipo de registro.
  7. No campo Tipo de coletor, selecione Syslog.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador processa registros SYSLOG do Citrix Netscaler no formato chave-valor, extraindo dados formatados em JSON do campo message e enriquecendo a UDM com informações de outros campos, como host.hostname e user_agent.original, depois de higienizá-los. Ele processa casos em que a mensagem principal está vazia voltando à mensagem de registro original.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
ID da transação da AAA security_result.detection_fields[].value Valor extraído do campo "AAA trans id".
Acesso security_result.action_details Se "Acesso" for "Permitido", defina security_result.action como ALLOW. Se o "Acesso" for "Negado", defina security_result.action como BLOCK.
applicationName principal.application Valor extraído do campo "applicationName".
Browser_type network.http.user_agent Valor extraído do campo "Browser_type".
ClientIP principal.ip, principal.asset.ip Valor extraído do campo "ClientIP".
ClientPort principal.port Valor extraído do campo "ClientPort".
client_cookie additional.fields[].value.string_value Valor extraído do campo "client_cookie".
Comando target.process.command_line Valor extraído do campo "Comando".
connectionId security_result.detection_fields[].value Valor extraído do campo "connectionId".
Destino target.ip, target.asset.ip Valor extraído do campo "Destino".
Destino target.ip, target.asset.ip Valor extraído do campo "Destino".
device_serial_number target.asset_id target.asset_id está definido como "device_serial_number:".
Duração network.session_duration.seconds A duração é convertida em segundos e mapeada.
Horário de término security_result.detection_fields[].value Valor extraído do campo "Horário de término".
Failure_reason metadata.description Valor extraído do campo "Failure_reason".
flags additional.fields[].value.string_value Valor extraído do campo "flags".
Grupos target.group.group_display_name Valor extraído do campo "Grupos".
Motivo metadata.description Valor extraído do campo "Motivo".
Remote_ip target.ip, target.asset.ip Valor extraído do campo "Remote_ip".
ServerIP target.ip, target.asset.ip Valor extraído do campo "ServerIP".
ServerPort target.port Valor extraído do campo "ServerPort".
session_guid metadata.product_log_id Valor extraído do campo "session_guid".
SessionId network.session_id Valor extraído do campo "SessionId".
Origem principal.ip, principal.asset.ip Valor extraído do campo "Origem".
Horário de início security_result.detection_fields[].value Valor extraído do campo "Horário de início".
startTime security_result.detection_fields[].value Valor extraído do campo "startTime".
Status security_result.description Valor extraído do campo "Status".
Total_bytes_recv network.received_bytes Valor extraído do campo "Total_bytes_recv".
Total_bytes_send network.sent_bytes Valor extraído do campo "Total_bytes_send".
Total_bytes_wire_recv security_result.detection_fields[].value Valor extraído do campo "Total_bytes_wire_recv".
Total_bytes_wire_send security_result.detection_fields[].value Valor extraído do campo "Total_bytes_wire_send".
Usuário principal.user.userid Valor extraído do campo "Usuário".
VserverServiceIP target.ip, target.asset.ip Valor extraído do campo "VserverServiceIP".
VserverServicePort target.port Valor extraído do campo "VserverServicePort". Codificado como "CITRIX". Codificado como "NETSCALER". Codificado como "CITRIX_NETSCALER". Determinado pelo analisador com base no product_event_type. Exemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Valor extraído do prefixo do registro (por exemplo, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK etc.). Uma breve descrição do evento, às vezes derivada de outros campos, como "Motivo" ou "Failure_reason". Calculado com base nos campos de data e hora na entrada de registro. O analisador processa vários formatos e fusos horários. Extraído do campo "username:domainname", pegando a parte depois dos dois-pontos. Codificado como TCP para eventos com "TCP" em metadata.product_event_type. Definido como ALLOW para logins e comandos bem-sucedidos e BLOCK para logins com falha e acesso a recursos bloqueados. Derivados de campos como "Status", "Failure_reason" e "Access". Definido como USERNAME_PASSWORD quando o nome de usuário e a senha são usados para autenticação (inferido de determinadas mensagens de registro). Definido como VPN para eventos de login/logout relacionados à VPN. Analisado do campo network.http.user_agent usando uma biblioteca de análise de user agent.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.