Recolha registos do NetScaler
Este documento descreve como pode recolher os registos do NetScaler através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CITRIX_NETSCALER
.
Configure o NetScaler VPX
Para configurar o NetScaler VPX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:
- Valide a configuração do nome de anfitrião.
- Crie um servidor de auditoria.
- Associe a política de auditoria criada ao servidor.
Valide a configuração do nome de anfitrião
- Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
- Selecione Configuração > Definições.
- Clique em Nome do anfitrião, endereço IP de DNS e fuso horário.
- Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
- No campo Endereço IP do DNS, verifique se o endereço IP do DNS local está especificado.
- No campo Fuso horário, introduza o seu fuso horário.
Crie um servidor de auditoria
- Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog > Servers.
- Especifique os detalhes do syslog nos seguintes campos:
- Nome
- Tipo de servidor
- Endereço IP
- Porta
- Selecione Níveis de registo como Personalizado.
- Selecione todas as caixas de verificação, exceto o nível DEBUG na configuração.
- Na lista Log facility, selecione LOCAL0.
- Na lista Formato da data, selecione MMDDYYYY.
- Selecione Fuso horário como GMT.
- Desmarque as seguintes caixas de verificação:
- Registo TCP
- Registo da ACL
- Mensagens de registo configuráveis pelo utilizador
- Registo do AppFlow
- Registo de NAT em grande escala
- Registo de mensagens ALG
- Registo de subscritores
- DNS
- Interceção de SSL
- Filtragem de URLs
- Registo da inspeção de conteúdo
- Clique em OK para criar o servidor de auditoria.
Associe a política de auditoria criada ao servidor
- Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog.
- Clique no separador Políticas.
- No campo Nome, introduza um nome para a política.
- Na lista Servidor, selecione a política da secção anterior.
- Clique em Criar.
- Clique com o botão direito do rato na política de auditoria criada e selecione Ação > Associações globais.
- Clique em Adicionar encadernação.
- Na janela Associação de políticas, faça o seguinte:
- No campo Selecionar política, introduza a política de auditoria criada.
- No painel Detalhes da associação, no campo Prioridade, introduza 120, uma vez que é a prioridade predefinida.
- Clique em Associar.
Configure o NetScaler SDX
Para configurar o NetScaler SDX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:
- Valide a configuração do nome de anfitrião para o NetScaler SDX.
- Configure o servidor syslog.
- Configure os parâmetros do syslog.
Valide a configuração do nome de anfitrião para o NetScaler SDX
- Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
- Na interface Web do NetScaler, selecione Sistema > Definições do sistema.
- Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
- No campo Fuso horário, selecione UTC ou GMT.
Configure o servidor syslog
- Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
- No painel Detalhes, clique em Adicionar.
- Na janela Criar servidor Syslog, especifique valores para os seguintes parâmetros do servidor Syslog:
- No campo Nome, introduza um nome.
- No campo Endereço IP, introduza o endereço IP do encaminhador do Google Security Operations.
- No campo Porta, introduza o número da porta.
- Selecione Níveis de registo como Personalizado.
- Selecione todos os níveis de registo, exceto Depuração.
- Clique em Criar.
Configure os parâmetros do syslog
- Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
- No painel Detalhes, clique em Parâmetros Syslog.
- Na página Configurar parâmetros syslog, selecione Formato da data como MMDDYYYY e selecione Fuso horário como GMT.
- Clique em OK.
Configure o encaminhador do Google Security Operations para carregar registos do NetScaler
- Selecione Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome exclusivo para o coletor.
- Selecione Citrix NetScaler como Tipo de registo.
- No campo Tipo de coletor, selecione Syslog.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir os dados do syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.
Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador processa registos SYSLOG do Citrix Netscaler no formato de chave-valor, extraindo dados formatados em JSON do campo message
e enriquecendo o UDM com informações de outros campos, como host.hostname
e user_agent.original
, depois de os limpar. Processa casos em que a mensagem principal está vazia recorrendo à mensagem de registo original.
Tabela de mapeamento do UDM
Campo de registo | Mapeamento de UDM | Lógica |
---|---|---|
ID da transação AAA | security_result.detection_fields[].value |
Valor extraído do campo "AAA trans id". |
Acesso | security_result.action_details |
Se "Acesso" for "Permitido", defina security_result.action como ALLOW. Se "Acesso" for "Recusado", defina security_result.action como BLOQUEAR. |
applicationName | principal.application |
Valor extraído do campo "applicationName". |
Browser_type | network.http.user_agent |
Valor extraído do campo "Browser_type". |
ClientIP | principal.ip , principal.asset.ip |
Valor extraído do campo "ClientIP". |
ClientPort | principal.port |
Valor extraído do campo "ClientPort". |
client_cookie | additional.fields[].value.string_value |
Valor extraído do campo "client_cookie". |
Comando | target.process.command_line |
Valor extraído do campo "Command". |
connectionId | security_result.detection_fields[].value |
Valor extraído do campo "connectionId". |
Destino | target.ip , target.asset.ip |
Valor extraído do campo "Destino". |
Destino | target.ip , target.asset.ip |
Valor extraído do campo "Destino". |
device_serial_number | target.asset_id |
target.asset_id está definido como "device_serial_number: |
Duração | network.session_duration.seconds |
A duração é convertida em segundos e mapeada. |
Hora de fim | security_result.detection_fields[].value |
Valor extraído do campo "Hora de fim". |
Failure_reason | metadata.description |
Valor extraído do campo "Failure_reason". |
flags | additional.fields[].value.string_value |
Valor extraído do campo "flags". |
Grupo(s) | target.group.group_display_name |
Valor extraído do campo "Grupos". |
Motivo | metadata.description |
Valor extraído do campo "Reason" (Motivo). |
Remote_ip | target.ip , target.asset.ip |
Valor extraído do campo "Remote_ip". |
ServerIP | target.ip , target.asset.ip |
Valor extraído do campo "ServerIP". |
ServerPort | target.port |
Valor extraído do campo "ServerPort". |
session_guid | metadata.product_log_id |
Valor extraído do campo "session_guid". |
SessionId | network.session_id |
Valor extraído do campo "SessionId". |
Origem | principal.ip , principal.asset.ip |
Valor extraído do campo "Source". |
Hora de início | security_result.detection_fields[].value |
Valor extraído do campo "Hora de início". |
startTime | security_result.detection_fields[].value |
Valor extraído do campo "startTime". |
Estado | security_result.description |
Valor extraído do campo "Estado". |
Total_bytes_recv | network.received_bytes |
Valor extraído do campo "Total_bytes_recv". |
Total_bytes_send | network.sent_bytes |
Valor extraído do campo "Total_bytes_send". |
Total_bytes_wire_recv | security_result.detection_fields[].value |
Valor extraído do campo "Total_bytes_wire_recv". |
Total_bytes_wire_send | security_result.detection_fields[].value |
Valor extraído do campo "Total_bytes_wire_send". |
Utilizador | principal.user.userid |
Valor extraído do campo "Utilizador". |
VserverServiceIP | target.ip , target.asset.ip |
Valor extraído do campo "VserverServiceIP". |
VserverServicePort | target.port |
Valor extraído do campo "VserverServicePort". Codificado como "CITRIX". Codificado de forma rígida para "NETSCALER". Codificado de forma rígida como "CITRIX_NETSCALER". Determinado pelo analisador com base no product_event_type. Exemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED e GENERIC_EVENT. Valor extraído do prefixo do registo (por exemplo, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, etc.). Uma breve descrição do evento, por vezes, derivada de outros campos, como "Reason" ou "Failure_reason". Calculado a partir dos campos de data e hora na entrada do registo. O analisador processa vários formatos e fusos horários. Extraído do campo "username:domainname", tendo em conta a parte após os dois pontos. Codificado de forma rígida para TCP para eventos com "TCP" em metadata.product_event_type . Definido como ALLOW para inícios de sessão e comandos bem-sucedidos, BLOCK para inícios de sessão falhados e acesso a recursos bloqueados. Derivados de campos como "Estado", "Failure_reason" e "Access". Definido como USERNAME_PASSWORD quando o nome de utilizador e a palavra-passe são usados para autenticação (inferido de determinadas mensagens de registo). Definido como VPN para eventos de início/fim de sessão relacionados com a VPN. Analisado a partir do campo network.http.user_agent através de uma biblioteca de análise do agente do utilizador. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.