Recolha registos do NetScaler

Este documento descreve como pode recolher os registos do NetScaler através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CITRIX_NETSCALER.

Configure o NetScaler VPX

Para configurar o NetScaler VPX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:

• Valide a configuração do nome de anfitrião.
• Crie um servidor de auditoria.
• Associe a política de auditoria criada ao servidor.

Valide a configuração do nome de anfitrião

1. Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
2. Selecione Configuração > Definições.
3. Clique em Nome do anfitrião, endereço IP de DNS e fuso horário.
4. Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
5. No campo Endereço IP do DNS, verifique se o endereço IP do DNS local está especificado.
6. No campo Fuso horário, introduza o seu fuso horário.

Crie um servidor de auditoria

1. Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog > Servers.
2. Especifique os detalhes do syslog nos seguintes campos:
   • Nome
   • Tipo de servidor
   • Endereço IP
   • Porta
3. Selecione Níveis de registo como Personalizado.
4. Selecione todas as caixas de verificação, exceto o nível DEBUG na configuração.
5. Na lista Log facility, selecione LOCAL0.
6. Na lista Formato da data, selecione MMDDYYYY.
7. Selecione Fuso horário como GMT.
8. Desmarque as seguintes caixas de verificação:
   • Registo TCP
   • Registo da ACL
   • Mensagens de registo configuráveis pelo utilizador
   • Registo do AppFlow
   • Registo de NAT em grande escala
   • Registo de mensagens ALG
   • Registo de subscritores
   • DNS
   • Interceção de SSL
   • Filtragem de URLs
   • Registo da inspeção de conteúdo
9. Clique em OK para criar o servidor de auditoria.

Associe a política de auditoria criada ao servidor

1. Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog.
2. Clique no separador Políticas.
3. No campo Nome, introduza um nome para a política.
4. Na lista Servidor, selecione a política da secção anterior.
5. Clique em Criar.
6. Clique com o botão direito do rato na política de auditoria criada e selecione Ação > Associações globais.
7. Clique em Adicionar encadernação.
8. Na janela Associação de políticas, faça o seguinte:
   1. No campo Selecionar política, introduza a política de auditoria criada.
   2. No painel Detalhes da associação, no campo Prioridade, introduza 120, uma vez que é a prioridade predefinida.
   3. Clique em Associar.

Configure o NetScaler SDX

Para configurar o NetScaler SDX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:

• Valide a configuração do nome de anfitrião para o NetScaler SDX.
• Configure o servidor syslog.
• Configure os parâmetros do syslog.

Valide a configuração do nome de anfitrião para o NetScaler SDX

1. Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
2. Na interface Web do NetScaler, selecione Sistema > Definições do sistema.
3. Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
4. No campo Fuso horário, selecione UTC ou GMT.

Configure o servidor syslog

1. Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
2. No painel Detalhes, clique em Adicionar.
3. Na janela Criar servidor Syslog, especifique valores para os seguintes parâmetros do servidor Syslog:
   1. No campo Nome, introduza um nome.
   2. No campo Endereço IP, introduza o endereço IP do encaminhador do Google Security Operations.
   3. No campo Porta, introduza o número da porta.
   4. Selecione Níveis de registo como Personalizado.
   5. Selecione todos os níveis de registo, exceto Depuração.
4. Clique em Criar.

Configure os parâmetros do syslog

1. Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
2. No painel Detalhes, clique em Parâmetros Syslog.
3. Na página Configurar parâmetros syslog, selecione Formato da data como MMDDYYYY e selecione Fuso horário como GMT.
4. Clique em OK.

Configure o encaminhador do Google Security Operations para carregar registos do NetScaler

1. Selecione Definições do SIEM > Encaminhadores.
2. Clique em Adicionar novo encaminhador.
3. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
4. Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
5. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
6. Selecione Citrix NetScaler como Tipo de registo.
7. No campo Tipo de coletor, selecione Syslog.
8. Configure os seguintes parâmetros de entrada obrigatórios:
   • Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir os dados do syslog.
   • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
   • Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
9. Clique em Enviar.

Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador processa registos SYSLOG do Citrix Netscaler no formato de chave-valor, extraindo dados formatados em JSON do campo message e enriquecendo o UDM com informações de outros campos, como host.hostname e user_agent.original, depois de os limpar. Processa casos em que a mensagem principal está vazia recorrendo à mensagem de registo original.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
ID da transação AAA	security_result.detection_fields[].value	Valor extraído do campo "AAA trans id".
Acesso	security_result.action_details	Se "Acesso" for "Permitido", defina security_result.action como ALLOW. Se "Acesso" for "Recusado", defina security_result.action como BLOQUEAR.
applicationName	principal.application	Valor extraído do campo "applicationName".
Browser_type	network.http.user_agent	Valor extraído do campo "Browser_type".
ClientIP	principal.ip, principal.asset.ip	Valor extraído do campo "ClientIP".
ClientPort	principal.port	Valor extraído do campo "ClientPort".
client_cookie	additional.fields[].value.string_value	Valor extraído do campo "client_cookie".
Comando	target.process.command_line	Valor extraído do campo "Command".
connectionId	security_result.detection_fields[].value	Valor extraído do campo "connectionId".
Destino	target.ip, target.asset.ip	Valor extraído do campo "Destino".
Destino	target.ip, target.asset.ip	Valor extraído do campo "Destino".
device_serial_number	target.asset_id	target.asset_id está definido como "device_serial_number:".
Duração	network.session_duration.seconds	A duração é convertida em segundos e mapeada.
Hora de fim	security_result.detection_fields[].value	Valor extraído do campo "Hora de fim".
Failure_reason	metadata.description	Valor extraído do campo "Failure_reason".
flags	additional.fields[].value.string_value	Valor extraído do campo "flags".
Grupo(s)	target.group.group_display_name	Valor extraído do campo "Grupos".
Motivo	metadata.description	Valor extraído do campo "Reason" (Motivo).
Remote_ip	target.ip, target.asset.ip	Valor extraído do campo "Remote_ip".
ServerIP	target.ip, target.asset.ip	Valor extraído do campo "ServerIP".
ServerPort	target.port	Valor extraído do campo "ServerPort".
session_guid	metadata.product_log_id	Valor extraído do campo "session_guid".
SessionId	network.session_id	Valor extraído do campo "SessionId".
Origem	principal.ip, principal.asset.ip	Valor extraído do campo "Source".
Hora de início	security_result.detection_fields[].value	Valor extraído do campo "Hora de início".
startTime	security_result.detection_fields[].value	Valor extraído do campo "startTime".
Estado	security_result.description	Valor extraído do campo "Estado".
Total_bytes_recv	network.received_bytes	Valor extraído do campo "Total_bytes_recv".
Total_bytes_send	network.sent_bytes	Valor extraído do campo "Total_bytes_send".
Total_bytes_wire_recv	security_result.detection_fields[].value	Valor extraído do campo "Total_bytes_wire_recv".
Total_bytes_wire_send	security_result.detection_fields[].value	Valor extraído do campo "Total_bytes_wire_send".
Utilizador	principal.user.userid	Valor extraído do campo "Utilizador".
VserverServiceIP	target.ip, target.asset.ip	Valor extraído do campo "VserverServiceIP".
VserverServicePort	target.port	Valor extraído do campo "VserverServicePort". Codificado como "CITRIX". Codificado de forma rígida para "NETSCALER". Codificado de forma rígida como "CITRIX_NETSCALER". Determinado pelo analisador com base no product_event_type. Exemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED e GENERIC_EVENT. Valor extraído do prefixo do registo (por exemplo, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, etc.). Uma breve descrição do evento, por vezes, derivada de outros campos, como "Reason" ou "Failure_reason". Calculado a partir dos campos de data e hora na entrada do registo. O analisador processa vários formatos e fusos horários. Extraído do campo "username:domainname", tendo em conta a parte após os dois pontos. Codificado de forma rígida para TCP para eventos com "TCP" em metadata.product_event_type. Definido como ALLOW para inícios de sessão e comandos bem-sucedidos, BLOCK para inícios de sessão falhados e acesso a recursos bloqueados. Derivados de campos como "Estado", "Failure_reason" e "Access". Definido como USERNAME_PASSWORD quando o nome de utilizador e a palavra-passe são usados para autenticação (inferido de determinadas mensagens de registo). Definido como VPN para eventos de início/fim de sessão relacionados com a VPN. Analisado a partir do campo network.http.user_agent através de uma biblioteca de análise do agente do utilizador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.