Recolha registos do NetScaler

Compatível com:

Este documento descreve como pode recolher os registos do NetScaler através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CITRIX_NETSCALER.

Configure o NetScaler VPX

Para configurar o NetScaler VPX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:

Valide a configuração do nome de anfitrião

  1. Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
  2. Selecione Configuração > Definições.
  3. Clique em Nome do anfitrião, endereço IP de DNS e fuso horário.
  4. Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
  5. No campo Endereço IP do DNS, verifique se o endereço IP do DNS local está especificado.
  6. No campo Fuso horário, introduza o seu fuso horário.

Crie um servidor de auditoria

  1. Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog > Servers.
  2. Especifique os detalhes do syslog nos seguintes campos:
    • Nome
    • Tipo de servidor
    • Endereço IP
    • Porta
  3. Selecione Níveis de registo como Personalizado.
  4. Selecione todas as caixas de verificação, exceto o nível DEBUG na configuração.
  5. Na lista Log facility, selecione LOCAL0.
  6. Na lista Formato da data, selecione MMDDYYYY.
  7. Selecione Fuso horário como GMT.
  8. Desmarque as seguintes caixas de verificação:
    • Registo TCP
    • Registo da ACL
    • Mensagens de registo configuráveis pelo utilizador
    • Registo do AppFlow
    • Registo de NAT em grande escala
    • Registo de mensagens ALG
    • Registo de subscritores
    • DNS
    • Interceção de SSL
    • Filtragem de URLs
    • Registo da inspeção de conteúdo
  9. Clique em OK para criar o servidor de auditoria.

Associe a política de auditoria criada ao servidor

  1. Na interface Web do NetScaler, selecione Configuration > System > Auditing > Syslog.
  2. Clique no separador Políticas.
  3. No campo Nome, introduza um nome para a política.
  4. Na lista Servidor, selecione a política da secção anterior.
  5. Clique em Criar.
  6. Clique com o botão direito do rato na política de auditoria criada e selecione Ação > Associações globais.
  7. Clique em Adicionar encadernação.
  8. Na janela Associação de políticas, faça o seguinte:
    1. No campo Selecionar política, introduza a política de auditoria criada.
    2. No painel Detalhes da associação, no campo Prioridade, introduza 120, uma vez que é a prioridade predefinida.
    3. Clique em Associar.

Configure o NetScaler SDX

Para configurar o NetScaler SDX para enviar registos para o encaminhador do Google Security Operations, faça o seguinte:

Valide a configuração do nome de anfitrião para o NetScaler SDX

  1. Inicie sessão na interface Web do NetScaler com as credenciais de administrador.
  2. Na interface Web do NetScaler, selecione Sistema > Definições do sistema.
  3. Se o campo Nome do anfitrião estiver vazio, introduza o nome do anfitrião. Não inclua espaços. Se este campo já estiver configurado, não é necessária nenhuma ação.
  4. No campo Fuso horário, selecione UTC ou GMT.

Configure o servidor syslog

  1. Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
  2. No painel Detalhes, clique em Adicionar.
  3. Na janela Criar servidor Syslog, especifique valores para os seguintes parâmetros do servidor Syslog:
    1. No campo Nome, introduza um nome.
    2. No campo Endereço IP, introduza o endereço IP do encaminhador do Google Security Operations.
    3. No campo Porta, introduza o número da porta.
    4. Selecione Níveis de registo como Personalizado.
    5. Selecione todos os níveis de registo, exceto Depuração.
  4. Clique em Criar.

Configure os parâmetros do syslog

  1. Na interface Web do NetScaler, selecione Sistema > Notificações > Servidores Syslog.
  2. No painel Detalhes, clique em Parâmetros Syslog.
  3. Na página Configurar parâmetros syslog, selecione Formato da data como MMDDYYYY e selecione Fuso horário como GMT.
  4. Clique em OK.

Configure o encaminhador do Google Security Operations para carregar registos do NetScaler

  1. Selecione Definições do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  4. Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  5. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
  6. Selecione Citrix NetScaler como Tipo de registo.
  7. No campo Tipo de coletor, selecione Syslog.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir os dados do syslog.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
  9. Clique em Enviar.

Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador processa registos SYSLOG do Citrix Netscaler no formato de chave-valor, extraindo dados formatados em JSON do campo message e enriquecendo o UDM com informações de outros campos, como host.hostname e user_agent.original, depois de os limpar. Processa casos em que a mensagem principal está vazia recorrendo à mensagem de registo original.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
ID da transação AAA security_result.detection_fields[].value Valor extraído do campo "AAA trans id".
Acesso security_result.action_details Se "Acesso" for "Permitido", defina security_result.action como ALLOW. Se "Acesso" for "Recusado", defina security_result.action como BLOQUEAR.
applicationName principal.application Valor extraído do campo "applicationName".
Browser_type network.http.user_agent Valor extraído do campo "Browser_type".
ClientIP principal.ip, principal.asset.ip Valor extraído do campo "ClientIP".
ClientPort principal.port Valor extraído do campo "ClientPort".
client_cookie additional.fields[].value.string_value Valor extraído do campo "client_cookie".
Comando target.process.command_line Valor extraído do campo "Command".
connectionId security_result.detection_fields[].value Valor extraído do campo "connectionId".
Destino target.ip, target.asset.ip Valor extraído do campo "Destino".
Destino target.ip, target.asset.ip Valor extraído do campo "Destino".
device_serial_number target.asset_id target.asset_id está definido como "device_serial_number:".
Duração network.session_duration.seconds A duração é convertida em segundos e mapeada.
Hora de fim security_result.detection_fields[].value Valor extraído do campo "Hora de fim".
Failure_reason metadata.description Valor extraído do campo "Failure_reason".
flags additional.fields[].value.string_value Valor extraído do campo "flags".
Grupo(s) target.group.group_display_name Valor extraído do campo "Grupos".
Motivo metadata.description Valor extraído do campo "Reason" (Motivo).
Remote_ip target.ip, target.asset.ip Valor extraído do campo "Remote_ip".
ServerIP target.ip, target.asset.ip Valor extraído do campo "ServerIP".
ServerPort target.port Valor extraído do campo "ServerPort".
session_guid metadata.product_log_id Valor extraído do campo "session_guid".
SessionId network.session_id Valor extraído do campo "SessionId".
Origem principal.ip, principal.asset.ip Valor extraído do campo "Source".
Hora de início security_result.detection_fields[].value Valor extraído do campo "Hora de início".
startTime security_result.detection_fields[].value Valor extraído do campo "startTime".
Estado security_result.description Valor extraído do campo "Estado".
Total_bytes_recv network.received_bytes Valor extraído do campo "Total_bytes_recv".
Total_bytes_send network.sent_bytes Valor extraído do campo "Total_bytes_send".
Total_bytes_wire_recv security_result.detection_fields[].value Valor extraído do campo "Total_bytes_wire_recv".
Total_bytes_wire_send security_result.detection_fields[].value Valor extraído do campo "Total_bytes_wire_send".
Utilizador principal.user.userid Valor extraído do campo "Utilizador".
VserverServiceIP target.ip, target.asset.ip Valor extraído do campo "VserverServiceIP".
VserverServicePort target.port Valor extraído do campo "VserverServicePort". Codificado como "CITRIX". Codificado de forma rígida para "NETSCALER". Codificado de forma rígida como "CITRIX_NETSCALER". Determinado pelo analisador com base no product_event_type. Exemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED e GENERIC_EVENT. Valor extraído do prefixo do registo (por exemplo, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, etc.). Uma breve descrição do evento, por vezes, derivada de outros campos, como "Reason" ou "Failure_reason". Calculado a partir dos campos de data e hora na entrada do registo. O analisador processa vários formatos e fusos horários. Extraído do campo "username:domainname", tendo em conta a parte após os dois pontos. Codificado de forma rígida para TCP para eventos com "TCP" em metadata.product_event_type. Definido como ALLOW para inícios de sessão e comandos bem-sucedidos, BLOCK para inícios de sessão falhados e acesso a recursos bloqueados. Derivados de campos como "Estado", "Failure_reason" e "Access". Definido como USERNAME_PASSWORD quando o nome de utilizador e a palavra-passe são usados para autenticação (inferido de determinadas mensagens de registo). Definido como VPN para eventos de início/fim de sessão relacionados com a VPN. Analisado a partir do campo network.http.user_agent através de uma biblioteca de análise do agente do utilizador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.