Recopilar registros de NetScaler

En este documento se describe cómo puede recoger los registros de NetScaler mediante un reenviador de Google Security Operations.

Para obtener más información, consulta el artículo Información general sobre la ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión CITRIX_NETSCALER.

Configurar NetScaler VPX

Para configurar NetScaler VPX de forma que envíe registros al reenviador de Google Security Operations, haz lo siguiente:

• Verifica la configuración del nombre de host.
• Crea un servidor de auditoría.
• Vincula la política de auditoría creada al servidor.

Verificar la configuración del nombre de host

1. Inicia sesión en la interfaz web de NetScaler con las credenciales de administrador.
2. Selecciona Configuración > Ajustes.
3. Haz clic en Nombre de host, dirección IP de DNS y zona horaria.
4. Si el campo Nombre de host está vacío, introduce el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que hagas nada.
5. En el campo Dirección IP de DNS, comprueba si se ha especificado la dirección IP de DNS local.
6. En el campo Zona horaria, introduce tu zona horaria.

Crear un servidor de auditoría

1. En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog > Servers (Configuración > Sistema > Auditoría > Syslog > Servidores).
2. Especifica los detalles de syslog en los siguientes campos:
   • Nombre
   • Tipo de servidor
   • Dirección IP
   • Port (Puerto)
3. Selecciona Niveles de registro como Personalizado.
4. Selecciona todas las casillas de verificación excepto el nivel DEBUG en la configuración.
5. En la lista Log facility (Instalación de registro), selecciona LOCAL0.
6. En la lista Formato de fecha, seleccione MMDDYYYY.
7. Selecciona Zona horaria como GMT.
8. Desmarque las siguientes casillas:
   • Registro TCP
   • Registro de LCA
   • Mensajes de registro configurables por el usuario
   • Registro de AppFlow
   • Registro de NAT a gran escala
   • Registro de mensajes de ALG
   • Registro de suscriptores
   • DNS
   • Intercepción de SSL
   • Filtrado de URLs
   • Registro de inspección de contenido
9. Haz clic en Aceptar para crear el servidor de auditoría.

Vincular la política de auditoría creada al servidor

1. En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog (Configuración > Sistema > Auditoría > Syslog).
2. Haga clic en la pestaña Políticas.
3. En el campo Nombre, introduce el nombre de la política.
4. En la lista Servidor, selecciona la política de la sección anterior.
5. Haz clic en Crear.
6. Haz clic con el botón derecho en la política de auditoría creada y selecciona Acción > Enlaces globales.
7. Haz clic en Añadir enlace.
8. En la ventana Vinculación de políticas, haz lo siguiente:
   1. En el campo Seleccionar política, introduce la política de auditoría creada.
   2. En el panel Binding details (Detalles de la vinculación), en el campo Priority (Prioridad), introduce 120, ya que es la prioridad predeterminada.
   3. Haz clic en Vincular.

Configurar NetScaler SDX

Para configurar NetScaler SDX de forma que envíe registros al reenviador de Google Security Operations, haz lo siguiente:

• Verifica la configuración del nombre de host de NetScaler SDX.
• Configura el servidor syslog.
• Configura los parámetros de syslog.

Verificar la configuración del nombre de host de NetScaler SDX

1. Inicia sesión en la interfaz web de NetScaler con las credenciales de administrador.
2. En la interfaz web de NetScaler, selecciona System > System settings.
3. Si el campo Nombre de host está vacío, introduce el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que hagas nada.
4. En el campo Zona horaria, seleccione UTC o GMT.

Configurar el servidor syslog

1. En la interfaz web de NetScaler, selecciona Sistema > Notificaciones > Servidores Syslog.
2. En el panel Detalles, haz clic en Añadir.
3. En la ventana Crear servidor syslog, especifique los valores de los siguientes parámetros del servidor syslog:
   1. En el campo Nombre, introduce un nombre.
   2. En el campo Dirección IP, introduzca la dirección IP del reenviador de Google Security Operations.
   3. En el campo Puerto, introduce el número de puerto.
   4. Selecciona Niveles de registro como Personalizado.
   5. Selecciona todos los niveles de registro excepto Depuración.
4. Haz clic en Crear.

Configurar los parámetros de syslog

1. En la interfaz web de NetScaler, selecciona Sistema > Notificaciones > Servidores Syslog.
2. En el panel Detalles, haga clic en Parámetros de Syslog.
3. En la página Configurar parámetros de syslog, seleccione Formato de fecha como MMDDYYYY y Zona horaria como GMT.
4. Haz clic en Aceptar.

Configurar el reenviador de Google Security Operations para ingerir registros de NetScaler

1. Seleccione Configuración de SIEM > Reenviadores.
2. Haz clic en Añadir nuevo remitente.
3. En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
4. Haz clic en Enviar y, a continuación, en Confirmar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
5. En el campo Nombre del recolector, escriba un nombre único para el recolector.
6. Seleccione Citrix NetScaler como Tipo de registro.
7. En el campo Tipo de recopilador, selecciona Syslog.
8. Configure los siguientes parámetros de entrada obligatorios:
   • Protocol: especifica el protocolo de conexión que usa el recopilador para recibir datos de syslog.
   • Dirección: especifique la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
   • Puerto: especifique el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
9. Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Referencia de asignación de campos

Este analizador procesa los registros SYSLOG de Citrix Netscaler en formato de clave-valor, extrae datos con formato JSON del campo message y enriquece el UDM con información de otros campos, como host.hostname y user_agent.original, después de anonimizarlos. Gestiona los casos en los que el mensaje principal está vacío volviendo al mensaje de registro original.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
ID de transacción de AAA	security_result.detection_fields[].value	Valor extraído del campo "AAA trans id".
Acceso	security_result.action_details	Si el valor de "Acceso" es "Permitido", asigna el valor ALLOW a security_result.action. Si el valor de "Acceso" es "Denegado", asigna el valor BLOQUEAR a security_result.action.
nombreaplicación	principal.application	Valor extraído del campo "applicationName".
Browser_type	network.http.user_agent	Valor extraído del campo "Browser_type".
ClientIP	principal.ip, principal.asset.ip	Valor extraído del campo "ClientIP".
ClientPort	principal.port	Valor extraído del campo "ClientPort".
client_cookie	additional.fields[].value.string_value	Valor extraído del campo "client_cookie".
Comando	target.process.command_line	Valor extraído del campo "Command".
connectionId	security_result.detection_fields[].value	Valor extraído del campo "connectionId".
Destino	target.ip, target.asset.ip	Valor extraído del campo "Destination" (Destino).
Destino	target.ip, target.asset.ip	Valor extraído del campo "Destination" (Destino).
device_serial_number	target.asset_id	target.asset_id se ha definido como "device_serial_number:".
Duración	network.session_duration.seconds	La duración se convierte en segundos y se asigna.
Hora de finalización	security_result.detection_fields[].value	Valor extraído del campo "Hora de finalización".
Failure_reason	metadata.description	Valor extraído del campo "Failure_reason".
flags	additional.fields[].value.string_value	Valor extraído del campo "flags".
Grupos	target.group.group_display_name	Valor extraído del campo "Grupos".
Motivo	metadata.description	Valor extraído del campo "Reason".
Remote_ip	target.ip, target.asset.ip	Valor extraído del campo "Remote_ip".
ServerIP	target.ip, target.asset.ip	Valor extraído del campo "ServerIP".
ServerPort	target.port	Valor extraído del campo "ServerPort".
session_guid	metadata.product_log_id	Valor extraído del campo "session_guid".
SessionId	network.session_id	Valor extraído del campo "SessionId".
Fuente	principal.ip, principal.asset.ip	Valor extraído del campo "Source" (Fuente).
Hora de inicio	security_result.detection_fields[].value	Valor extraído del campo "Hora de inicio".
startTime	security_result.detection_fields[].value	Valor extraído del campo "startTime".
Estado	security_result.description	Valor extraído del campo "Estado".
Total_bytes_recv	network.received_bytes	Valor extraído del campo "Total_bytes_recv".
Total_bytes_send	network.sent_bytes	Valor extraído del campo "Total_bytes_send".
Total_bytes_wire_recv	security_result.detection_fields[].value	Valor extraído del campo "Total_bytes_wire_recv".
Total_bytes_wire_send	security_result.detection_fields[].value	Valor extraído del campo "Total_bytes_wire_send".
Usuario	principal.user.userid	Valor extraído del campo "Usuario".
VserverServiceIP	target.ip, target.asset.ip	Valor extraído del campo "VserverServiceIP".
VserverServicePort	target.port	Valor extraído del campo "VserverServicePort". Codificado como "CITRIX". Codificado como "NETSCALER". Codificado como "CITRIX_NETSCALER". Determinado por el analizador en función de product_event_type. Ejemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED y GENERIC_EVENT. Valor extraído del prefijo del registro (por ejemplo, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, etc.). Una breve descripción del evento, que a veces se deriva de otros campos, como "Reason" o "Failure_reason". Se calcula a partir de los campos de fecha y hora de la entrada de registro. El analizador sintáctico gestiona varios formatos y zonas horarias. Se extrae del campo "nombredeusuario:nombrededominio" y se toma la parte que aparece después de los dos puntos. Codificado de forma rígida en TCP para eventos con "TCP" en metadata.product_event_type. Se establece en ALLOW para los inicios de sesión y los comandos correctos, y en BLOCK para los inicios de sesión fallidos y el acceso a recursos bloqueado. Se deriva de campos como "Estado", "Motivo_del_error" y "Acceso". Se asigna el valor USERNAME_PASSWORD cuando se usan un nombre de usuario y una contraseña para la autenticación (se deduce de determinados mensajes de registro). Se establece en VPN para eventos de inicio y cierre de sesión relacionados con la VPN. Se analiza a partir del campo network.http.user_agent mediante una biblioteca de análisis de user-agent.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.