Citrix ADC (bývalý konektor NetScaler) pro Microsoft Sentinel

  • Článek

Datový konektor Citrix ADC (bývalý NetScaler) poskytuje možnost ingestovat protokoly Citrix ADC do Služby Microsoft Sentinel. Pokud chcete ingestovat protokoly Citrix WAF do Služby Microsoft Sentinel, projděte si tuto dokumentaci.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 typů událostí

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Pokyny k instalaci dodavatele

Poznámka:

  1. Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias CitrixADCEvent a načtěte kód funkce nebo klikněte sem, tato funkce mapuje události Citrix ADC (bývalé NetScaler) na ASIM rozšířeného modelu zabezpečení. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
  2. Tento analyzátor vyžaduje seznam ke zhlédnutí s názvem Sources_by_SourceType

i. Pokud ještě nemáte vytvořený seznam ke zhlédnutí, klikněte sem a vytvořte ho .

ii. Otevřete seznam Sources_by_SourceType ke zhlédnutí a přidejte položky pro tento zdroj dat.

iii. Hodnota SourceType pro CitrixADC je CitrixADC.

Další podrobnosti najdete v této dokumentaci.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace Citrix ADC pro předávání protokolů přes Syslog

3.1 Přejděte na kartu Systémové > auditování > serverů Syslog > na kartě > Konfigurace

3.2 Zadejte název akce Syslog.

3.3 Nastavte IP adresu vzdáleného serveru Syslog a portu.

3.4 Nastavte typ přenosu jako TCP nebo UDP v závislosti na vzdálené konfiguraci serveru Syslog.

3.5 Další podrobnosti najdete v dokumentaci k Citrix ADC (dříve NetScaler).

  1. Kontrola protokolů v Microsoft Sentinelu

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu Syslog.

POZNÁMKA: Než se nové protokoly zobrazí v tabulce Syslog, může to trvat až 15 minut.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.