Microsoft Sentinel için Citrix ADC (eski NetScaler) bağlayıcısı

  • Makale

Citrix ADC (eski NetScaler) veri bağlayıcısı, Citrix ADC günlüklerini Microsoft Sentinel'e alma özelliği sağlar. Citrix WAF günlüklerini Microsoft Sentinel'e almak istiyorsanız bu belgelere bakın.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Log Analytics tabloları Syslog
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: Microsoft Corporation

Sorgu örnekleri

İlk 10 Olay Türü

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Satıcı yükleme yönergeleri

Not

  1. Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve CitrixADCEvent diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; bu işlev Citrix ADC (eski NetScaler) olaylarını Gelişmiş Güvenlik Bilgileri Modeli ASIM ile eşler. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
  2. Bu ayrıştırıcı, adlı bir izleme listesi gerektirir Sources_by_SourceType

i. İzleme listenize henüz oluşturulmadıysa oluşturmak için lütfen buraya tıklayın.

ii. İzleme listesini Sources_by_SourceType açın ve bu veri kaynağı için girdiler ekleyin.

iii. CitrixADC için SourceType değeri şeklindedir CitrixADC.

Diğer ayrıntılar için bu belgelere bakabilirsiniz

  1. Aracıyı Linux için yükleme ve ekleme

Genellikle aracıyı günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.

Syslog günlükleri yalnızca Linux aracılarından toplanır.

  1. Toplanacak günlükleri yapılandırma

Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.

  1. Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'u seçin.

  2. Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.

  3. Kaydet’e tıklayın.

  4. Syslog aracılığıyla günlükleri iletmek için Citrix ADC'yi yapılandırma

3.1 Yapılandırma sekmesine > gidin Sistem > Denetimi > Syslog > Sunucuları sekmesi

3.2 Syslog eylem adını belirtin.

3.3 Uzak Syslog sunucusunun ve bağlantı noktasının IP adresini ayarlayın.

3.4 Uzak Syslog sunucusu yapılandırmanıza bağlı olarak Aktarım türünüTCP veya UDP olarak ayarlayın.

3.5 Daha fazla ayrıntı için Citrix ADC (eski NetScaler) belgelerine bakabilirsiniz.

  1. Microsoft Sentinel'de günlükleri denetleme

Günlüklerin Syslog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

NOT: Syslog tablosunda yeni günlüklerin görünmesi 15 dakika kadar sürebilir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.