Microsoft Sentinel için Citrix WAF (Web Uygulaması Güvenlik Duvarı) bağlayıcısı
Citrix WAF (Web App Güvenlik Duvarı), sektör lideri bir kurumsal sınıf WAF çözümüdür. Citrix WAF, web siteleri, uygulamalar ve API'ler dahil olmak üzere genel kullanıma yönelik varlıklarınıza yönelik tehditleri azaltır. 3. katmandan katman 7'ye kadar Citrix WAF; IP saygınlığı, bot risk azaltma, OWASP İlk 10 uygulama tehditlerine karşı savunma, uygulama yığını güvenlik açıklarına karşı koruma sağlamak için yerleşik imzalar ve daha fazlası gibi korumalar içerir.
Citrix WAF, Syslog iletilerinin üzerinde endüstri standardı bir biçim olan Ortak Olay Biçimi'ni (CEF) destekler. Citrix WAF CEF günlüklerini Microsoft Sentinel'e bağlayarak, her günlük için arama ve bağıntı, uyarı ve tehdit bilgileri zenginleştirme avantajlarından yararlanabilirsiniz.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (CitrixWAFLogs) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Citrix Systems |
Sorgu örnekleri
Citrix WAF Günlükleri
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
Siteler arası betik oluşturma için Citrix Waf günlükleri
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_XSS"
SQL Ekleme için Citrix Waf günlükleri
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_SQL"
Bufferoverflow için Citrix Waf günlükleri
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_STARTURL"
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme
Aşağıdaki adımları kullanarak Citrix WAF'yi proxy makinesine CEF biçiminde Syslog iletileri gönderecek şekilde yapılandırın.
WAF'yi yapılandırmak için bu kılavuzu izleyin.
CEF günlüklerini yapılandırmak için bu kılavuzu izleyin.
Günlükleri ara sunucuya iletmek için bu kılavuzu izleyin. Günlükleri Linux makinesinin IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.
Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.