موصل Citrix ADC (NetScaler السابق) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Citrix ADC (NetScaler السابق) القدرة على استيعاب سجلات Citrix ADC في Microsoft Sentinel. إذا كنت ترغب في استيعاب سجلات Citrix WAF في Microsoft Sentinel، فراجع هذه الوثائق.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics Syslog
دعم قواعد جمع البيانات تحويل DCR لمساحة العمل
مدعومة من قبل Microsoft Corporation

عينات الاستعلام

أفضل 10 أنواع أحداث

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

إرشادات تثبيت المورد

إشعار

  1. يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار CitrixADCEvent وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، تقوم هذه الدالة بتعيين أحداث Citrix ADC (NetScaler السابق) إلى نموذج معلومات الأمان المتقدم ASIM. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.
  2. يتطلب هذا المحلل قائمة مشاهدة مسماة Sources_by_SourceType

1. إذا لم يكن لديك قائمة مشاهدة تم إنشاؤها بالفعل، فالرجاء النقر هنا لإنشاء.

‫2. افتح قائمة Sources_by_SourceType المشاهدة وأضف إدخالات لمصدر البيانات هذا.

3. قيمة SourceType ل CitrixADC هي CitrixADC.

يمكنك الرجوع إلى هذه الوثائق لمزيد من التفاصيل

  1. تثبيت وإلحاق العامل لنظام Linux

عادة، يجب تثبيت العامل على كمبيوتر مختلف عن الكمبيوتر الذي يتم إنشاء السجلات عليه.

يتم جمع سجلات Syslog فقط من وكلاء Linux .

  1. تكوين السجلات ليتم جمعها

تكوين المرافق التي تريد جمعها وشدتها.

  1. ضمن workspace advanced settings Configuration، حدد Data ثم Syslog.

  2. حدد تطبيق التكوين أدناه على أجهزتي وحدد المرافق والخطورة.

  3. انقر فوق حفظ.

  4. تكوين Citrix ADC لإعادة توجيه السجلات عبر Syslog

3.1 انتقل إلى علامة التبويب > Configuration System > Auditing > Syslog > Servers

3.2 حدد اسم إجراء Syslog.

3.3 تعيين عنوان IP لخادم Syslog البعيد والمنفذ.

3.4 تعيين نوع النقل ك TCP أو UDP اعتمادا على تكوين خادم Syslog البعيد.

3.5 يمكنك الرجوع إلى وثائق Citrix ADC (NetScaler السابق) لمزيد من التفاصيل.

  1. التحقق من السجلات في Microsoft Sentinel

افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط Syslog.

ملاحظة: قد يستغرق ظهور السجلات الجديدة في جدول Syslog ما يصل إلى 15 دقيقة.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.