Citrix ADC (bývalý konektor NetScaler) pro Microsoft Sentinel
Datový konektor Citrix ADC (bývalý NetScaler) poskytuje možnost ingestovat protokoly Citrix ADC do Služby Microsoft Sentinel. Pokud chcete ingestovat protokoly Citrix WAF do Služby Microsoft Sentinel, projděte si tuto dokumentaci.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 typů událostí
CitrixADCEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Pokyny k instalaci dodavatele
Poznámka:
- Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias CitrixADCEvent a načtěte kód funkce nebo klikněte sem, tato funkce mapuje události Citrix ADC (bývalé NetScaler) na ASIM rozšířeného modelu zabezpečení. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Tento analyzátor vyžaduje seznam ke zhlédnutí s názvem
Sources_by_SourceType
i. Pokud ještě nemáte vytvořený seznam ke zhlédnutí, klikněte sem a vytvořte ho .
ii. Otevřete seznam
Sources_by_SourceType
ke zhlédnutí a přidejte položky pro tento zdroj dat.
iii. Hodnota SourceType pro CitrixADC je
CitrixADC
.
Další podrobnosti najdete v této dokumentaci.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.
Klikněte na Uložit.
Konfigurace Citrix ADC pro předávání protokolů přes Syslog
3.1 Přejděte na kartu Systémové > auditování > serverů Syslog > na kartě > Konfigurace
3.2 Zadejte název akce Syslog.
3.3 Nastavte IP adresu vzdáleného serveru Syslog a portu.
3.4 Nastavte typ přenosu jako TCP nebo UDP v závislosti na vzdálené konfiguraci serveru Syslog.
3.5 Další podrobnosti najdete v dokumentaci k Citrix ADC (dříve NetScaler).
- Kontrola protokolů v Microsoft Sentinelu
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu Syslog.
POZNÁMKA: Než se nové protokoly zobrazí v tabulce Syslog, může to trvat až 15 minut.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.