Бөлісу құралы:

[Не рекомендуется] Соединитель Citrix ADC (бывший соединитель NetScaler) для Microsoft Sentinel

  • Мақала

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель данных Citrix ADC (бывший netScaler) предоставляет возможность приема журналов Citrix ADC в Microsoft Sentinel. Если вы хотите принять журналы Citrix WAF в Microsoft Sentinel, см. эту документацию.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Системный журнал
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 типов событий

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Инструкции по установке поставщика

Примечание.

  1. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CitrixADCEvent и загрузите код функции или щелкните здесь, эта функция сопоставляет события Citrix ADC (бывший NetScaler) с asIM расширенной информационной модели безопасности. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

Примечание.

  1. Для этого средства синтаксического анализа требуется список наблюдения с именем Sources_by_SourceType

i. Если у вас еще нет списка наблюдения, щелкните здесь , чтобы создать.

ii. Откройте список Sources_by_SourceType наблюдения и добавьте записи для этого источника данных.

iii. Значение SourceType для CitrixADC .CitrixADC

Дополнительные сведения см . в этой документации.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка Citrix ADC для пересылки журналов с помощью системного журнала

3.1 Перейдите на вкладку "Конфигурация" на вкладке > "Системный > аудит > серверов системного журнала > "

3.2 Укажите имя действия системного журнала.

3.3. Задайте IP-адрес удаленного сервера системного журнала и порта.

3.4 Задайте тип транспорта в виде TCP или UDP в зависимости от конфигурации удаленного сервера системного журнала.

3.5 Дополнительные сведения см. в документации по Citrix ADC (прежней версии NetScaler).

  1. Проверка журналов в Microsoft Sentinel

Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы Syslog.

ПРИМЕЧАНИЕ. До появления новых журналов в таблице Syslog может потребоваться до 15 минут.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.