Conector Citrix ADC (antigo NetScaler) para Microsoft Sentinel
O conector de dados Citrix ADC (antigo NetScaler) oferece a capacidade de ingerir logs do Citrix ADC no Microsoft Sentinel. Se você quiser ingerir logs do Citrix WAF no Microsoft Sentinel, consulte essa documentação.
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | syslog |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
Dez principais tipos de eventos
CitrixADCEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Instruções de instalação do fornecedor
Observação
- Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise o alias CitrixADCEvent e carregue o código da função ou clique aqui. Essa função mapeia eventos do Citrix ADC (antigo NetScaler) para o ASIM do Modelo avançado de informações de segurança. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Esse analisador requer uma watchlist chamada
Sources_by_SourceType
i. Se você ainda não tiver a watchlist criada, clique aqui para criar.
ii. Abra a watchlist
Sources_by_SourceType
e adicione entradas para essa fonte de dados.
iii. O valor SourceType para CitrixADC é
CitrixADC
.
Veja pode consultar esta documentação para obter mais detalhes
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
Clique em Save (Salvar).
Configurar o Citrix ADC para encaminhar logs por meio do Syslog
3.1 Navegar até a guia Configuração > Sistema > Auditoria > Syslog > guia Servidores
3.2 Especifique o nome da ação do Syslog.
3.3 Defina o endereço IP do servidor e da porta do Syslog remoto.
3.4 Defina Tipo de transporte como TCP ou UDP, dependendo da configuração remota do servidor Syslog.
3.5 Você pode consultar a documentação do Citrix ADC (antigo NetScaler) para obter mais detalhes.
- Verifique os logs no Microsoft Sentinel
Abra a Análise de Logs para verificar se os logs são recebidos usando o esquema do Syslog.
OBSERVAÇÃO: pode levar até 15 minutos para que os novos logs apareçam na tabela do Syslog.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.