Compartilhar via

[Obsoleto] Conector Citrix ADC (antigo NetScaler) para Microsoft Sentinel

  • Artigo

Importante

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

O conector de dados Citrix ADC (antigo NetScaler) oferece a capacidade de ingerir logs do Citrix ADC no Microsoft Sentinel. Se você quiser ingerir logs do Citrix WAF no Microsoft Sentinel, consulte esta documentação

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics syslog
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

Dez principais tipos de eventos

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Instruções de instalação do fornecedor

Observação

  1. Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise o alias CitrixADCEvent e carregue o código da função ou clique aqui. Essa função mapeia eventos do Citrix ADC (antigo NetScaler) para o ASIM do Modelo avançado de informações de segurança. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

Observação

  1. Esse analisador requer uma watchlist chamada Sources_by_SourceType

i. Se você ainda não tiver a watchlist criada, clique aqui para criar.

ii. Abra a watchlist Sources_by_SourceType e adicione entradas para essa fonte de dados.

iii. O valor SourceType para CitrixADC é CitrixADC.

Veja pode consultar esta documentação para obter mais detalhes

  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.

  1. Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.

  3. Clique em Save (Salvar).

  4. Configurar o Citrix ADC para encaminhar logs por meio do Syslog

3.1 Navegar até a guia Configuração > Sistema > Auditoria > Syslog > guia Servidores

3.2 Especifique o nome da ação do Syslog.

3.3 Defina o endereço IP do servidor e da porta do Syslog remoto.

3.4 Defina Tipo de transporte como TCP ou UDP, dependendo da configuração remota do servidor Syslog.

3.5 Você pode consultar a documentação do Citrix ADC (antigo NetScaler) para obter mais detalhes.

  1. Verifique os logs no Microsoft Sentinel

Abra a Análise de Logs para verificar se os logs são recebidos usando o esquema do Syslog.

OBSERVAÇÃO: pode levar até 15 minutos para que os novos logs apareçam na tabela do Syslog.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.