Citrix WAF (Firewall do Aplicativo Web) [Recomendado] por meio do conector do AMA para o Microsoft Sentinel
O WAF (Firewall do Aplicativo Web) do Citrix é uma solução WAF de nível empresarial líder do setor. O Citrix WAF atenua as ameaças contra seus ativos voltados ao público, incluindo sites, aplicativos e APIs. Da camada 3 à camada 7, o WAF do Citrix inclui proteções como reputação de IP, mitigação de bot, defesa contra as 10 principais ameaças do aplicativo OWASP, assinaturas internas para proteção contra vulnerabilidades de pilha de aplicativos e muito mais.
O WAF do Citrix dá suporte ao CEF (Formato Comum de Evento), que é um formato padrão do setor sobre mensagens do Syslog. Conectando logs de CEF do WAF do Citrix ao Microsoft Sentinel, você pode aproveitar a pesquisa & correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (CitrixWAFLogs) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Citrix Systems |
Exemplos de consulta
Logs de WAF do Citrix
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
Logs de WAF do Citrix para scripts entre sites
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_XSS"
Logs de WAF do Citrix para injeção de SQL
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_SQL"
Logs de WAF do Citrix para Bufferoverflow
CommonSecurityLog
| where DeviceVendor == "Citrix"
| where DeviceProduct == "NetScaler"
| where Activity == "APPFW_STARTURL"
Pré-requisitos
Para integrar com o Citrix WAF (Firewall do Aplicativo Web) [Recomendado] por meio do AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.