Conector Citrix ADC (antigo NetScaler) para Microsoft Sentinel
O conector de dados Citrix ADC (antigo NetScaler) fornece a capacidade de ingerir logs do Citrix ADC no Microsoft Sentinel. Se você quiser ingerir logs do Citrix WAF no Microsoft Sentinel, consulte esta documentação.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog |
Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
Apoiado por | Corporação Microsoft |
Exemplos de consulta
Os 10 principais tipos de eventos
CitrixADCEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Instruções de instalação do fornecedor
Nota
- Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias CitrixADCEvent e carregue o código da função ou clique aqui, esta função mapeia eventos Citrix ADC (antigo NetScaler) para Advanced Security Information Model ASIM. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Este analisador requer uma lista de observação chamada
Sources_by_SourceType
i. Se você ainda não tem uma lista de observação criada, clique aqui para criar.
ii. Abra a lista
Sources_by_SourceType
de observação e adicione entradas para esta fonte de dados.
iii. O valor SourceType para CitrixADC é
CitrixADC
.
Você pode consultar esta documentação para obter mais detalhes
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.
Clique em Guardar.
Configurar o Citrix ADC para encaminhar logs via Syslog
3.1 Navegue até a guia > Configuração Guia Servidores Syslog >> de Auditoria do Sistema >
3.2 Especifique o nome da ação Syslog.
3.3 Defina o endereço IP do servidor Syslog remoto e da porta.
3.4 Defina o tipo de transporte como TCP ou UDP, dependendo da configuração do servidor Syslog remoto.
3.5 Você pode consultar a documentação do Citrix ADC (antigo NetScaler) para obter mais detalhes.
- Verificar logs no Microsoft Sentinel
Abra o Log Analytics para verificar se os logs são recebidos usando o esquema Syslog.
NOTA: Pode demorar até 15 minutos até que novos logs apareçam na tabela Syslog.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.