Conector Citrix ADC (antigo NetScaler) para Microsoft Sentinel

  • Artigo

O conector de dados Citrix ADC (antigo NetScaler) fornece a capacidade de ingerir logs do Citrix ADC no Microsoft Sentinel. Se você quiser ingerir logs do Citrix WAF no Microsoft Sentinel, consulte esta documentação.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por Corporação Microsoft

Exemplos de consulta

Os 10 principais tipos de eventos

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Instruções de instalação do fornecedor

Nota

  1. Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias CitrixADCEvent e carregue o código da função ou clique aqui, esta função mapeia eventos Citrix ADC (antigo NetScaler) para Advanced Security Information Model ASIM. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
  2. Este analisador requer uma lista de observação chamada Sources_by_SourceType

i. Se você ainda não tem uma lista de observação criada, clique aqui para criar.

ii. Abra a lista Sources_by_SourceType de observação e adicione entradas para esta fonte de dados.

iii. O valor SourceType para CitrixADC é CitrixADC.

Você pode consultar esta documentação para obter mais detalhes

  1. Instalar e integrar o agente para Linux

Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.

Os logs do Syslog são coletados somente de agentes Linux .

  1. Configurar os logs a serem coletados

Configure as instalações que deseja coletar e suas gravidades.

  1. Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.

  3. Clique em Guardar.

  4. Configurar o Citrix ADC para encaminhar logs via Syslog

3.1 Navegue até a guia > Configuração Guia Servidores Syslog >> de Auditoria do Sistema >

3.2 Especifique o nome da ação Syslog.

3.3 Defina o endereço IP do servidor Syslog remoto e da porta.

3.4 Defina o tipo de transporte como TCP ou UDP, dependendo da configuração do servidor Syslog remoto.

3.5 Você pode consultar a documentação do Citrix ADC (antigo NetScaler) para obter mais detalhes.

  1. Verificar logs no Microsoft Sentinel

Abra o Log Analytics para verificar se os logs são recebidos usando o esquema Syslog.

NOTA: Pode demorar até 15 minutos até que novos logs apareçam na tabela Syslog.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.