Соединитель Citrix ADC (бывший соединитель NetScaler) для Microsoft Sentinel

  • Статья

Соединитель данных Citrix ADC (бывший netScaler) предоставляет возможность приема журналов Citrix ADC в Microsoft Sentinel. Если вы хотите принять журналы Citrix WAF в Microsoft Sentinel, ознакомьтесь с этой документацией.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Системный журнал
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 типов событий

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Инструкции по установке поставщика

Примечание.

  1. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CitrixADCEvent и загрузите код функции или щелкните здесь, эта функция сопоставляет события Citrix ADC (бывший NetScaler) с asIM расширенной информационной модели безопасности. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
  2. Для этого средства синтаксического анализа требуется список наблюдения с именем Sources_by_SourceType

i. Если у вас еще нет списка наблюдения, щелкните здесь , чтобы создать.

ii. Откройте список Sources_by_SourceType наблюдения и добавьте записи для этого источника данных.

iii. Значение SourceType для CitrixADC .CitrixADC

Дополнительные сведения см . в этой документации.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка Citrix ADC для пересылки журналов с помощью системного журнала

3.1 Перейдите на вкладку "Конфигурация" на вкладке > "Системный > аудит > серверов системного журнала > "

3.2 Укажите имя действия системного журнала.

3.3. Задайте IP-адрес удаленного сервера системного журнала и порта.

3.4 Задайте тип транспорта в виде TCP или UDP в зависимости от конфигурации удаленного сервера системного журнала.

3.5 Дополнительные сведения см. в документации по Citrix ADC (прежней версии NetScaler).

  1. Проверка журналов в Microsoft Sentinel

Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы Syslog.

ПРИМЕЧАНИЕ. До появления новых журналов в таблице Syslog может потребоваться до 15 минут.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.