收集 NetScaler 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 NetScaler 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 CITRIX_NETSCALER 攝取標籤的剖析器。

設定 NetScaler VPX

如要將 NetScaler VPX 設定為將記錄傳送至 Google Security Operations 轉送器,請執行下列操作:

驗證主機名稱設定

  1. 使用管理員憑證登入 NetScaler 網頁介面。
  2. 依序選取「Configuration」>「Settings」
  3. 按一下「主機名稱、DNS IP 位址和時區」
  4. 如果「主機名稱」欄位為空白,請輸入主機名稱。請勿包含空格。 如果已設定這個欄位,則無須採取任何行動。
  5. 在「DNS IP address」(DNS IP 位址) 欄位中,確認是否已指定本機 DNS IP 位址。
  6. 在「時區」欄位中輸入時區。

建立稽核伺服器

  1. 在 NetScaler 網頁介面中,依序選取「Configuration」>「System」>「Auditing」>「Syslog」>「Servers」
  2. 在下列欄位中指定系統記錄詳細資料:
    • 名稱
    • 伺服器類型
    • IP 位址
    • Port (通訊埠)
  3. 將「記錄層級」選取為「自訂」
  4. 在設定中選取「DEBUG」層級以外的所有核取方塊。
  5. 在「記錄設施」清單中選取「LOCAL0」
  6. 在「日期格式」清單中,選取「MMDDYYYY」
  7. 將「時區」選為「格林威治標準時間」
  8. 取消勾選下列核取方塊:
    • TCP 記錄
    • ACL 記錄
    • 使用者可設定的記錄訊息
    • AppFlow 記錄
    • 大規模 NAT 記錄
    • 記錄 ALG 訊息
    • 訂閱者記錄
    • DNS
    • SSL 攔截
    • 網址篩選
    • 內容檢查記錄
  9. 按一下「確定」建立稽核伺服器。

將建立的稽核政策繫結至伺服器

  1. 在 NetScaler 網頁介面中,依序選取「Configuration」>「System」>「Auditing」>「Syslog」
  2. 按一下「政策」分頁標籤。
  3. 在「Name」(名稱) 欄位中,輸入政策名稱。
  4. 在「伺服器」清單中,選取上一節的政策。
  5. 點選「建立」
  6. 在建立的稽核政策上按一下滑鼠右鍵,然後依序選取「動作」> 全域繫結」
  7. 按一下「新增繫結」
  8. 在「Policy binding」(政策繫結) 視窗中,執行下列操作:
    1. 在「Select policy」(選取政策) 欄位中,輸入建立的稽核政策。
    2. 在「繫結詳細資料」窗格的「優先順序」欄位中,輸入「120」,因為這是預設優先順序。
    3. 按一下「繫結」

設定 NetScaler SDX

如要設定 NetScaler SDX 將記錄傳送至 Google Security Operations 轉送器,請按照下列步驟操作:

驗證 NetScaler SDX 的主機名稱設定

  1. 使用管理員憑證登入 NetScaler 網頁介面。
  2. 在 NetScaler 網頁介面中,選取「System」> System settings
  3. 如果「主機名稱」欄位為空白,請輸入主機名稱。請勿包含空格。 如果已設定這個欄位,則無須採取任何行動。
  4. 在「時區」欄位中,選取「UTC」或「GMT」

設定系統記錄伺服器

  1. 在 NetScaler 網頁介面中,依序選取「System」>「Notifications」>「Syslog servers」
  2. 在「詳細資料」窗格中,按一下「新增」
  3. 在「建立系統記錄伺服器」視窗中,為下列系統記錄伺服器參數指定值:
    1. 在「名稱」欄位中輸入名稱。
    2. 在「IP 位址」欄位中,輸入 Google Security Operations 轉送器 IP 位址。
    3. 在「Port」(通訊埠) 欄位中輸入通訊埠號碼。
    4. 將「記錄層級」選取為「自訂」
    5. 選取「Debug」以外的所有記錄層級。
  4. 點選「建立」

設定系統記錄參數

  1. 在 NetScaler 網頁介面中,依序選取「System」>「Notifications」>「Syslog servers」
  2. 在「詳細資料」窗格中,按一下「Syslog 參數」
  3. 在「設定系統記錄參數」頁面中,將「日期格式」選為「MMDDYYYY」,並將「時區」選為「GMT」
  4. 按一下 [確定]。

設定 Google Security Operations 轉送器,以便擷取 NetScaler 記錄

  1. 依序選取「SIEM 設定」>「轉送器」
  2. 按一下「新增轉寄者」
  3. 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
  4. 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  5. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  6. 選取「Citrix NetScaler」做為「記錄類型」
  7. 在「收集器類型」欄位中,選取「Syslog」
  8. 設定下列必要輸入參數:
    • 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
  9. 按一下「提交」

如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會處理鍵/值格式的 Citrix Netscaler SYSLOG 記錄,從 message 欄位擷取 JSON 格式的資料,並在清除其他欄位 (例如 host.hostnameuser_agent.original) 後,使用這些欄位的資訊擴充 UDM。如果主要訊息為空白,系統會改用原始記錄訊息。

UDM 對應表

記錄欄位 UDM 對應 邏輯
AAA 交易 ID security_result.detection_fields[].value 從「AAA trans id」欄位擷取的值。
存取 security_result.action_details 如果「存取權」為「允許」,請將 security_result.action 設為 ALLOW。如果「存取權」為「已拒絕」,請將 security_result.action 設為 BLOCK。
applicationName principal.application 從「applicationName」欄位擷取的值。
Browser_type network.http.user_agent 從「Browser_type」欄位擷取的值。
ClientIP principal.ipprincipal.asset.ip 從「ClientIP」欄位擷取的值。
ClientPort principal.port 從「ClientPort」欄位擷取的值。
client_cookie additional.fields[].value.string_value 從「client_cookie」欄位擷取的值。
指令 target.process.command_line 從「指令」欄位擷取的值。
connectionId security_result.detection_fields[].value 從「connectionId」欄位擷取的值。
目的地 target.iptarget.asset.ip 從「目的地」欄位擷取的值。
目的地 target.iptarget.asset.ip 從「目的地」欄位擷取的值。
device_serial_number target.asset_id target.asset_id 設為「device_serial_number:」。
時間長度 network.session_duration.seconds 系統會將時間長度轉換為秒數並對應。
結束時間 security_result.detection_fields[].value 從「結束時間」欄位擷取的值。
Failure_reason metadata.description 從「Failure_reason」欄位擷取的值。
flags additional.fields[].value.string_value 從「flags」欄位擷取的值。
群組 target.group.group_display_name 從「群組」欄位擷取的值。
原因 metadata.description 從「原因」欄位擷取的值。
Remote_ip target.iptarget.asset.ip 從「Remote_ip」欄位擷取的值。
ServerIP target.iptarget.asset.ip 從「ServerIP」欄位擷取的值。
ServerPort target.port 從「ServerPort」欄位擷取的值。
session_guid metadata.product_log_id 從「session_guid」欄位擷取的值。
SessionId network.session_id 從「SessionId」欄位擷取的值。
來源 principal.ipprincipal.asset.ip 從「來源」欄位擷取的值。
開始時間 security_result.detection_fields[].value 從「開始時間」欄位擷取的值。
startTime security_result.detection_fields[].value 從「startTime」欄位擷取的值。
狀態 security_result.description 從「狀態」欄位擷取的值。
Total_bytes_recv network.received_bytes 從「Total_bytes_recv」欄位擷取的值。
Total_bytes_send network.sent_bytes 從「Total_bytes_send」欄位擷取的值。
Total_bytes_wire_recv security_result.detection_fields[].value 從「Total_bytes_wire_recv」欄位擷取的值。
Total_bytes_wire_send security_result.detection_fields[].value 從「Total_bytes_wire_send」欄位擷取的值。
使用者 principal.user.userid 從「使用者」欄位擷取的值。
VserverServiceIP target.iptarget.asset.ip 從「VserverServiceIP」欄位擷取的值。
VserverServicePort target.port 從「VserverServicePort」欄位擷取的值。已硬式編碼為「CITRIX」。硬式編碼為「NETSCALER」。硬式編碼為「CITRIX_NETSCALER」。由剖析器根據 product_event_type 判斷。例如:NETWORK_CONNECTION、USER_LOGIN、USER_LOGOUT、USER_STATS、STATUS_UPDATE、USER_UNCATEGORIZED、GENERIC_EVENT。從記錄前置字元擷取的值 (例如 CONN_DELINK、CONN_TERMINATE、OTHERCONN_DELINK 等)。事件的簡短說明,有時會從「原因」或「Failure_reason」等其他欄位衍生而來。根據記錄項目中的日期和時間欄位計算。剖析器可處理各種格式和時區。從「使用者名稱:網域名稱」欄位擷取,取冒號後方的部分。如果事件的 metadata.product_event_type 中含有「TCP」,系統會硬式編碼為 TCP。如果登入和指令成功,請設為 ALLOW;如果登入失敗和資源存取遭封鎖,請設為 BLOCK。衍生自「狀態」、「失敗原因」和「存取權」等欄位。如果使用使用者名稱和密碼進行驗證 (從特定記錄訊息推斷),請設為 USERNAME_PASSWORD。設定為 VPN,以取得 VPN 相關的登入/登出事件。使用使用者代理程式剖析程式庫,從 network.http.user_agent 欄位剖析。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。