Recopila registros de NetScaler

En este documento, se describe cómo recopilar los registros de NetScaler con un agente de reenvío de Google Security Operations.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CITRIX_NETSCALER.

Configura NetScaler VPX

Para configurar el NetScaler VPX de modo que envíe registros al reenvío de Google Security Operations, haz lo siguiente:

• Verifica la configuración del nombre de host.
• Crea un servidor de auditoría.
• Vincula la política de auditoría creada al servidor.

Verifica la configuración del nombre de host

1. Accede a la interfaz web de NetScaler con credenciales de administrador.
2. Selecciona Configuración > Configuración.
3. Haz clic en Nombre de host, dirección IP de DNS y zona horaria.
4. Si el campo Nombre de host está vacío, ingresa el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que realices ninguna acción.
5. En el campo Dirección IP de DNS, verifica si se especificó la dirección IP de DNS local.
6. En el campo Zona horaria, ingresa tu zona horaria.

Crea un servidor de auditoría

1. En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog > Servers.
2. Especifica los detalles de Syslog en los siguientes campos:
   • Nombre
   • Tipo de servidor
   • Dirección IP
   • Puerto
3. Selecciona Niveles de registro como Personalizado.
4. Selecciona todas las casillas de verificación, excepto el nivel DEBUG en la configuración.
5. En la lista Log facility, selecciona LOCAL0.
6. En la lista Formato de fecha, selecciona MMDDYYYY.
7. Selecciona Zona horaria como GMT.
8. Desmarca las siguientes casillas de verificación:
   • Registro de TCP
   • Registro de LCA
   • Mensajes de registro configurables por el usuario
   • Registro de AppFlow
   • Registro de NAT a gran escala
   • Registro de mensajes de ALG
   • Registro de suscriptores
   • DNS
   • Interceptación de SSL
   • Filtro de URLs
   • Registro de inspección de contenido
9. Haz clic en Aceptar para crear el servidor de auditoría.

Vincula la política de auditoría creada al servidor

1. En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog.
2. Haz clic en la pestaña Políticas.
3. En el campo Nombre, ingresa un nombre para la política.
4. En la lista Servidor, selecciona la política de la sección anterior.
5. Haz clic en Crear.
6. Haz clic con el botón derecho en la política de auditoría creada y selecciona Acción > Enlaces globales.
7. Haz clic en Agregar vinculación.
8. En la ventana Vinculación de políticas, haz lo siguiente:
   1. En el campo Seleccionar política, ingresa la política de auditoría creada.
   2. En el panel Detalles de vinculación, en el campo Prioridad, ingresa 120, ya que es la prioridad predeterminada.
   3. Haz clic en Bind.

Configura NetScaler SDX

Para configurar el NetScaler SDX de modo que envíe registros al retransmisor de Google Security Operations, haz lo siguiente:

• Verifica la configuración del nombre de host para NetScaler SDX.
• Configura el servidor syslog.
• Configura los parámetros de syslog.

Verifica la configuración del nombre de host para NetScaler SDX

1. Accede a la interfaz web de NetScaler con credenciales de administrador.
2. En la interfaz web de NetScaler, selecciona System > System settings.
3. Si el campo Nombre de host está vacío, ingresa el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que realices ninguna acción.
4. En el campo Zona horaria, selecciona UTC o GMT.

Configura el servidor syslog

1. En la interfaz web de NetScaler, selecciona System > Notifications > Syslog servers.
2. En el panel Detalles, haz clic en Agregar.
3. En la ventana Crear servidor syslog, especifica valores para los siguientes parámetros del servidor syslog:
   1. En el campo Nombre, ingresa un nombre.
   2. En el campo Dirección IP, ingresa la dirección IP del reenviador de Operaciones de seguridad de Google.
   3. En el campo Puerto, ingresa el número de puerto.
   4. Selecciona Niveles de registro como Personalizado.
   5. Selecciona todos los niveles de registro, excepto Debug.
4. Haz clic en Crear.

Configura los parámetros de syslog

1. En la interfaz web de NetScaler, selecciona System > Notifications > Syslog servers.
2. En el panel Detalles, haz clic en Parámetros de Syslog.
3. En la página Configure syslog parameters, selecciona Date format como MMDDYYYY y Time zone como GMT.
4. Haz clic en Aceptar.

Configura el reenvío de Google Security Operations para que ingiera registros de NetScaler

1. Selecciona SIEM Settings > Forwarders.
2. Haz clic en Agregar un nuevo reenvío.
3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
5. En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
6. Selecciona Citrix NetScaler como el Tipo de registro.
7. En el campo Tipo de recopilador, selecciona Syslog.
8. Configura los siguientes parámetros de entrada obligatorios:
   • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
   • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
   • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
9. Haz clic en Enviar.

Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations.

Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador procesa los registros de SYSLOG de Citrix Netscaler en formato de clave-valor, extrae datos con formato JSON del campo message y enriquece el UDM con información de otros campos, como host.hostname y user_agent.original, después de limpiarlos. Maneja los casos en los que el mensaje principal está vacío recurriendo al mensaje de registro original.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
ID de transacción de AAA	security_result.detection_fields[].value	Es el valor extraído del campo "ID de transacción de AAA".
Acceso	security_result.action_details	Si "Access" es "Allowed", establece security_result.action en ALLOW. Si "Access" es "Denied", configura security_result.action como BLOCK.
applicationName	principal.application	Es el valor extraído del campo "applicationName".
Browser_type	network.http.user_agent	Es el valor extraído del campo "Browser_type".
ClientIP	principal.ip, principal.asset.ip	Es el valor extraído del campo "ClientIP".
ClientPort	principal.port	Es el valor extraído del campo "ClientPort".
client_cookie	additional.fields[].value.string_value	Es el valor extraído del campo "client_cookie".
Comando	target.process.command_line	Es el valor extraído del campo "Command".
connectionId	security_result.detection_fields[].value	Es el valor extraído del campo "connectionId".
Destino	target.ip, target.asset.ip	Es el valor extraído del campo "Destino".
Destino	target.ip, target.asset.ip	Es el valor extraído del campo "Destino".
device_serial_number	target.asset_id	target.asset_id se establece en "device_serial_number:".
Duración	network.session_duration.seconds	La duración se convierte a segundos y se asigna.
Hora de finalización	security_result.detection_fields[].value	Es el valor extraído del campo "Hora de finalización".
Failure_reason	metadata.description	Es el valor extraído del campo "Failure_reason".
flags	additional.fields[].value.string_value	Es el valor extraído del campo "flags".
Grupos	target.group.group_display_name	Es el valor extraído del campo "Grupos".
Razonamiento	metadata.description	Es el valor extraído del campo "Motivo".
Remote_ip	target.ip, target.asset.ip	Es el valor extraído del campo "Remote_ip".
ServerIP	target.ip, target.asset.ip	Es el valor extraído del campo "ServerIP".
ServerPort	target.port	Es el valor extraído del campo "ServerPort".
session_guid	metadata.product_log_id	Es el valor extraído del campo "session_guid".
ID sesión	network.session_id	Es el valor extraído del campo "SessionId".
Fuente	principal.ip, principal.asset.ip	Es el valor extraído del campo "Fuente".
Hora de inicio	security_result.detection_fields[].value	Es el valor extraído del campo "Hora de inicio".
startTime	security_result.detection_fields[].value	Es el valor extraído del campo "startTime".
Estado	security_result.description	Es el valor extraído del campo "Estado".
Total_bytes_recv	network.received_bytes	Es el valor extraído del campo "Total_bytes_recv".
Total_bytes_send	network.sent_bytes	Es el valor extraído del campo "Total_bytes_send".
Total_bytes_wire_recv	security_result.detection_fields[].value	Es el valor extraído del campo "Total_bytes_wire_recv".
Total_bytes_wire_send	security_result.detection_fields[].value	Es el valor extraído del campo "Total_bytes_wire_send".
Usuario	principal.user.userid	Es el valor extraído del campo "Usuario".
VserverServiceIP	target.ip, target.asset.ip	Es el valor extraído del campo "VserverServiceIP".
VserverServicePort	target.port	Es el valor extraído del campo "VserverServicePort". Se codifica de forma rígida como "CITRIX". Se codifica como "NETSCALER". Está codificado como "CITRIX_NETSCALER". El analizador lo determina según el valor de product_event_type. Ejemplos: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Valor extraído del prefijo del registro (p.ej., CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, etc.). Es una descripción breve del evento que, a veces, se deriva de otros campos, como "Reason" o "Failure_reason". Se calcula a partir de los campos de fecha y hora de la entrada de registro. El analizador controla varios formatos y zonas horarias. Se extrae del campo "nombredeusuario:nombrededominio" y se toma la parte que aparece después de los dos puntos. Se codifica como TCP para los eventos con "TCP" en metadata.product_event_type. Se establece en ALLOW para los accesos y comandos exitosos, y en BLOCK para los accesos fallidos y el acceso a recursos bloqueados. Se deriva de campos como "Estado", "Motivo_del_error" y "Acceso". Se establece en USERNAME_PASSWORD cuando se usan el nombre de usuario y la contraseña para la autenticación (se infiere a partir de ciertos mensajes de registro). Se establece en VPN para los eventos relacionados con el acceso o el cierre de sesión de la VPN. Se analizó a partir del campo network.http.user_agent con una biblioteca de análisis de user-agent.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.