Mengumpulkan log NetScaler
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log NetScaler menggunakan penerusan Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CITRIX_NETSCALER.
Mengonfigurasi NetScaler VPX
Untuk mengonfigurasi NetScaler VPX agar mengirim log ke penerus Google Security Operations, lakukan hal berikut:
Memverifikasi konfigurasi nama host
- Login ke antarmuka web NetScaler menggunakan kredensial administrator.
- Pilih Configuration > Settings.
- Klik Nama host, alamat IP DNS, dan Zona waktu.
- Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
- Di kolom Alamat IP DNS, verifikasi apakah alamat IP DNS lokal ditentukan.
- Di kolom Zona waktu, masukkan zona waktu Anda.
Membuat server audit
- Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog > Servers.
- Tentukan detail syslog di kolom berikut:
- Nama
- Jenis server
- Alamat IP
- Port
- Pilih Tingkat log sebagai Kustom.
- Pilih semua kotak centang kecuali tingkat DEBUG dalam konfigurasi.
- Dalam daftar Fasilitas log, pilih LOCAL0.
- Dalam daftar Format tanggal, pilih MMDDYYYY.
- Pilih Zona waktu sebagai GMT.
- Hapus centang pada kotak berikut:
- Logging TCP
- Logging ACL
- Pesan log yang dapat dikonfigurasi pengguna
- Pencatatan log AppFlow
- Logging NAT skala besar
- Logging pesan ALG
- Pencatatan log pelanggan
- DNS
- Penyadapan SSL
- Pemfilteran URL
- Logging pemeriksaan konten
- Klik Oke untuk membuat server audit.
Mengikat kebijakan audit yang dibuat ke server
- Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog.
- Klik tab Kebijakan.
- Di kolom Nama, masukkan nama untuk kebijakan.
- Dalam daftar Server, pilih kebijakan dari bagian sebelumnya.
- Klik Buat.
- Klik kanan kebijakan audit yang dibuat, lalu pilih Action > Global bindings.
- Klik Tambahkan binding.
- Di jendela Policy binding, lakukan langkah berikut:
- Di kolom Select policy, masukkan kebijakan audit yang dibuat.
- Di panel Detail binding, di kolom Priority, masukkan 120 karena ini adalah prioritas default.
- Klik Bind.
Mengonfigurasi NetScaler SDX
Untuk mengonfigurasi NetScaler SDX agar mengirim log ke penerusan Google Security Operations, lakukan hal berikut:
- Verifikasi konfigurasi nama host untuk NetScaler SDX.
- Konfigurasi server syslog.
- Konfigurasi parameter syslog.
Memverifikasi konfigurasi nama host untuk NetScaler SDX
- Login ke antarmuka web NetScaler menggunakan kredensial administrator.
- Di antarmuka web NetScaler, pilih System > System settings.
- Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
- Di kolom Zona waktu, pilih UTC atau GMT.
Mengonfigurasi server syslog
- Di antarmuka web NetScaler, pilih System > Notifications > Syslog servers.
- Di panel Detail, klik Tambahkan.
- Di jendela Create syslog server, tentukan nilai untuk parameter server syslog berikut:
- Di kolom Name, masukkan nama.
- Di kolom IP address, masukkan alamat IP penerusan Google Security Operations.
- Di kolom Port, masukkan nomor port.
- Pilih Tingkat log sebagai Kustom.
- Pilih semua tingkat log kecuali Debug.
- Klik Buat.
Mengonfigurasi parameter syslog
- Di antarmuka web NetScaler, pilih System > Notifications > Syslog servers.
- Di panel Detail, klik Parameter Syslog.
- Di halaman Configure syslog parameters, pilih Date format sebagai MMDDYYYY dan pilih Time zone sebagai GMT.
- Klik Ok.
Mengonfigurasi penerusan Google Security Operations untuk menyerap log NetScaler
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Collector name, ketik nama unik untuk pengumpul.
- Pilih Citrix NetScaler sebagai Jenis log.
- Di kolom Collector type, pilih Syslog.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini memproses log SYSLOG Citrix Netscaler dalam format key-value, mengekstrak data berformat JSON dari kolom message, dan memperkaya UDM dengan informasi dari kolom lain seperti host.hostname dan user_agent.original setelah membersihkannya. Fungsi ini menangani kasus saat pesan utama kosong dengan kembali ke pesan log asli.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| ID transaksi AAA | security_result.detection_fields[].value |
Nilai diekstrak dari kolom "AAA trans id". |
| Akses | security_result.action_details |
Jika "Akses" adalah "Diizinkan", tetapkan security_result.action ke ALLOW. Jika "Akses" adalah "Ditolak", tetapkan security_result.action ke BLOCK. |
| applicationName | principal.application |
Nilai diekstrak dari kolom "applicationName". |
| Browser_type | network.http.user_agent |
Nilai yang diekstrak dari kolom "Browser_type". |
| ClientIP | principal.ip, principal.asset.ip |
Nilai diekstrak dari kolom "ClientIP". |
| ClientPort | principal.port |
Nilai diekstrak dari kolom "ClientPort". |
| client_cookie | additional.fields[].value.string_value |
Nilai diekstrak dari kolom "client_cookie". |
| Perintah | target.process.command_line |
Nilai diekstrak dari kolom "Perintah". |
| connectionId | security_result.detection_fields[].value |
Nilai diekstrak dari kolom "connectionId". |
| Tujuan | target.ip, target.asset.ip |
Nilai diekstrak dari kolom "Tujuan". |
| Tujuan | target.ip, target.asset.ip |
Nilai diekstrak dari kolom "Tujuan". |
| device_serial_number | target.asset_id |
target.asset_id ditetapkan ke "device_serial_number: |
| Durasi | network.session_duration.seconds |
Durasi dikonversi menjadi detik dan dipetakan. |
| Waktu Berakhir | security_result.detection_fields[].value |
Nilai yang diekstrak dari kolom "Waktu Berakhir". |
| Failure_reason | metadata.description |
Nilai diekstrak dari kolom "Failure_reason". |
| flag | additional.fields[].value.string_value |
Nilai yang diekstrak dari kolom "flags". |
| Grup | target.group.group_display_name |
Nilai diekstrak dari kolom "Grup". |
| Alasan | metadata.description |
Nilai diekstrak dari kolom "Alasan". |
| Remote_ip | target.ip, target.asset.ip |
Nilai yang diekstrak dari kolom "Remote_ip". |
| ServerIP | target.ip, target.asset.ip |
Nilai diekstrak dari kolom "ServerIP". |
| ServerPort | target.port |
Nilai diekstrak dari kolom "ServerPort". |
| session_guid | metadata.product_log_id |
Nilai yang diekstrak dari kolom "session_guid". |
| SessionId | network.session_id |
Nilai diekstrak dari kolom "SessionId". |
| Sumber | principal.ip, principal.asset.ip |
Nilai diekstrak dari kolom "Sumber". |
| Waktu Mulai | security_result.detection_fields[].value |
Nilai diekstrak dari kolom "Waktu Mulai". |
| startTime | security_result.detection_fields[].value |
Nilai yang diekstrak dari kolom "startTime". |
| Status | security_result.description |
Nilai yang diekstrak dari kolom "Status". |
| Total_bytes_recv | network.received_bytes |
Nilai yang diekstrak dari kolom "Total_bytes_recv". |
| Total_bytes_send | network.sent_bytes |
Nilai yang diekstrak dari kolom "Total_bytes_send". |
| Total_bytes_wire_recv | security_result.detection_fields[].value |
Nilai yang diekstrak dari kolom "Total_bytes_wire_recv". |
| Total_bytes_wire_send | security_result.detection_fields[].value |
Nilai yang diekstrak dari kolom "Total_bytes_wire_send". |
| Pengguna | principal.user.userid |
Nilai yang diekstrak dari kolom "Pengguna". |
| VserverServiceIP | target.ip, target.asset.ip |
Nilai diekstrak dari kolom "VserverServiceIP". |
| VserverServicePort | target.port |
Nilai diekstrak dari kolom "VserverServicePort". Dikodekan secara permanen ke "CITRIX". Dikodekan secara permanen ke "NETSCALER". Dikodekan secara permanen ke "CITRIX_NETSCALER". Ditentukan oleh parser berdasarkan product_event_type. Contoh: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Nilai yang diekstrak dari awalan log (misalnya, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, dll.). Deskripsi singkat tentang peristiwa, terkadang berasal dari kolom lain seperti "Alasan" atau "Alasan_kegagalan". Dihitung dari kolom tanggal dan waktu dalam entri log. Parser menangani berbagai format dan zona waktu. Diekstrak dari kolom "username:domainname", dengan mengambil bagian setelah titik dua. Dikodekan secara permanen ke TCP untuk peristiwa dengan "TCP" di metadata.product_event_type. Setel ke ALLOW untuk login dan perintah yang berhasil, BLOCK untuk login yang gagal dan akses resource yang diblokir. Diperoleh dari kolom seperti "Status", "Failure_reason", dan "Access". Disetel ke USERNAME_PASSWORD saat nama pengguna dan sandi digunakan untuk autentikasi (disimpulkan dari pesan log tertentu). Disetel ke VPN untuk peristiwa login/logout terkait VPN. Diuraikan dari kolom network.http.user_agent menggunakan library penguraian agen pengguna. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.