Web App Firewall Protokolle

Die von Web App Firewall generierten Protokollmeldungen können sehr nützlich sein, um die Konfigurationsänderungen, die Richtlinienaufrufe der Web App Firewall und die Verletzungen der Sicherheitsprüfung zu verfolgen.

Wenn die Protokollaktion für Sicherheitsprüfungen oder Signaturen aktiviert ist, liefern die resultierenden Protokollmeldungen Informationen zu den Anforderungen und Antworten, die die Web App Firewall während des Schutzes Ihrer Websites und Anwendungen beobachtet hat. Die wichtigsten Informationen sind die von der Web App Firewall durchgeführte Aktion, wenn eine Signatur oder eine Sicherheitsüberprüfungsverletzung festgestellt wurde. Bei einigen Sicherheitsprüfungen kann die Protokollmeldung zusätzliche nützliche Informationen bereitstellen, z. B. den Speicherort und das erkannte Muster, das die Verletzung ausgelöst hat. Sie können Sicherheitsprüfungen im Nicht-Blockmodus bereitstellen und die Protokolle überwachen, um festzustellen, ob die Transaktionen, die Sicherheitsverletzungen auslösen, gültige Transaktionen sind (False Positives). Wenn dies der Fall ist, können Sie die Signatur- oder Sicherheitsprüfungen entweder entfernen oder neu konfigurieren, Entspannungen bereitstellen oder andere geeignete Maßnahmen ergreifen, um die Fehlalarme zu verringern, bevor Sie die Sperre für diese Signatur oder Sicherheitsprüfung aktivieren. Eine übermäßige Zunahme der Anzahl von Verstößen in Protokollen kann auf einen Anstieg bösartiger Anforderungen hinweisen. Dies kann Sie darauf hinweisen, dass Ihre Anwendung möglicherweise angegriffen wird, um eine bestimmte Sicherheitsanfälligkeit auszunutzen, die durch den Schutz der Web App Firewall erkannt und vereitelt wird.

Citrix ADC Formatprotokolle (Native)

Die Web App Firewall verwendet standardmäßig die Protokolle des Citrix ADC Formats (auch als Protokolle für das native Format bezeichnet). Diese Protokolle haben das gleiche Format wie die von anderen Citrix ADC Features generierten. Jedes Protokoll enthält die folgenden Felder:

  • Zeitstempel. Datum und Uhrzeit der Verbindung.
  • Schweregrad. Schweregrad des Protokolls.
  • Modul. Citrix ADC Modul, das den Protokolleintrag generiert hat.
  • Ereignistyp. Typ des Ereignisses, z. B. Verletzung der Signatur oder Verletzung der Sicherheitsüberprüfung.
  • Ereignis-ID. Dem Ereignis zugewiesene ID.
  • Client-IP. IP-Adresse des Benutzers, dessen Verbindung protokolliert wurde.
  • Transaktions-ID. ID, die der Transaktion zugewiesen wurde, die das Protokoll verursacht hat.
  • Sitzungs-ID. ID, die der Benutzersitzung zugewiesen wurde, die das Protokoll verursacht hat.
  • Nachricht. Die Protokollmeldung. Enthält Informationen zur Identifizierung der Signatur oder der Sicherheitsprüfung, die den Protokolleintrag ausgelöst hat.

Sie können nach einem dieser Felder oder einer beliebigen Kombination von Informationen aus verschiedenen Feldern suchen. Ihre Auswahl ist nur durch die Funktionen der Tools begrenzt, die Sie zum Anzeigen der Protokolle verwenden. Sie können die Protokollmeldungen der Web App Firewall in der Benutzeroberfläche beobachten, indem Sie auf den Citrix ADC Syslog-Viewer zugreifen, oder Sie können manuell eine Verbindung zur Citrix ADC-Appliance herstellen und über die Befehlszeilenschnittstelle auf Protokolle zugreifen, oder Sie können die Protokolle direkt aus dem Ordner /var/log/zugreifen.

Beispiel für eine Meldung des Native Format-Protokolls

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_XSS 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>

Allgemeine Ereignisformat-Protokolle (CEF)

Die Web App Firewall unterstützt auch CEF-Protokolle. CEF ist ein offener Protokollverwaltungsstandard, der die Interoperabilität sicherheitsrelevanter Informationen von verschiedenen Sicherheits- und Netzwerkgeräten und -anwendungen verbessert. CEF ermöglicht es Kunden, ein gemeinsames Ereignisprotokollformat zu verwenden, sodass Daten leicht von einem Enterprise-Management-System erfasst und für die Analyse aggregiert werden können. Die Protokollnachricht ist in verschiedene Felder unterteilt, sodass Sie die Nachricht leicht analysieren und Skripts schreiben können, um wichtige Informationen zu identifizieren.

Analyse der CEF-Protokollnachricht

Zusätzlich zu den Informationen zu Datum, Zeitstempel, Client-IP, Protokollformat, Appliance, Unternehmen, Build-Version, Modul und Sicherheitsprüfung enthalten Web App Firewall CEF-Protokollmeldungen folgende Details:

  • src — Quell-IP-Adresse
  • spt — Quellportnummer
  • Anfrage — URL anfordern
  • Akt — Aktion (z.B. blockiert, transformiert)
  • msg — message (Meldung bezüglich der beobachteten Sicherheitsüberprüfungsverletzung)
  • cn1 — Ereignis-ID
  • cn2 — HTTP-Transaktions-ID
  • cs1 — Profilname
  • cs2 — PSA ID (z. B. PPE1)
  • cs3 - Sitzungs-ID
  • cs4 — Schweregrad (z. B. INFO, ALERT)
  • cs5 — Veranstaltungsjahr
  • cs6 - Unterschriftenverletzungskategorie
  • Methode — Methode (z. B. GET/POST)

Betrachten Sie beispielsweise die folgende Protokollmeldung im CEF-Format, die beim Auslösen einer Start-URL-Verletzung generiert wurde:

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked

Die obige Nachricht kann in verschiedene Komponenten unterteilt werden. SieheCEP-ProtokollkomponentenTabelle.

Beispiel für eine Anforderungsprüfung Verletzung im CEF-Protokollformat: Anforderung ist nicht blockiert

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked

Beispiel für eine Antwortüberprüfungsverletzung im CEF-Format: Antwort wird transformiert

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed

Beispiel für eine anforderungsseitige Signaturverletzung im CEF-Format: Anforderung ist blockiert

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked

Protokollieren der Geolokalisierung in den Verstößen der Web App Firewall

Geolocation, die den geografischen Standort identifiziert, von dem die Anforderungen stammen, kann Ihnen dabei helfen, die Web App Firewall für ein optimales Sicherheitsniveau zu konfigurieren. Um Sicherheitsimplementierungen wie Ratenbegrenzung zu umgehen, die von den IP-Adressen der Clients abhängig sind, können Malware oder nicht autorisierte Computer weiterhin die Quell-IP-Adresse in Anforderungen ändern. Die Identifizierung der bestimmten Region, aus der Anfragen kommen, kann helfen festzustellen, ob die Anforderungen von einem gültigen Benutzer oder einem Gerät stammen, das versucht, Cyberangriffe zu starten. Wenn beispielsweise eine zu große Anzahl von Anforderungen aus einem bestimmten Bereich empfangen wird, ist es leicht festzustellen, ob sie von Benutzern oder einem nicht autorisierten Computer gesendet werden. Die Geolokationsanalyse des empfangenen Datenverkehrs kann sehr nützlich sein, wenn Angriffe wie Denial-of-Service-Angriffe (DoS) abgelenkt werden.

Mit der Web App Firewall können Sie die integrierte Citrix ADC Datenbank verwenden, um die Speicherorte zu identifizieren, die den IP-Adressen entsprechen, von denen bösartige Anforderungen stammen. Sie können dann eine höhere Sicherheitsstufe für Anforderungen von diesen Speicherorten erzwingen. Citrix Default Syntax (PI) -Ausdrücke geben Ihnen die Flexibilität, standortbasierte Richtlinien zu konfigurieren, die in Verbindung mit der integrierten Standortdatenbank zum Anpassen des Firewall-Schutzes verwendet werden können. So stärken Sie Ihre Verteidigung gegen koordinierte Angriffe, die von nicht autorisierten Clients in einer bestimmten Region gestartet werden.

Sie können die integrierte Citrix ADC Datenbank oder jede andere Datenbank verwenden. Wenn die Datenbank keine Standortinformationen für die bestimmte Client-IP-Adresse enthält, zeigt das CEF-Protokoll die Geolokalisierung als unbekannte Geolokalisierung an.

Hinweis: Die Geolocation-Protokollierung verwendet das Common Event Format (CEF). Standardmäßig sind CEF-Protokollierung und GeoLocationLogging OFF. Sie müssen beide Parameter explizit aktivieren.

Beispiel für eine CEF-Protokollmeldung mit Geolokationsinformationen

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked

Beispiel für eine Protokollmeldung mit Geolocation= Unbekannt

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked

Verwenden der Befehlszeile zum Konfigurieren der Protokollaktion und anderer Protokollparameter

So konfigurieren Sie die Protokollaktion für eine Sicherheitsüberprüfung eines Profils mit der Befehlszeile

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

Beispiele

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

So konfigurieren Sie die CEF-Protokollierung mit der Befehlszeile

Die CEF-Protokollierung ist standardmäßig deaktiviert. Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein, um die aktuelle Einstellung zu ändern oder anzuzeigen:

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

So konfigurieren Sie die Protokollierung der Kreditkartennummern mit der Befehlszeile

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

So konfigurieren Sie die Geolocation-Protokollierung mit der Befehlszeile

  1. Verwenden Sie den Befehl set, um GeoLocationLogging zu aktivieren. Sie können die CEF-Protokollierung gleichzeitig aktivieren. Verwenden Sie den Befehl unset, um die Geolocation-Protokollierung zu deaktivieren. Der Befehl show zeigt die aktuellen Einstellungen aller Web App Firewall Parameter an, es sei denn, Sie schließen den Befehl grep ein, um die Einstellung für einen bestimmten Parameter anzuzeigen.

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. Geben Sie die Datenbank an

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    oder

    add locationfile <path to database file>

Anpassen der Web App Firewall Protokolle

Standardformat-Ausdrücke (PI) geben Ihnen die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen. Sie haben die Möglichkeit, die spezifischen Daten, die Sie erfassen möchten, in die von Web App Firewall generierten Protokollmeldungen aufzunehmen. Wenn Sie beispielsweise die AAA-TM-Authentifizierung zusammen mit den Sicherheitsprüfungen der Web App Firewall verwenden und die zugegriffene URL kennen möchten, die die Sicherheitsüberprüfungsverletzung ausgelöst hat, den Namen des Benutzers, der die URL angefordert hat, die Quell-IP-Adresse und den Quellport, von dem der Benutzer die Anforderung gesendet hat, können Sie können die folgenden Befehle verwenden, um benutzerdefinierte Protokollmeldungen anzugeben, die alle Daten enthalten:

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
> add appfw profile test_profile
 Done
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done

Konfigurieren der Syslog-Richtlinie für die Trennung von Web App Firewall Protokollen

Die Web App Firewall bietet Ihnen die Möglichkeit, die Sicherheitsprotokollmeldungen der Web App Firewall zu isolieren und in eine andere Protokolldatei umzuleiten. Dies kann wünschenswert sein, wenn die Web App Firewall eine große Anzahl von Protokollen generiert, wodurch es schwierig ist, andere Citrix ADC Protokollmeldungen anzuzeigen. Sie können diese Option auch verwenden, wenn Sie nur die Protokollmeldungen der Web App Firewall anzeigen möchten und die anderen Protokollmeldungen nicht angezeigt werden sollen.

Um die Web App Firewall Protokolle in eine andere Protokolldatei umzuleiten, konfigurieren Sie eine Syslog-Aktion, um die Web App Firewall-Protokolle an eine andere Protokollfunktion zu senden. Sie können diese Aktion verwenden, wenn Sie die Syslog-Richtlinie konfigurieren und sie global für die Verwendung durch die Web App Firewall binden.

Beispiel:

  1. Wechseln Sie zur Shell und bearbeiten Sie mit einem Editor wie vi die Datei /etc/syslog.conf. Fügen Sie einen neuen Eintrag zu local2.* verwenden, um Protokolle an eine separate Datei zu senden, wie im folgenden Beispiel gezeigt:

    local2.\* /var/log/ns.log.appfw

  2. Starten Sie den Syslog-Prozess neu. Sie können den Befehl grep verwenden, um die syslog-Prozess-ID (PID) zu identifizieren, wie im folgenden Beispiel gezeigt:

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. Konfigurieren Sie über die Befehlszeilenschnittstelle die Syslog-Aktion und -Richtlinie. Binden Sie es als globale Web App Firewall Richtlinie.

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. Alle Verletzungen der Sicherheitsprüfung der Web App Firewall werden nun in die Datei /var/log/ns.log.appfw umgeleitet. Sie können diese Datei in einem Scheck anzeigen, um die Verletzungen der Web App Firewall anzuzeigen, die während der Verarbeitung des laufenden Datenverkehrs ausgelöst werden.

    root@ns# tail -f ns.log.appfw

Warnung: Wenn Sie die Syslog-Richtlinie so konfiguriert haben, dass die Protokolle an eine andere Protokollfunktion umgeleitet werden, werden die Protokollmeldungen der Web App Firewall nicht mehr in der Datei /var/log/ns.log angezeigt.

Anzeigen der Web App Firewall Protokolle

Sie können die Protokolle mithilfe des Syslog-Viewers anzeigen, indem Sie sich bei der Citrix ADC Appliance anmelden, eine UNIX-Shell öffnen und den UNIX-Texteditor Ihrer Wahl verwenden.

So greifen Sie mit der Befehlszeile auf die Protokollmeldungen zu

Wechseln Sie zur Shell und senden Sie die ns.logs im Ordner /var/log/, um auf die Protokollmeldungen zu den Sicherheitsüberprüfungsverletzungen der Web App Firewall zuzugreifen:

  • Shell
  • tail -f /var/log/ns.log

Sie können den vi-Editor oder einen beliebigen Unix-Texteditor oder Textsuchtool verwenden, um die Protokolle nach bestimmten Einträgen anzuzeigen und zu filtern. Sie können beispielsweise den Befehl grep verwenden, um auf die Protokollmeldungen zu den Kreditkartenverstößen zuzugreifen:

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

So greifen Sie mit der GUI auf die Protokollmeldungen zu

Die Citrix GUI enthält ein sehr nützliches Tool (Syslog Viewer) zur Analyse der Protokollmeldungen. Sie haben mehrere Optionen für den Zugriff auf den Syslog Viewer:

  • Um Protokollmeldungen für eine bestimmte Sicherheitsprüfung eines Profils anzuzeigen, navigieren Sie zu Web App Firewall > Profile, wählen Sie das Zielprofil aus und klicken Sie auf Sicherheitsprüfungen. Markieren Sie die Zeile für die Zielsicherheitsprüfung, und klicken Sie auf Protokolle. Wenn Sie direkt über die ausgewählte Sicherheitsprüfung des Profils auf die Protokolle zugreifen, filtert es die Protokollmeldungen aus und zeigt nur die Protokolle an, die sich auf die Verstöße für die ausgewählte Sicherheitsprüfung beziehen. Syslog Viewer kann Web App Firewall Protokolle sowohl im nativen Format als auch im CEF-Format anzeigen. Damit der Syslog-Viewer jedoch die Zielprofil-spezifischen Protokollmeldungen herausfiltern kann, müssen sich die Protokolle im CEF-Protokollformat befinden, wenn auf das Profil zugegriffen wird.
  • Sie können auch auf den Syslog Viewer zugreifen, indem Sie zu Citrix ADC > System > Auditing navigieren. Klicken Sie im Abschnitt Überwachungsmeldungen auf Syslog-Meldungen, um den Syslog-Viewer anzuzeigen, der alle Protokollmeldungen, einschließlich aller Protokolle für die Sicherheitsüberprüfung der Web App Firewall für alle Profile anzeigt. Dies ist nützlich für das Debuggen, wenn während der Anforderungsverarbeitung mehrere Sicherheitsüberprüfungsverletzungen ausgelöst werden können.
  • Navigieren Sie zu Web App Firewall > Richtlinien > Überwachung . Klicken Sie im Abschnitt Überwachungsmeldungen auf Syslog-Meldungen, um den Syslog-Viewer anzuzeigen, der alle Protokollmeldungen einschließlich aller Sicherheitsüberprüfungsprotokolle für alle Profile anzeigt.

Der HTML-basierte Syslog Viewer bietet die folgenden Filteroptionen, um nur die Protokollmeldungen auszuwählen, die für Sie von Interesse sind:

  • Datei— Die aktuelle Datei /var/log/ns.log ist standardmäßig ausgewählt, und die entsprechenden Meldungen werden im Syslog Viewer angezeigt. Eine Liste anderer Protokolldateien im Verzeichnis /var/log ist im komprimierten Format .gz verfügbar. Um eine archivierte Protokolldatei herunterzuladen und zu dekomprimieren, wählen Sie einfach die Protokolldatei aus der Dropdown-Option aus. Die Protokollmeldungen, die sich auf die ausgewählte Datei beziehen, werden dann im syslog Viewer angezeigt. Um die Anzeige zu aktualisieren, klicken Sie auf das Symbol Aktualisieren (ein Kreis aus zwei Pfeilen).

  • Listenfeld Modul— Sie können das Citrix ADC Modul auswählen, dessen Protokolle Sie anzeigen möchten. Sie können es auf APPFW für Web App Firewall Protokolle festlegen.

  • Listenfeld Ereignistyp— Dieses Feld enthält eine Reihe von Kontrollkästchen zum Auswählen des Ereignistyps, an dem Sie interessiert sind. Um beispielsweise die Protokollmeldungen zu den Signaturverletzungen anzuzeigen, können Sie das Kontrollkästchen APPFW_SIGNATURE_MATCH aktivieren. Ebenso können Sie ein Kontrollkästchen aktivieren, um die bestimmte Sicherheitsüberprüfung zu aktivieren, die für Sie von Interesse ist. Sie können mehrere Optionen auswählen.

  • Schweregrad— Sie können einen bestimmten Schweregrad auswählen, um nur die Protokolle für diesen Schweregrad anzuzeigen. Lassen Sie alle Kontrollkästchen leer, wenn Sie alle Protokolle anzeigen möchten.

    Um auf die Protokollmeldungen für die Sicherheitsüberprüfung der Web App Firewall für eine bestimmte Sicherheitsprüfung zuzugreifen, filtern Sie, indem Sie APPFW in den Dropdown-Optionen für Modul auswählen. Der Ereignistyp zeigt eine Reihe von Optionen an, um Ihre Auswahl weiter zu verfeinern. Wenn Sie z. B. das Kontrollkästchen APPFW_FIELDFORMAT aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog-Viewer nur Protokollmeldungen angezeigt, die sich auf die Sicherheitsüberprüfungsverletzungen von Feldformaten beziehen. Wenn Sie die Kontrollkästchen APPFW_SQL und APPFW_STARTURL aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog-Viewer nur Protokollmeldungen angezeigt, die sich auf diese beiden Sicherheitsüberprüfungsverletzungen beziehen.

Wenn Sie den Cursor in der Zeile für eine bestimmte Protokollmeldung platzieren, werden mehrere Optionen wie Module, EventType, EventID, ClientIP, TransactionIDusw. unterhalb der Protokollmeldung angezeigt. Sie können eine dieser Optionen auswählen, um die entsprechenden Informationen in den Protokollen hervorzuheben.

Klicken Sie auf Bereitstellen: Diese Funktionalität ist nur in der GUI verfügbar. Sie können den Syslog Viewer verwenden, um nicht nur die Protokolle anzuzeigen, sondern auch Relaxationsregeln basierend auf den Protokollmeldungen für die Sicherheitsüberprüfungsverstöße der Web App Firewall bereitzustellen. Die Protokollmeldungen müssen für diesen Vorgang im CEF-Protokollformat vorliegen. Wenn die Relaxationsregel für eine Protokollmeldung bereitgestellt werden kann, wird am rechten Rand des Feldes Syslog Viewer in der Zeile ein Kontrollkästchen angezeigt. Aktivieren Sie das Kontrollkästchen, und wählen Sie dann eine Option aus der Liste Aktion aus, um die Relaxationsregel bereitzustellen. Bearbeiten und Bereitstellen, BereitstellenundAlle bereitstellensind als Aktionsoptionen verfügbar. Sie können beispielsweise eine einzelne Protokollmeldung auswählen, die bearbeitet und bereitgestellt werden soll. Sie können auch die Kontrollkästchen für mehrere Protokollmeldungen aus einer oder mehreren Sicherheitsprüfungen aktivieren und die Option Bereitstellen oder Alle bereitstellen verwenden. Die Funktion Klicken Sie auf Bereitstellen wird derzeit für die folgenden Sicherheitsprüfungen unterstützt:

  • StartURL
  • URL-Pufferüberlauf
  • SQL-Injection
  • XSS
  • Feldkonsistenz
  • Cookie-Konsistenz

So verwenden Sie Click to Deployment-Funktionalität in der GUI

  1. Wählen Sie im Syslog-Viewerin den ModuloptionenAPPFWaus.
  2. Wählen Sie die Sicherheitsprüfung aus, nach der die entsprechenden Protokollmeldungen gefiltert werden sollen.
  3. Aktivieren Sie das Kontrollkästchen, um die Regel auszuwählen.
  4. Verwenden Sie die Dropdownliste Aktion mit Optionen, um die Relaxationsregel bereitzustellen.
  5. Stellen Sie sicher, dass die Regel im entsprechenden Abschnitt zur Relaxationsregel angezeigt wird.

Hinweis:

SQL Injection und XSS-Regeln, die mit der Option Klicken Sie auf Deploy bereitgestellt werden, enthalten nicht die Empfehlungen zur Feinkorn-Entspannung.

Highlights

  • Unterstützung für das CEF-Protokollformat— Die CEF-Protokollformatoption bietet eine bequeme Option zum Überwachen, Analysieren und Analysieren der Web App Firewall Protokollmeldungen zur Identifizierung von Angriffen, zur Feinabstimmung der konfigurierten Einstellungen zur Verringerung von Fehlalarme und zum Sammeln von Statistiken.
  • Klicken Sie auf Bereitstellen— Der Syslog-Viewer bietet eine Option zum Filtern, Auswerten und Bereitstellen von Relaxationsregeln für einzelne oder mehrere Sicherheitsüberprüfungen von einem geeigneten Ort aus.
  • Option zum Anpassen der Protokollnachricht— Sie können erweiterte PI-Ausdrücke verwenden, um Protokollmeldungen anzupassen und die gewünschten Daten in die Protokolle aufzunehmen.
  • Getrennte Web App Firewall spezifische Protokolle— Sie haben die Möglichkeit, Anwendungs-Firewall-spezifische Protokolle in eine separate Protokolldatei zu filtern und umzuleiten.
  • Remote Logging— Sie können die Protokollmeldungen an einen entfernten Syslog-Server umleiten.
  • Geolocation-Protokollierung: Sie können die Web App Firewall so konfigurieren, dass sie die Geolokalisierung des Bereichs einschließt, von dem die Anforderung empfangen wird. Eine integrierte Geolocation-Datenbank ist verfügbar, Sie haben jedoch die Möglichkeit, eine externe Geolocation-Datenbank zu verwenden. Die Citrix ADC Appliance unterstützt statische IPv4- und IPv6-Geoortungsdatenbanken.
  • Information Rich Log-Nachricht— Im Folgenden finden Sie einige Beispiele für den Typ der Informationen, die in die Protokolle aufgenommen werden können, je nach Konfiguration:
    • Eine Web App Firewall Richtlinie wurde ausgelöst.
    • Eine Sicherheitsüberprüfungsverletzung wurde ausgelöst.
    • Ein Antrag wurde als fehlerhaft angesehen.
    • Eine Anfrage oder die Antwort wurde blockiert oder nicht blockiert.
    • Anforderungsdaten (wie SQL- oder XSS-Sonderzeichen) oder Antwortdaten (wie Kreditkartennummern oder sichere Objektzeichenfolgen) wurden transformiert.
    • Die Anzahl der Kreditkarten in der Antwort hat das konfigurierte Limit überschritten.
    • Kreditkartennummer und -typ.
    • Die in den Signaturregeln konfigurierten Protokollzeichenfolgen und die Signatur-ID.
    • Geolocation-Informationen über die Quelle der Anforderung.
    • Maskierte (X’d out) Benutzereingaben für geschützte vertrauliche Felder.

Vertrauliche Daten mit Regex-Muster maskieren

Mit der erweiterten Richtlinienfunktion REGEX_REPLACE (PI) in einem Protokollausdruck (gebunden an ein WAF-Profil der Web Application Firewall) können Sie vertrauliche Daten in WAF-Protokollen maskieren. Sie können die Option verwenden, um Daten mit einem Regex-Muster zu maskieren und ein Zeichen oder ein Zeichenfolgenmuster bereitzustellen, um die Daten zu maskieren. Außerdem können Sie die PI-Funktion so konfigurieren, dass das erste Vorkommen oder alle Vorkommen des Regex-Musters ersetzt werden.

Standardmäßig bietet die Citrix GUI-Schnittstelle die folgende Maske:

  • SSN
  • Kreditkarte
  • Kennwort
  • Benutzername

Vertrauliche Daten in Web Application Firewall-Protokollen maskieren

Sie können sensible Daten in WAF-Protokollen maskieren, indem Sie den erweiterten Richtlinienausdruck REGEX_REPLACE im Protokollausdruck konfigurieren, der an ein WAF-Profil gebunden ist. Um vertrauliche Daten zu maskieren, müssen Sie die folgenden Schritte ausführen:

  1. Hinzufügen eines Web Application Firewall-Profils
  2. Binden eines Protokollausdrucks an das WAF-Profil

Hinzufügen eines Web Application Firewall-Profils

Geben Sie an der Eingabeaufforderung Folgendes ein:

add appfw profile <name>

Beispiel:

Add appfw profile testprofile1

Binden eines Protokollausdrucks mit dem Web Application Firewall-Profil

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

Beispiel:

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Mask sensibler Daten in Web Application Firewall-Protokollen mit der Citrix ADC GUI

  1. Erweitern Sie im Navigationsbereich Sicherheit > Citrix Web App Firewall > Profile .
  2. Klicken Sie auf der Seite Profile auf Bearbeiten .
  3. Navigieren Sie auf der Seite Citrix Web App Firewall profil zum Abschnitt Erweiterte Einstellungen, und klicken Sie auf Erweiterte Protokollierung .

    Erweiterter Protokollierungsabschnitt

  4. Klicken Sie im Abschnitt Erweiterte Protokollierung auf Hinzufügen .

    Citrix WAF-Protokollbindung

  5. Legen Sie auf der Seite Erweiterte Protokollbindung von Citrix Web App Firewall erstellen die folgenden Parameter fest:

    1. Name. Name des Protokollausdrucks.
    2. Aktiviert Wählen Sie diese Option, um vertrauliche Daten zu maskieren.
    3. Log-Maske. Wählen Sie die zu maskierenden Daten aus.
    4. Ausdruck. Geben Sie den erweiterten Richtlinienausdruck ein, mit dem Sie vertrauliche Daten in WAF-Protokollen maskieren können
    5. Bemerkungen. Kurze Beschreibung der Maskierung vertraulicher Daten.
  6. Klicken Sie auf Erstellen und Schließen.

    Citrix WAF-Protokollbindung