Produktdokumentation
Citrix Application Delivery Management-Service
PDF anzeigen

Integration mit Splunk

February 14, 2023
Beitrag von: 
C

Sie können jetzt Citrix ADM in Splunk integrieren, um Analysen für WAF- und Bot-Verstöße in Ihrem Splunk-Dashboard anzuzeigen. Das Splunk-Add-on ermöglicht Ihnen:

  • Kombinieren Sie alle anderen externen Datenquellen.

  • Bieten Sie eine bessere Sichtbarkeit von Analysen an einem zentralen Ort.

Citrix ADM sammelt Bot- und WAF-Ereignisse und sendet sie regelmäßig an Splunk. Das Splunk Common Information Model (CIM) -Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie anhand der CIM-kompatiblen Daten die WAF- und Bot-Verstöße im Splunk-Dashboard anzeigen.

Voraussetzungen

Für die Splunk-Integration müssen Sie:

Globale Einstellung einrichten

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Ereignissammler. Die Seite des HTTP-Ereignissammlers wird angezeigt.

  3. Klicken Sie auf Allgemeine Einstellungen.

    Globale Einstellungen

  4. Geben Sie die folgenden Parameter an und klicken Sie auf Speichern.

    Globale Einstellung bearbeiten

    Hinweis

    Standardmäßig gibt die HTTP-Portnummer den Standardport an. Wenn Sie eine andere bevorzugte Portnummer haben, können Sie die erforderliche Portnummer angeben.

Den HTTP-Ereignis-Collector-Endpunkt in Splunk einrichten

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Ereignissammler. Die Seite des HTTP-Ereignissammlers wird angezeigt.

  3. Klicke auf Neues Token.

    Neues Token

  4. Geben Sie Folgendes an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Quellnamenüberschreibung (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP-Ereignissammler.

    3. Beschreibung (optional): Geben Sie eine Beschreibung an.

    4. Ausgabegruppe (optional): Standardmäßig ist diese Option als Keine ausgewählt.

    5. Indexerbestätigung aktivieren: Diese Option ist standardmäßig nicht ausgewählt.

      Parameter des Ereigniskollektors

    6. Klicken Sie auf Weiter

    7. Geben Sie auf der Seite Eingabeeinstellungen den Quelltyp, den App-Kontextund den Indexan, und klicken Sie dann auf Überprüfen.

    8. Überprüfen Sie, ob alles, was Sie angegeben haben, korrekt ist, und klicken Sie dann auf Senden. Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in Citrix ADM hinzufügen.

      Splunk-Token

Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM installieren, um sicherzustellen, dass die Daten im Dashboard ausgefüllt werden.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Weitere Apps suchen.

    Splunk mehr Apps finden

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM) -Add-on aufzurufen, und klicken Sie auf Installieren.

    Splunk CIM

Citrix CIM-Normalizer installieren

Nachdem Sie Splunk CIM installiert haben, müssen Sie den Citrix CIM-Normalisierer installieren, um die Ereignisse in Splunk CIM umzuwandeln.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das Citrix CIM-Add-on für Splunkherunter.

  2. Navigieren Sie im Splunk-Portal zu Apps > Apps verwalten.

    Splunk Apps verwalten

  3. Klicken Sie auf App aus Datei installieren.

    Splunk App installieren

  4. Laden Sie die .spl - oder .tgz-Datei hoch und klicken Sie auf Hochladen.

    Datei hochladen

    Auf der Seite Apps erhalten Sie eine Benachrichtigung, dass das Add-On installiert ist.

Splunk-HTTP-Collector und Token-Details hinzufügen

Nachdem Sie ein Token generiert haben, müssen Sie Details in Citrix ADM hinzufügen, um es mit Splunk zu integrieren.

  1. Melden Sie sich bei Citrix ADM an.

  2. Navigieren Sie zu Einstellungen > Ökosystemintegration.

  3. Klicken Sie auf der Seite Abonnements auf Hinzufügen.

  4. Auf der Registerkarte Zu abonnierende Funktionen auswählen können Sie die Funktionen auswählen, die Sie exportieren möchten, und auf Weiterklicken.

    • Echtzeit-Export — Die ausgewählten Verstöße werden sofort nach Splunk exportiert.

    • Periodischer Export — Die ausgewählten Verstöße werden basierend auf der von Ihnen ausgewählten Dauer nach Splunk exportiert.

      Wählen Sie Funktionen

  5. Auf der Registerkarte Exportkonfiguration angeben:

    1. Endpunkttyp — Wählen Sie Splunk aus der Liste aus.

    2. Endpunkt — Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss das Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event haben.

      Hinweis

      Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

      • SPLUNK_PUBLIC_IP — Eine gültige IP-Adresse, die für Splunk konfiguriert wurde.

      • SPLUNK_HEC_PORT — Gibt die Portnummer an, die Sie während der Konfiguration des HTTP-Ereignisendpunkts angegeben haben. Die Standardportnummer ist 8088.

      • Services/Collector/Event — Gibt den Pfad für die HEC-Anwendung an.

    3. Authentifizierungstoken — Kopieren Sie das Authentifizierungstoken von der Splunk-Seite und fügen Sie es

    4. Klicken Sie auf Weiter.

      Abo erstellen

  6. Auf der Seite Abonnieren :

    1. Exporthäufigkeit — Wählen Sie Täglich oder Stündlich aus der Liste Basierend auf der Auswahl exportiert Citrix ADM die Details nach Splunk.

      Hinweis

      Gilt nur, wenn Sie im Periodischen ExportVerstöße ausgewählt haben.

    2. Abonnementname — Geben Sie einen Namen Ihrer Wahl an.

    3. Wählen Sie das Kontrollkästchen Benachrichtigungen aktivieren aus.

    4. Klicken Sie auf Submit.

      Subscribe

      Hinweis

      • Wenn Sie zum ersten Mal mit der Option Periodischer Export konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen. Die nächste Exporthäufigkeit erfolgt basierend auf Ihrer Auswahl (täglich oder stündlich).

      • Wenn Sie zum ersten Mal mit der Option Echtzeitexport konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen, sobald die Verstöße in Citrix ADM erkannt werden.

Details in Splunk überprüfen

Nachdem Sie Details in Citrix ADM hinzugefügt haben, können Sie überprüfen, ob Splunk die Ereignisse empfängt.

  1. Klicken Sie auf der Splunk-Startseite auf Search & Reporting.

    Splunk-Suche und Reporting

  2. Geben Sie in der Suchleiste die Details in die Suchleiste ein, wählen Sie die Dauer aus der Liste aus und klicken Sie auf das Suchsymbol oder drücken Sie die Eingabetaste. Sie können beispielsweise sourcetype=”bot” oder sourcetype=”waf” oder sourcetype="ml" eingeben, um die Details zu überprüfen.

    Beispiel für die Splunk-Suche

    Das folgende Suchergebnis ist ein Beispiel für einen WAF-Verstoß:

    Splunk WAF-Ereignisse

    Das folgende Suchergebnis ist ein Beispiel für einen Bot-Verstoß:

    Splunk-Bot-Ereignisse

Zugriff auf Pivot

Sie müssen den Datenmodelltyp angeben, um die Pivot-Details anzuzeigen. Das Splunk-Add-On konvertiert beispielsweise die WAF- und Bot-Ereignisse in das CIM-Format, wobei der nächstgelegene Datenmodelltyp wie Alert und Intrusion Detection verwendet wird.

So greifen Sie auf die Ereignisse in Splunk zu:

  1. Navigieren Sie zu Einstellungen > Datenmodelle.

  2. Identifizieren Sie das Intrusion Detection-Datenmodell und klicken Sieauf

    Splunk-Pivot

  3. Wählen Sie einen Datensatz aus. Im folgenden Beispiel ist die Option IDS-Angriffe ausgewählt.

    Splunk-Datensatz

    Die Gesamtzahl der IDS-Angriffe wird angezeigt.

    IDS-Angriffe

    Sie können auch auf die Schaltfläche + klicken, um der Tabelle weitere Details hinzuzufügen. Im folgenden Beispiel werden die Details basierend auf Schweregrad, Kategorie und Signatur-ID angezeigt:

    Mehr Einzelheiten

Splunk-Dashboard

Mithilfe eines Dashboards können Sie sich Details der WAF- und Bot-Verstoßanalysen in Ansichten wie Diagrammen, Tabellen, Listen usw. anzeigen lassen. Sie können Folgendes konfigurieren:

  • Dashboard mit Anwendungen, die CIM-kompatible Daten verwenden.

  • Benutzerdefiniertes Dashboard, das Daten aus den CIM-Datenmodellen abruft.

Je nach Ihrer Wahl können Sie das Dashboard erstellen. Weitere Informationen finden Sie im Abschnitt Über das Dashboard in der Splunk-Dokumentation.

Integration mit Splunk
February 14, 2023
Beitrag von: 
C
February 14, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.