Documentación de productos
Citrix Application Delivery Management
Ver PDF

Integración con Splunk

February 13, 2023
Contribución de: 
C

Ahora puede integrar Citrix ADM con Splunk para ver los análisis de las infracciones de WAF y Bot en su panel de control de Splunk. El complemento Splunk le permite:

  • Combine todas las demás fuentes de datos externas.

  • Proporcione una mayor visibilidad de los análisis en un lugar centralizado.

Citrix ADM recopila eventos de Bot y WAF y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, utilizando los datos compatibles con CIM, puede ver las infracciones de WAF y Bot en el panel de control de Splunk.

Requisitos previos

Para la integración con Splunk, debe:

Configurar la configuración global

  1. Inicia sesión en Splunk.

  2. Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP. Aparece la página del recopilador de eventos HTTP .

  3. Haga clic en Configuración global.

    Configuración global

  4. Especifique los siguientes parámetros y haga clic en Guardar.

    Modificar configuración global

    Nota

    De forma predeterminada, el número de puerto HTTP indica el puerto predeterminado. Si tiene cualquier otro número de puerto preferido, puede especificar el número de puerto requerido.

Configure el punto final del recopilador de eventos HTTP en Splunk

  1. Inicia sesión en Splunk.

  2. Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP. Aparece la página del recopilador de eventos HTTP .

  3. Haga clic en Nuevo token.

    Nuevo token

  4. Especifique lo siguiente:

    1. Nombre: especifique un nombre de su elección.

    2. Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.

    3. Descripción (opcional): especifique una descripción.

    4. Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.

    5. Habilitar el reconocimiento del indexador: de forma predeterminada, esta opción no está seleccionada.

      Parámetros del recopilador

    6. Haga clic en Siguiente

    7. En la página Configuración de entrada, especifique el tipo de fuente, el contexto de la aplicación, elíndicey, después, haga clic enRevisar.

    8. Compruebe si todo lo que ha especificado es correcto y, a continuación, haga clic en Enviar. Se genera un token. Debe usar este token cuando agregue detalles en Citrix ADM.

      Ficha de Splunk

Instale el modelo de información común de Splunk

En Splunk, debe instalar el CIM de Splunk para asegurarse de que los datos se rellenen en el panel de control.

  1. Inicia sesión en Splunk.

  2. Vaya a Aplicaciones > Buscar más aplicaciones.

    Splunk encuentra más aplicaciones

  3. Escriba CIM en la barra de búsqueda y pulse Entrar para obtener el complemento del modelo de información común (CIM) de Splunk y haga clic en Instalar.

    CIM de Splunk

Instale el normalizador CIM de Citrix

Después de instalar el CIM de Splunk, debe instalar el normalizador CIM de Citrix para transformar los eventos en el CIM de Splunk.

  1. Inicie sesión en la página de descargas de Citrix y descargue el complemento CIM de Citrix para Splunk.

  2. En el portal de Splunk, vaya a Aplicaciones > Administrar aplicaciones.

    Aplicaciones de administración de Splunk

  3. Haga clic en Instalar aplicación desde un archivo.

    Aplicación de instalación de Splunk

  4. Cargue el archivo .spl o .tgz y haga clic en Cargar.

    Cargar archivo

    Recibirá un mensaje de notificación en la página Aplicaciones que indica que el complemento está instalado.

Agregue los detalles del recopilador HTTP y del token de Splunk

Después de generar un token, debe agregar detalles en Citrix ADM para integrarlo con Splunk.

  1. Inicie sesión en Citrix ADM.

  2. Vaya a Configuración > Integración de ecosistemas.

  3. En la página Suscripciones, haga clic en Agregar.

  4. En la ficha Seleccionar funciones para suscribirse, puede seleccionar las funciones que quiere exportar y hacer clic en Siguiente.

    • Exportación en tiempo real : las infracciones seleccionadas se exportan inmediatamente a Splunk.

    • Exportación periódica : las infracciones seleccionadas se exportan a Splunk en función de la duración que seleccione.

      Seleccionar funciones

  5. En la ficha Especificar la configuración de exportación :

    1. Tipo de punto final : seleccione Splunk en la lista.

    2. Punto final : especifique los detalles del punto final de Splunk. El punto final debe estar en el formato https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.

      Nota

      Se recomienda utilizar HTTPS por motivos de seguridad.

      • SPLUNK_PUBLIC_IP : una dirección IP válida configurada para Splunk.

      • SPLUNK_HEC_PORT : indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.

      • Servicios/coleccionador/evento : indica la ruta de la aplicación HEC.

    3. Token de autenticación : copie y pegue el token de autenticación de la página de Splunk.

    4. Haga clic en Siguiente.

      Crear suscripción

  6. En la página de suscripción :

    1. Frecuencia de exportación : seleccione Diaria o Cada hora de la lista. Según la selección, Citrix ADM exporta los detalles a Splunk.

      Nota

      Aplicable solo si ha seleccionado infracciones en la exportación periódica.

    2. Nombre de la suscripción : especifique un nombre de su elección.

    3. Seleccione la casilla Activar notificaciones.

    4. Haga clic en Submit.

      Suscribir

      Nota

      • Cuando se configura con la opción de exportación periódica por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente. La siguiente frecuencia de exportación se realizará en función de su selección (diaria u horaria).

      • Cuando se configura con la opción Realtime Export por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente tan pronto como se detectan las infracciones en Citrix ADM.

Verifique los detalles en Splunk

Después de agregar detalles en Citrix ADM, puede verificar si Splunk recibe los eventos.

  1. En la página de inicio de Splunk, haga clic en Buscar e informes.

    Búsqueda e informes de Splunk

  2. En la barra de búsqueda, escriba los detalles en la barra de búsqueda, seleccione la duración de la lista y haga clic en el icono de búsqueda o pulse Entrar. Por ejemplo, puede escribir sourcetype=”bot” o sourcetype=”waf” o sourcetype="ml" para comprobar los detalles.

    Ejemplo de búsqueda de Splunk

    El siguiente resultado de búsqueda es un ejemplo de infracción del WAF:

    Eventos de Splunk WAF

    El siguiente resultado de búsqueda es un ejemplo de infracción de un bot:

    Eventos de bots de Splunk

Accede a los detalles

Debe identificar el tipo de modelo de datos para ver los detalles de la tabla dinámica. Por ejemplo, el complemento Splunk convierte los eventos WAF y Bot en formato CIM, con el tipo de modelo de datos más parecido, como la detección de alertas e intrusiones.

Para acceder a los eventos en Splunk:

  1. Vaya a Configuración > Modelos de datos.

  2. Identifique el modelo de datos de detección de intrusiones y haga clic enCambiar

    Pivote Splunk

  3. Seleccione un conjunto de datos. En el siguiente ejemplo, se selecciona la opción Ataques de IDS .

    Conjunto de datos de S

    Se muestra el recuento total de ataques de IDS .

    Ataques IDS

    También puede hacer clic en el botón + para agregar más detalles a la tabla. El siguiente ejemplo muestra los detalles según la gravedad, la categoría y el identificador de firma:

    Más detalles

Panel de Splunk

Mediante un panel de control, puede ver los detalles de los análisis de infracciones de WAF y Bot con paneles como gráficos, tablas, listas, etc. Puede configurar:

  • Panel de control con aplicaciones que utilizan datos compatibles con el CIM.

  • Panel de control personalizado que extrae datos de los modelos de datos CIM.

Dependiendo de su elección, puede crear el panel de control. Para obtener más información, consulta la sección Acerca del panel de control en la documentación de Splunk.

Integración con Splunk
February 13, 2023
Contribución de: 
C
February 13, 2023
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.