Citrix SD-WAN Orchestrator

Solución de problemas de red

Los clientes pueden ver los registros de todos los dispositivos de red desde un único panel de vidrio, lo que permite una solución rápida de problemas. Puede ver los registros de auditoría y de dispositivos.

Registros de auditoría

Los registros de auditoría capturan la acción, la hora y el resultado de la acción realizada por los usuarios en la red del cliente.

Registros de auditoría de red

Registros de dispositivos

Los clientes pueden ver los registros de dispositivos específicos de los sitios.

Puede seleccionar registros de dispositivos específicos, descargarlos y compartirlos con administradores del sitio si es necesario.

Registros de dispositivos de red

Registros de seguridad

En el dispositivo Citrix SD-WAN, los eventos de seguridad perimetral se registran en elarchivoSDWAN_advanced_firewall.log. El archivo de registro se rota periódicamente en función del tamaño, con hasta 23 archivos o un día de registros restantes, lo que sea menor. Por ejemplo, considere los dos casos de uso siguientes:

  • Si el archivo de registro se llena a una velocidad de 1 GB por cada 20 transacciones (entradas de registro), los registros durante aproximadamente 8 horas estarán disponibles, en el dispositivo, en cualquier momento dado.
  • Si el archivo de registro se llena a una velocidad de 1 GB por hora o más lenta, los registros de exactamente un día están disponibles en el dispositivo.

Nota

  • El umbral de tamaño para la rotación del registro depende del dispositivo. Para el dispositivo Citrix SD-WAN 1100, el umbral de tamaño de rotación del registro es de 1 GB.
  • El archivo de registro SDWAN_advanced_firewall.log solo está disponible para el dispositivo Citrix SD-WAN 1100, no está disponible en los dispositivos Citrix SD-WAN 210 SE y Citrix SD-WAN 210 SE LTE.

Para recibir los registros de seguridad desde el dispositivo Citrix SD-WAN, en la interfaz de usuario del dispositivo, vaya a Configuración > Configuración > Configuración del dispositivo > Registro/supervisión > Servidor Syslog y asegúrese de que el La opción Registros del firewall a Syslog está habilitada.

Recuperación del orquestador

Al igual que otros archivos de registro del dispositivo, puede recuperar los registros del firewall de seguridad perimetral desde Citrix SD-WAN Orchestrator. En el nivel de red, vaya a Solución de problemas > Registros de dispositivos, seleccione un sitio con seguridad perimetral habilitada, seleccione los registros de Firewall avanzado que desea descargar y haga clic en Descargar.

Solución de problemas de red

Exportación al servidor syslog externo

Si se configura un servidor syslog externo en la interfaz de usuario deldispositivo (Configuración del dispositivo > Registro/supervisión > servidor Syslog), los registros de seguridad perimetral se generan y descargan en este servidor.

Entradas de registro

Las entradas del registro de seguridad perimetral siguen el formato de evento común (CEF). CEF es un estándar que define la sintaxis de los mensajes de registro y, por lo tanto, permite la interoperabilidad de varios dispositivos que generan mensajes de registro en una solución.

CEF consiste en un encabezado estándar y una extensión variable. El formato de encabezado es el siguiente:

Host de marca de tiempo CEF:Versión|Device Vendor|Producto de dispositivo|Versión del dispositivo|ID de clase de evento de dispositivo|Nombre|Gravedad | [Extensión]<!--NeedCopy-->

Ejemplo:


Jan 18 11:07:53 sd-wan CEF:0|Citrix|SD-WAN|11.2.2.7|EDGESEC|Nombre|Gravedad|Extensión<!--NeedCopy-->

Los siguientes campos son comunes a todos los registros de seguridad perimetral generados por SD-WAN:

  • Marca de tiempo: La hora a la que se genera el mensaje de registro.

    Nota

    Esta hora puede ser diferente de la hora del evento al que corresponde el mensaje.

  • Host: El nombre del host que genera el archivo de registro. Por ejemplo, mybranch.

  • CEF: Cadena fija, que indica que el resto del mensaje sigue el formato CEF.

    Nota

    No se admite ningún otro formato.

  • Versión: Identifica la versión del formato CEF. La versión actual de CEF es 0.

  • Proveedor de dispositivos: Proveedor de la instancia o dispositivo que genera el mensaje CEF. El campo siempre es Citrix.

  • Producto del dispositivo: El producto, SD-WAN.

  • Versión del dispositivo: Versión de software del dispositivo SD-WAN enformatomajor.minor.patch.buildnumber. Por ejemplo, 11.2.0.88.

  • ID de clase de evento de dispositivo: Identificador único para cada tipo de evento. Para los registros de seguridad perimetral, siempre es EdgeSec.

  • Nombre: Descripción legible por humanos del tipo de evento de seguridad perimetral. Por ejemplo, HTTP, FTP, etc.

  • Gravedad: Refleja la criticidad de seguridad del evento. Los niveles de severidad definidos en el estándar CEF son los siguientes:
    • 0-3=Low
    • 4-6=Medium
    • 7-8=High
    • 9-10=Very-High

    Para los eventos de Citrix SD-WAN Edge Security, se utilizan los siguientes criterios para determinar el nivel de gravedad:

    Nivel de severidad Descripción   - -   0 Todos los eventos SESSION y todos los eventos de filtrado web HTTP permitido   3 Todos los eventos de FTP, SMTP y Antimalware HTTP limpios   4 Eventos IPS registrados   6 Eventos de filtrado HTTP bloqueado   7 Eventos IPS bloqueados   8 Bloqueado (infectado) FTP, SMTP y Eventos de antimalware HTTP
  • Extensiones: Colección de pares clave-valor que proporciona más detalles sobre el evento. Por ejemplo, “rt=Aug 13 2020 11:46:55”, donde “rt” es la clave para la marca de tiempo del evento y “Aug 13 2020 11:46:55” es el valor. Los pares clave-valor utilizados dependen del tipo de evento al que corresponde el mensaje CEF. Las descripciones detalladas de los tipos de eventos se proporcionan en las siguientes secciones.

HTTP(S)

Las entradas de registro HTTP (S) capturan eventos relacionados con el tráfico HTTP o HTTPS. Dichos eventos pueden ser generados por el componente de filtrado web, que realiza la categorización de URL en solicitudes HTTP (S), o el componente Antimalware, que analiza las respuestas HTTP en busca de infecciones de malware. En la tabla siguiente se describen las diversas extensiones de una entrada de registro HTTP:

Campo Descripción   - -   RT La hora del evento, sin zona horaria. El tiempo se expresa en UTC.   CN1 El identificador de sesión, permite la correlación con eventos de sesión   cn1label texto descriptivo para el campo cn1. El valor es Session_ID.   CS1 La directiva de seguridad configurada   CS1Etiqueta Texto descriptivo para el campo cs1. El valor es Perfil de seguridad.   src La dirección IP de origen (lado del cliente)   SPT El puerto de origen (lado cliente)   DST La dirección IP de destino (lado del servidor)   dpt La dirección del puerto de destino (servidor)   requestMethod La solicitud HTTP (por ejemplo, GET, POST)   Request El HTTP URL   dhost El nombre de host HTTP   ACT Acción para el evento HTTP. Para un evento HTTP permitido, el valor está permitido y, para un evento HTTP bloqueado, el valor se bloquea.     reason El componente que generó el evento. Los valores válidos son web_filter y anti_malware.   CS2 El nombre de la categoría de la categoría URL emparejada   CS2label Texto descriptivo para el campo cs2. El valor es URL Categoría.   CS3 El nombre del malware identificado en la carga útil (si lo hay)   CS3label Texto descriptivo para el campo cs3. El valor es el nombre del malware.

Los eventos HTTP se pueden generar mediante el filtrado web o los componentes Antimalware. Para los eventos de filtrado web, el valor de la clave cs3 está en blanco, mientras que para los eventos Antimalware, el valor de la clave cs2 está en blanco.

Una entrada de registro típica para un evento de filtrado web HTTP permitido es la siguiente:

Oct 8 2020 09:51:01 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|0|rt=Oct 8 2020 09:51:01 cn1=104946811893306 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=54749 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=allowed reason=web_filter cs2=Uncategorized cs2Label=URL Category cs3= cs3Label=Malware name<!--NeedCopy-->

Una entrada de registro típica para un evento de filtrado web HTTP bloqueado es la siguiente:


Oct 8 2020 09:46:57 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|6|rt=Oct 8 2020 09:46:57 cn1=104946811893249 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=59543 dst=192.168.1.2 dpt=443 requestMethod=GET request=<http://www.randomadultsite.com/> dhost=www.randomadultsite.com act=blocked reason=web_filter cs2=Adult and Pornography cs2Label=URL Category cs3= cs3Label=Malware name<!--NeedCopy-->

Una entrada de registro típica para un evento HTTP Antimalware permitido es la siguiente:

Oct 8 2020 11:49:09 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|3|rt=Oct 8 2020 11:49:08 cn1=104946811893527 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=34143 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/harmless.exe dhost=192.168.1.2 act=allowed reason=anti_malware cs2= cs2Label=URL Category cs3= cs3Label=Malware name<!--NeedCopy-->

Una entrada de registro típica para un evento antimalware HTTP bloqueado es la siguiente:


Oct 8 2020 11:45:43 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|8|rt=Oct 8 2020 11:45:43 cn1=104946811893520 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=37702 dst=192.168.1.2 dpt=80 requestMethod=GET request=<http://192.168.1.2/eicar.exe> dhost=192.168.1.2 act=blocked reason=anti_malware cs2= cs2Label=URL Category cs3=EICAR-Test-File cs3Label=Malware name<!--NeedCopy-->

Eventos FTP

Las entradas de registro FTP capturan la actividad del usuario relacionada con las solicitudes FTP. En la tabla siguiente se describen los diversos campos de una entrada de registro FTP:

Campo Descripción   - -   RT La hora del evento, sin zona horaria   CN1 El identificador de sesión, permite la correlación con eventos de sesión   cn1label Texto descriptivo para el campo cn1. El valor es Session_ID.   CS1 La directiva de seguridad configurada   CS1Etiqueta Texto descriptivo para el campo cs1. El valor es Perfil de seguridad.   src La dirección IP de origen (lado del cliente)   DST La dirección IP de destino (lado del servidor)   request URI FTP   Act Acción para el evento FTP. Para un evento FTP permitido, el valor está permitido y, para un evento FTP bloqueado, el valor está bloqueado.   reason El componente que generó el evento. El único componente que genera eventos FTP son actualmente anti_malware.   CS3 El nombre del malware identificado en la carga útil (si lo hay)   cs3label Texto descriptivo para el campo cs3. El valor es el nombre del malware.

Una entrada de registro típica para un evento de FTP Antimalware permitido es la siguiente:

Oct 8 2020 09:49:56 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|3|rt=Oct 8 2020 09:49:56 cn1=104946811893256 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=harmless.exe act=allowed reason=anti_malware cs3= cs3Label=Malware name<!--NeedCopy-->

Una entrada de registro típica para un evento FTP antimalware bloqueado es la siguiente:


Oct 8 2020 09:50:06 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|8|rt=Oct 8 2020 09:50:06 cn1=104946811893276 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=eicar.exe act=blocked reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name<!--NeedCopy-->

Eventos SMTP

Las entradas de registro SMTP capturan la actividad del usuario relacionada con el correo electrónico no cifrado, enviado mediante el protocolo SMTP. En la tabla siguiente se describen los diversos campos de una entrada de registro SMTP:

Campo Descripción   - -   RT La hora del evento, sin zona horaria   CN1 El identificador de sesión, permite la correlación con eventos de sesión   cn1label Texto descriptivo para el campo cn1. El valor es Session_ID.   CS1 La directiva de seguridad configurada   CS1Etiqueta Texto descriptivo para el campo cs1. El valor es Perfil de seguridad.   src La dirección IP de origen (lado cliente)   SPT El puerto de origen (lado cliente)   DST La dirección IP de destino (lado del servidor)   dpt La dirección del puerto de destino (servidor)   cn2 El identificador del mensaje   cn2label Texto descriptivo para el campo cn2. El valor es Identificador de mensaje.   CS4 Asunto del correo electrónico   cs4Label Texto descriptivo para el campo cs4. El valor es Asunto del mensaje.   suser La dirección del remitente   duser La dirección del receptor   Act Acción para el evento SMTP. El valor está permitido, para un mensaje de correo electrónico SMTP permitido, bloqueado, para un mensaje de correo electrónico SMTP bloqueado y quitar para un mensaje de correo electrónico SMTP permitido después de eliminar una carga de malware.   reason El motivo de la acción. El valor es anti_malware.   CS3 El nombre del malware identificado en la carga útil (si lo hay)   CS3label Texto descriptivo para el campo cs3. El valor es el nombre del malware.

Una entrada de registro típica para un evento SMTP con virus es la siguiente:

Oct 8 2020 11:51:31 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|8|rt=Oct 8 2020 11:51:31 cn1=104946811893617 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=36097 dst=192.168.1.2 dpt=25 cn2=104946811893546 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=remove reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name<!--NeedCopy-->

Una entrada de registro típica para un evento SMTP sin virus es la siguiente:


Oct 8 2020 11:50:50 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|3|rt=Oct 8 2020 11:50:50 cn1=104946811893573 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=52737 dst=192.168.1.2 dpt=25 cn2=104946811893537 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=allowed reason=anti_malware cs3= cs3Label=Malware name<!--NeedCopy-->

IPS/ID

Campo Descripción   - -   RT La hora del evento, sin zona horaria   CN3 El identificador de firma IPS/IDS que activó el evento   cn3label Texto descriptivo para cn3. El valor es signature_id.   src La dirección IP de origen del paquete   SPT El puerto de origen del paquete (si procede)   DST La dirección IP de destino del paquete   DPT El puerto de destino del paquete (si procede)   proto El protocolo del paquete (TCP, UDP)   Act El para el evento IPS/IDS. Para un evento IPS/IDS permitido, se registra el valor, mientras que para un evento IPS/IDS bloqueado, el valor está bloqueado.   CS5 Tipo de clase de la firma IPS/IDS que desencadenó el evento   CS5label Texto descriptivo para cs5. El valor es class-type   MSG El mensaje IPS asociado con el evento

Una entrada de registro típica para un evento IPS bloqueado es la siguiente:

Aug 14 2020 14:58:59 mybranch CEF:0|Citrix|SD-WAN|11.2.2.53|EdgeSec|HTTP|7|rt=Aug 14 2020 14:58:59 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1944 dst=192.168.1.2 dpt=22 proto=TCP act=blocked cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack<!--NeedCopy-->

Una entrada de registro típica para un evento IPS registrado es la siguiente:


Oct 8 2020 12:57:36 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|IPS|4|rt=Oct 8 2020 12:57:36 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1076 dst=192.168.1.2 dpt=22 proto=TCP act=logged cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack<!--NeedCopy-->

Eventos de sesión

Las entradas del registro de sesión capturan la actividad del usuario en la capa TCP. Complementan eventos HTTP, FTP y SMTP al proporcionar información sobre la duración de la sesión TCP y las marcas de tiempo de inicio y detención. Las entradas del registro de sesión pueden hacer referencia a eventos de inicio, finalización de sesión o actualización de la sesión.

Campo Descripción   - -   RT La hora del evento, sin zona horaria. Para eventos de inicio de sesión, la marca de hora es cuando se estableció la sesión.   CN1 El identificador de sesión   cn1label Texto descriptivo para el campo cn1. El valor es Session_ID.   CS1 La directiva de seguridad configurada   CS1Etiqueta Texto descriptivo para el campo cs1. El valor es Perfil de seguridad.   src La dirección IP de origen (lado cliente)   SPT El puerto de origen (lado cliente)   DST La dirección IP de destino (lado del servidor)   dpt La dirección del puerto de destino (servidor)   ACT El tipo del evento de sesión. Puede ser new_session para eventos que hacen referencia a una sesión recién establecida, session_update, para eventos que hacen referencia a sesiones de larga duración existentes, y session_closed, para eventos que hacen referencia a sesiones cerradas.   Final El tiempo la sesión se cerró sin zona horaria. El campo solo es aplicable aeventossession_closed.

Una entrada de registro típica para un evento de inicio de sesión es la siguiente:

Oct 7 2020 23:46:44 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:44 cn1=104946811892916 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=43838 dst=10.78.242.11 dpt=53 act=new_session<!--NeedCopy-->

Una entrada de registro típica para un evento final de sesión es la siguiente:


Oct 7 2020 23:46:46 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:45 cn1=104946811892917 cn1Label=session_id cs1=1 cs1Label=Security profile end=1602114405989 src=192.168.0.2 spt=42253 dst=10.78.242.11 dpt=53 act=session_closed<!--NeedCopy-->

Actualizaciones de sesión

Las entradas de registro de actualizaciones de sesión capturan la actividad del usuario en la capa TCP para sesiones de larga ejecución por minuto. Las actualizaciones de sesión ayudan a identificar las entradas de registro existentes (HTTP, SMTP, FTP y eventos de sesión) que corresponden a sesiones aún abiertas. Los eventos correspondientes pueden ignorarse o tratarse como provisionales, ya que el cierre de sesión podría actualizar ciertos atributos (es decir, hora de finalización de sesión). Contrariamente a los eventos session_start y session_closed, los eventos session_update solo tienen un subconjunto limitado de los campos.

Campo Descripción   - -   RT La hora del evento, sin zona horaria   CN1 El identificador de sesiona   cn1Etiqueta Texto descriptivo para el campo cn1. El valor es Session_ID.   Act Acción para el evento IPS/IDS. Para una actualización de sesión, el valor es session_update.

Una entrada de registro típica para un evento de actualización de sesión es la siguiente:

Oct 7 2020 23:47:00 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:47:00 cn1=104946811892912 cn1Label=session_id act=session_update<!--NeedCopy-->
Solución de problemas de red