Journaux de Web App Firewall

Les messages de journal générés par le Web App Firewall peuvent être très utiles pour suivre les modifications de configuration, les appels de stratégie du Web App Firewall et les violations des contrôles de sécurité.

Lorsque l’action de journal est activée pour les vérifications de sécurité ou les signatures, les messages de journal qui en résultent fournissent des informations sur les demandes et réponses que le Web App Firewall a observées lors de la protection de vos sites Web et applications. Les informations les plus importantes sont les mesures prises par le Web App Firewall lorsqu’une signature ou une violation de vérification de sécurité a été observée. Pour certaines vérifications de sécurité, le message de journal peut fournir des informations utiles supplémentaires, telles que l’emplacement et le modèle détecté qui a déclenché la violation. Vous pouvez déployer des vérifications de sécurité en mode non-bloc et surveiller les journaux pour déterminer si les transactions qui déclenchent des violations de sécurité sont des transactions valides (faux positifs). Si tel est le cas, vous pouvez supprimer ou reconfigurer les vérifications de signature ou de sécurité, déployer des relaxations ou prendre d’autres mesures appropriées pour atténuer les faux positifs avant d’activer le blocage de cette signature ou vérification de sécurité. Une augmentation excessive du nombre de messages de violation dans les journaux peut indiquer une augmentation des demandes malveillantes. Cela peut vous alerter que votre application peut être attaquée pour exploiter une vulnérabilité spécifique détectée et contrecarrée par les protections du Web App Firewall.

Journaux de format Citrix ADC (natif)

Le Web App Firewall utilise les journaux de format Citrix ADC (également appelés journaux de format natif) par défaut. Ces journaux ont le même format que ceux générés par les autres fonctionnalités de Citrix ADC. Chaque journal contient les champs suivants :

  • Horodatage. Date et heure auxquelles la connexion s’est produite.
  • Gravité. Niveau de gravité du journal.
  • Module. Module Citrix ADC qui a généré l’entrée de journal.
  • Type d’événement. Type d’événement, tel qu’une violation de signature ou une violation de contrôle de sécurité.
  • ID de l’événement. ID attribué à l’événement.
  • IP du client. Adresse IP de l’utilisateur dont la connexion a été enregistrée.
  • ID de transaction. ID attribué à la transaction à l’origine du journal.
  • ID de session. ID attribué à la session utilisateur à l’origine du journal.
  • Message. Le message du journal. Contient des informations identifiant la signature ou le contrôle de sécurité qui a déclenché l’entrée du journal.

Vous pouvez rechercher n’importe lequel de ces champs ou n’importe quelle combinaison d’informations provenant de différents champs. Votre sélection est limitée uniquement par les capacités des outils que vous utilisez pour afficher les journaux. Vous pouvez observer les messages de journal du Web App Firewall dans l’interface graphique en accédant à la visionneuse Citrix ADC syslog, ou vous pouvez vous connecter manuellement à l’appliance Citrix ADC et accéder aux journaux à partir de l’interface de ligne de commande, ou vous pouvez passer dans shell et suivre les journaux directement à partir du dossier /var/log/dossier.

Exemple de message de journal de format natif

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_XSS 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>

Journaux CEF (Common Event Format)

Le Web App Firewall prend également en charge les journaux CEF. CEF est une norme de gestion des journaux ouverts qui améliore l’interopérabilité des informations liées à la sécurité provenant de différents périphériques et applications de sécurité et réseau. CEF permet aux clients d’utiliser un format de journal des événements commun afin que les données puissent être facilement collectées et agrégées pour analyse par un système de gestion d’entreprise. Le message de journal est divisé en différents champs afin que vous puissiez facilement analyser le message et écrire des scripts pour identifier les informations importantes.

Analyse du message du journal du CEF

En plus de la date, de l’horodatage, de l’adresse IP du client, du format du journal, de l’appliance, de l’entreprise, de la version de build, du module et des informations de vérification de sécurité, les messages du journal CEF du Web App Firewall comprennent les détails suivants :

  • src — adresse IP source
  • spt — numéro de port source
  • requête — URL de la requête
  • agir — action (par exemple bloquée, transformée)
  • msg — message (Message concernant la violation de vérification de sécurité observée)
  • cn1 — ID d’événement
  • cn2 — ID de transaction HTTP
  • cs1 — nom du profil
  • cs2 — ID d’EPI (p. ex. PPE1)
  • cs3 - ID de session
  • cs4 — Gravité (p. ex. INFO, ALERTE)
  • cs5 — année de l’événement
  • cs6 - Catégorie de violation de signature
  • méthode — Méthode (par exemple GET/POST)

Par exemple, considérez le message de journal de format CEF suivant, qui a été généré lors du déclenchement d’une violation d’URL de démarrage :

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked

Le message ci-dessus peut être divisé en différents composants. Reportez-vous auComposants du journal CEPtableau.

Exemple de violation de vérification de demande au format journal CEF : la demande n’est pas bloquée

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked

Exemple de violation de vérification de réponse au format CEF : la réponse est transformée

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed

Exemple de violation de signature côté demande au format CEF : la demande est bloquée

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked

Journalisation de la géolocalisation dans les messages de violation de Web App Firewall

La géolocalisation, qui identifie l’emplacement géographique à partir duquel les demandes proviennent, peut vous aider à configurer le Web App Firewall pour un niveau de sécurité optimal. Pour contourner les implémentations de sécurité telles que la limitation de débit, qui dépendent des adresses IP des clients, les logiciels malveillants ou les ordinateurs non fiables peuvent continuer à modifier l’adresse IP source dans les requêtes. L’identification de la région spécifique d’où proviennent les demandes peut aider à déterminer si les demandes proviennent d’un utilisateur valide ou d’un appareil qui tente de lancer des cyberattaques. Par exemple, si un nombre excessif de demandes sont reçues d’une zone spécifique, il est facile de déterminer si elles sont envoyées par des utilisateurs ou une machine non fiable. L’analyse géolocalisation du trafic reçu peut être très utile pour dévier les attaques telles que les attaques par déni de service (DoS).

Le Web App Firewall vous offre la commodité d’utiliser la base de données Citrix ADC intégrée pour identifier les emplacements correspondant aux adresses IP à partir desquelles les requêtes malveillantes proviennent. Vous pouvez ensuite appliquer un niveau de sécurité plus élevé pour les demandes provenant de ces emplacements. Les expressions de syntaxe par défaut Citrix vous permettent de configurer des stratégies basées sur l’emplacement qui peuvent être utilisées conjointement avec la base de données de localisation intégrée pour personnaliser la protection par pare-feu, renforçant ainsi votre défense contre les attaques coordonnées lancées par des clients non fiables dans une région spécifique.

Vous pouvez utiliser la base de données intégrée Citrix ADC ou n’importe quelle autre base de données. Si la base de données ne dispose pas d’informations d’emplacement pour l’adresse IP du client particulière, le journal CEF affiche la géolocalisation sous la forme d’une géolocalisation inconnue.

Remarque : La journalisation de géolocalisation utilise le format CEF (Common Event Format). Par défaut, la journalisation CEF et GeoLocationLogging sont OFF. Vous devez activer explicitement les deux paramètres.

Exemple de message de journal CEF montrant des informations de géolocalisation

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked

Exemple d’un message de journal montrant la géolocalisation = Inconnu

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked

Utilisation de la ligne de commande pour configurer l’action du journal et d’autres paramètres du journal

Pour configurer l’action de journal pour une vérification de sécurité d’un profil à l’aide de la ligne de commande

À l’invite de commandes, tapez l’une des commandes suivantes :

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

Exemples

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

Pour configurer la journalisation CEF à l’aide de la ligne de commande

La journalisation CEF est désactivée par défaut. À l’invite de commandes, tapez l’une des commandes suivantes pour modifier ou afficher le paramètre actuel :

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

Pour configurer la journalisation des numéros de carte de crédit à l’aide de la ligne de commande

À l’invite de commandes, tapez l’une des commandes suivantes :

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

Pour configurer la journalisation de géolocalisation à l’aide de la ligne de commande

  1. Utilisez la commande set pour activer GeoLocationLogging. Vous pouvez activer la journalisation CEF en même temps. Utilisez la commande unset pour désactiver la journalisation de géolocalisation. La commande show affiche les paramètres actuels de tous les paramètres du Web App Firewall, sauf si vous incluez la commande grep pour afficher le paramètre d’un paramètre spécifique.

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. Spécifier la base de données

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    ou

    add locationfile <path to database file>

Personnalisation des journaux de Web App Firewall

Les expressions de format par défaut (PI) vous permettent de personnaliser les informations incluses dans les journaux. Vous avez la possibilité d’inclure les données spécifiques que vous souhaitez capturer dans les messages de journal générés par le Web App Firewall. Par exemple, si vous utilisez l’authentification AAA-TM avec les vérifications de sécurité du Web App Firewall et que vous souhaitez connaître l’URL accédé qui a déclenché la violation du contrôle de sécurité, le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande, vous peut utiliser les commandes suivantes pour spécifier des messages de journal personnalisés qui incluent toutes les données :

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
> add appfw profile test_profile
 Done
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done

Configuration de la stratégie Syslog pour séparer les journaux de Web App Firewall

Le pare-feu des applications Web vous offre une option pour isoler et rediriger les messages du journal de sécurité du Web App Firewall vers un autre fichier journal. Cela peut être souhaitable si le Web App Firewall génère un grand nombre de journaux, ce qui rend difficile l’affichage d’autres messages de journal Citrix ADC. Vous pouvez également utiliser cette option lorsque vous êtes intéressé uniquement à afficher les messages de journal du Web App Firewall et que vous ne souhaitez pas voir les autres messages de journal.

Pour rediriger les journaux du Web App Firewall vers un autre fichier journal, configurez une action syslog pour envoyer les journaux du pare-feu Web App à une autre fonction de journal. Vous pouvez utiliser cette action lors de la configuration de la stratégie syslog et la lier globalement pour une utilisation par le Web App Firewall.

Exemple :

  1. Basculez vers le shell et utilisez un éditeur tel que vi pour modifier le fichier /etc/syslog.conf. Ajoutez une nouvelle entrée à utiliser local2.* pour envoyer des journaux dans un fichier séparé, comme indiqué dans l’exemple suivant :

    local2.\* /var/log/ns.log.appfw

  2. Redémarrez le processus syslog. Vous pouvez utiliser la commande grep pour identifier l’ID de processus syslog (PID), comme illustré dans l’exemple suivant :

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. À partir de l’interface de ligne de commande, configurez l’action et la stratégie syslog. Liez-le en tant que stratégie globale de Web App Firewall.

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. Toutes les violations de vérification de sécurité du Web App Firewall seront maintenant redirigées vers le fichier /var/log/ns.log.appfw. Vous pouvez suivre ce fichier pour afficher les violations du Web App Firewall qui sont déclenchées pendant le traitement du trafic en cours.

    root@ns# tail -f ns.log.appfw

Avertissement : Si vous avez configuré la stratégie syslog pour rediriger les journaux vers une autre fonction de journalisation, les messages de journalisation du Web App Firewall n’apparaissent plus dans le fichier /var/log/ns.log.

Affichage des journaux de Web App Firewall

Vous pouvez afficher les journaux à l’aide de la visionneuse syslog ou en vous connectant à l’appliance Citrix ADC, en ouvrant un shell UNIX et en utilisant l’éditeur de texte UNIX de votre choix.

Pour accéder aux messages du journal à l’aide de la ligne de commande

Basculez vers le shell et recherchez les fichiers ns.logs dans le dossier /var/log/ pour accéder aux messages de journal relatifs aux violations de vérification de sécurité du Web App Firewall :

  • Shell
  • tail -f /var/log/ns.log

Vous pouvez utiliser l’éditeur vi, ou n’importe quel éditeur de texte ou outil de recherche de texte Unix, pour afficher et filtrer les journaux pour des entrées spécifiques. Par exemple, vous pouvez utiliser la commande grep pour accéder aux messages de journal relatifs aux violations de la carte de crédit :

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

Pour accéder aux messages du journal à l’aide de l’interface graphique

L’interface utilisateur graphique Citrix inclut un outil très utile (Syslog Viewer) pour analyser les messages du journal. Vous disposez de plusieurs options pour accéder à la visionneuse Syslog :

  • Pour afficher les messages de journal pour une vérification de sécurité spécifique d’un profil, accédez à Web App Firewall > Profils, sélectionnez le profil cible et cliquez sur Vérifications de sécurité. Mettez en surbrillance la ligne pour le contrôle de sécurité cible et cliquez sur Journaux. Lorsque vous accédez aux journaux directement à partir de la vérification de sécurité sélectionnée du profil, il filtre les messages de journal et affiche uniquement les journaux relatifs aux violations de la vérification de sécurité sélectionnée. La visionneuse Syslog peut afficher les journaux du Web App Firewall au format natif ainsi qu’au format CEF. Toutefois, pour que la visionneuse syslog filtre les messages de journal spécifiques au profil cible, les journaux doivent être au format de journal CEF lorsqu’ils sont accessibles à partir du profil.
  • Vous pouvez également accéder à la visionneuse Syslog en accédant à Citrix ADC > Système > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation de vérification de sécurité du Web App Firewall pour tous les profils. Ceci est utile pour le débogage lorsque plusieurs violations de vérification de sécurité peuvent être déclenchées pendant le traitement de la demande.
  • Accédez à Web App Firewall > Stratégies > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation de vérification de sécurité pour tous les profils.

La visionneuse Syslog basée sur HTML fournit les options de filtre suivantes pour sélectionner uniquement les messages de journal qui vous intéressent :

  • Fichier : le fichier /var/log/ns.log actuel est sélectionné par défaut et les messages correspondants apparaissent dans la visionneuse Syslog. Une liste des autres fichiers journaux dans le répertoire /var/log est disponible au format .gz compressé. Pour télécharger et décompresser un fichier journal archivé, il vous suffit de sélectionner le fichier journal dans la liste déroulante. Les messages de journal relatifs au fichier sélectionné sont ensuite affichés dans la visionneuse syslog. Pour actualiser l’affichage, cliquez sur l’icône Actualiser (un cercle de deux flèches).

  • Zone de liste Module : vous pouvez sélectionner le module Citrix ADC dont vous souhaitez afficher les journaux. Vous pouvez le définir sur APPFW pour les journaux du Web App Firewall.

  • Zone de liste Type d’événement : cette zone contient un ensemble de cases à cocher permettant de sélectionner le type d’événement qui vous intéresse. Par exemple, pour afficher les messages de journal relatifs aux violations de signature, vous pouvez cocher la case APPFW_SIGNATURE_MATCH. De même, vous pouvez cocher une case pour activer la vérification de sécurité spécifique qui vous intéresse. Vous pouvez sélectionner plusieurs options.

  • Gravité : vous pouvez sélectionner un niveau de gravité spécifique pour afficher uniquement les journaux correspondant à ce niveau de gravité. Laissez toutes les cases à cocher vides si vous voulez voir tous les journaux.

    Pour accéder aux messages du journal des violations de vérification de sécurité du Web App Firewall pour une vérification de sécurité spécifique, filtrez en sélectionnant APPFW dans les options déroulantes du module. Le type d’événement affiche un ensemble complet d’options pour affiner votre sélection. Par exemple, si vous activez la case à cocher APPFW_FIELDFORMAT et cliquez sur le bouton Appliquer, seuls les messages relatifs aux violations de vérification de sécurité Formats de champ apparaissent dans la visionneuse Syslog. De même, si vous activez les cases à cocher APPFW_SQL et APPFW_STARTURL et cliquez sur le bouton Appliquer, seuls les messages de journalisation relatifs à ces deux violations de vérification de sécurité apparaîtront dans la visionneuse syslog.

Si vous placez le curseur dans la ligne d’un message de journal spécifique, plusieurs options, telles que Module, EventType, EventID, ClientIp, TransactionID, etc. apparaissent sous le message de journal. Vous pouvez sélectionner l’une de ces options pour mettre en surbrillance les informations correspondantes dans les journaux.

Cliquez sur Déployer : cette fonctionnalité est disponible uniquement dans l’interface graphique. Vous pouvez utiliser la visionneuse Syslog non seulement pour afficher les journaux, mais aussi pour déployer des règles de relaxation basées sur les messages de journal pour les violations de vérification de sécurité du Web App Firewall. Les messages de journal doivent être au format de journal CEF pour cette opération. Si la règle de relaxation peut être déployée pour un message de journal, une case à cocher apparaît sur le bord droit de la case Visionneuse Syslog dans la ligne. Activez la case à cocher, puis sélectionnez une option dans la liste Action pour déployer la règle de relaxation. Modifier et déployer, déployeret déployer toutsont disponibles en tant qu’options Action. Par exemple, vous pouvez sélectionner un message de journal individuel à modifier et à déployer. Vous pouvez également activer les cases à cocher pour plusieurs messages de journal à partir d’une ou de plusieurs vérifications de sécurité et utiliser l’option Déployer ou Déployer tout. Cliquez sur pour Déployer la fonctionnalité est actuellement prise en charge pour les vérifications de sécurité suivantes :

  • StartURL
  • Débordement de tampon d’URL
  • Injection SQL
  • XSS
  • Cohérence des champs
  • Cohérence des cookies

Pour utiliser la fonctionnalité Cliquez pour déployer dans l’interface graphique

  1. Dans la visionneuse Syslog, sélectionnez APPFWdans les options du module.
  2. Sélectionnez la vérification de sécurité pour laquelle filtrer les messages de journal correspondants.
  3. Activez la case à cocher pour sélectionner la règle.
  4. Utilisez la liste déroulante d’options Action pour déployer la règle de relaxation.
  5. Vérifiez que la règle apparaît dans la section Règle de relaxation correspondante.

Remarque :

Les règles SQL Injection et XSS déployées à l’aide de l’option Cliquez sur Déployer n’incluent pas les recommandations de relaxation du grain fin.

Résumé

  • Prise encharge du format de journalCEF : l’option de format de journal CEF fournit une option pratique pour surveiller, analyser et analyser les messages de journal du Web App Firewall pour identifier les attaques, affiner les paramètres configurés pour réduire les faux positifs et recueillir des statistiques.
  • Cliquez pour déployer— La visionneuse Syslog offre une option permettant de filtrer, d’évaluer et de déployer des règles de relaxation pour une ou plusieurs violations de vérification de sécurité à partir d’un emplacement pratique.
  • Option de personnalisation du message de journal : vous pouvez utiliser des expressions PI avancées pour personnaliser les messages de journal et inclure les données que vous souhaitez voir dans les journaux.
  • Séparer les journaux spécifiques au Web App Firewall—Vous avez la possibilité de filtrer et de rediriger les journaux spécifiques au pare-feu d’application vers un fichier journal distinct.
  • Journalisation à distance—Vous pouvez rediriger les messages du journal vers un serveur syslog distant.
  • Journalisation de géolocalisation : vous pouvez configurer le Web App Firewall pour inclure la géolocalisation de la zone à partir de laquelle la demande est reçue. Une base de données de géolocalisation intégrée est disponible, mais vous avez la possibilité d’utiliser une base de données de géolocalisation externe. L’appliance Citrix ADC prend en charge les bases de données de géolocalisation statique IPv4 et IPv6.
  • Message de journal riche en informations : voici quelques exemples du type d’informations qui peuvent être incluses dans les journaux, selon la configuration :
    • Une stratégie de Web App Firewall a été déclenchée.
    • Une violation de vérification de sécurité a été déclenchée.
    • Une demande a été considérée comme mal formée.
    • Une demande ou la réponse a été bloquée ou non bloquée.
    • Les données de demande (telles que les caractères spéciaux SQL ou XSS) ou les données de réponse (telles que les numéros de carte de crédit ou les chaînes d’objets sûrs) ont été transformées.
    • Le nombre de cartes de crédit dans la réponse dépassait la limite configurée.
    • Le numéro et le type de carte de crédit.
    • Les chaînes de journal configurées dans les règles de signature et l’ID de signature.
    • Informations de géolocalisation sur la source de la demande.
    • Entrée utilisateur masquée (X’d out) pour les champs confidentiels protégés.

Masquer les données sensibles à l’aide d’un modèle regex

La fonction de stratégie avancée (PI) REGEX_REPLACE dans une expression de journal (liée à un profil WAF) vous permet de masquer les données sensibles dans les journaux WAF. Vous pouvez utiliser l’option pour masquer des données à l’aide d’un motif regex et fournir un caractère ou un motif de chaîne pour masquer les données. En outre, vous pouvez configurer la fonction PI pour remplacer la première occurrence ou toutes les occurrences du modèle regex.

Par défaut, l’interface GUI Citrix fournit le masque suivant :

  • SSN
  • Carte de crédit
  • Mot de passe
  • Nom d’utilisateur

Masquer les données sensibles dans les journaux du pare-feu d’application Web

Vous pouvez masquer des données sensibles dans les journaux WAF en configurant l’expression de stratégie avancée REGEX_REPLACE dans l’expression de journal liée à un profil WAF. Pour masquer les données sensibles, vous devez effectuer les étapes suivantes :

  1. Ajouter un profil de pare-feu d’application Web
  2. Lier une expression de journal au profil WAF

Ajouter un profil de pare-feu d’application Web

À l’invite de commandes, tapez :

add appfw profile <name>

Exemple :

Add appfw profile testprofile1

Liez une expression de journal avec le profil Pare-feu d’application Web

À l’invite de commandes, tapez :

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

Exemple :

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Masquer les données sensibles dans les journaux du pare-feu d’application Web à l’aide de l’interface graphique Citrix ADC

  1. Dans le volet de navigation, développez Sécurité > Citrix Web App Firewall > Profils.
  2. Dans la page Profils, cliquez sur Modifier.
  3. Sur la page Profil du Citrix Web App Firewall, accédez à la section Paramètres avancés et cliquez sur Journalisation étendue.

    Section de journalisation étendue

  4. Dans la section Logging étendue, cliquez sur Ajouter.

    Liaison de journal Citrix WAF

  5. Sur la page Créer Citrix Web App Firewall Extended Log Liaison, définissez les paramètres suivants :

    1. Nom. Nom de l’expression du journal.
    2. Activé. Sélectionnez cette option pour masquer les données sensibles.
    3. Masque de journal. Sélectionnez les données à masquer.
    4. Expression. Entrez l’expression de stratégie avancée qui vous permet de masquer les données sensibles dans les journaux WAF
    5. Commentaires. Brève description du masquage des données sensibles.
  6. Cliquez sur Créer et Fermer.

    Liaison de journal Citrix WAF