Citrix ADC

Journaux du Web App Firewall

Les messages de journal générés par le Web App Firewall peuvent être très utiles pour suivre les modifications de configuration, les appels de stratégie de Web App Firewall et les violations des contrôles de sécurité.

Lorsque l’action de journal est activée pour les vérifications de sécurité ou les signatures, les messages de journal qui en résultent fournissent des informations sur les demandes et les réponses observées par le Web App Firewall lors de la protection de vos sites Web et applications. Les informations les plus importantes sont l’action entreprise par le Web App Firewall lorsqu’une signature ou une violation du contrôle de sécurité a été observée. Pour certaines vérifications de sécurité, le message de journal peut fournir des informations utiles supplémentaires, telles que l’emplacement et le modèle détecté qui a déclenché la violation. Vous pouvez déployer des vérifications de sécurité en mode non bloqué et surveiller les journaux pour déterminer si les transactions qui déclenchent des violations de sécurité sont des transactions valides (faux positifs). Si tel est le cas, vous pouvez supprimer ou reconfigurer la signature ou les contrôles de sécurité, déployer des assouplissements ou prendre d’autres mesures appropriées pour atténuer les faux positifs avant d’activer le blocage de cette signature ou de cette vérification de sécurité. Une augmentation excessive du nombre de messages de violation dans les journaux peut indiquer une augmentation du nombre de demandes malveillantes. Cela peut vous avertir que votre application est peut-être attaquée pour exploiter une vulnérabilité spécifique détectée et contrecarrée par les protections du Web App Firewall.

Remarque :

La journalisation Citrix Web App Firewall doit être utilisée uniquement avec des serveurs SYSLOG externes.

Journaux au format Citrix ADC (natif)

Le Web App Firewall utilise les journaux au format Citrix ADC (également appelés journaux de format natif) par défaut. Ces journaux ont le même format que ceux générés par d’autres fonctionnalités de Citrix ADC. Chaque journal contient les champs suivants :

  • Horodatage. Date et heure de la connexion.
  • Gravité. Niveau de gravité du journal.
  • module. Module Citrix ADC qui a généré l’entrée de journal.
  • Type d’événement. Type d’événement, tel qu’une violation de signature ou une violation du contrôle de sécurité.
  • ID de l’événement. ID attribué à l’événement.
  • IP du client. Adresse IP de l’utilisateur dont la connexion a été enregistrée.
  • ID de transaction. ID attribué à la transaction à l’origine du journal.
  • ID de session. ID attribué à la session utilisateur à l’origine du journal.
  • Message. Le message du journal. Contient des informations identifiant la signature ou le contrôle de sécurité qui a déclenché l’entrée du journal.

Vous pouvez rechercher n’importe lequel de ces champs ou n’importe quelle combinaison d’informations provenant de différents champs. Votre sélection est limitée uniquement par les fonctionnalités des outils que vous utilisez pour afficher les journaux. Vous pouvez observer les messages de journal du Web App Firewall dans l’interface graphique en accédant à la visionneuse Syslog Citrix ADC, ou vous pouvez vous connecter manuellement à l’appliance Citrix ADC et accéder aux journaux à partir de l’interface de ligne de commande, ou vous pouvez passer dans le shell et suivre les journaux directement à partir du dossier /var/log/.

Exemple de message de journal de format natif

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_cross-site scripting 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>
<!--NeedCopy-->

Journaux du format commun des événements (CEF)

Le Web App Firewall prend également en charge les journaux CEF. CEF est une norme de gestion des journaux ouverts qui améliore l’interopérabilité des informations liées à la sécurité provenant de différents périphériques et applications de sécurité et de réseau. CEF permet aux clients d’utiliser un format de journal des événements commun afin que les données puissent être facilement collectées et agrégées pour analyse par un système de gestion d’entreprise. Le message de journal est divisé en différents champs afin que vous puissiez facilement analyser le message et écrire des scripts pour identifier les informations importantes.

Analyse du message de journal CEF

En plus de la date, de l’horodatage, de l’adresse IP du client, du format de journal, de l’appliance, de l’entreprise, de la version de build, du module et des informations de vérification de sécurité, les messages de journal CEF du Web App Firewall incluent les informations suivantes :

  • src — adresse IP source
  • spt — numéro de port source
  • request — URL de la demande
  • act — action (par exemple bloquée, transformée)
  • msg — message (message concernant la violation du contrôle de sécurité observée)
  • cn1 — ID d’événement
  • cn2 — ID de transaction HTTP
  • cs1 — nom du profil
  • cs2 — ID EPI (par exemple PPE1)
  • cs3 - ID de session
  • cs4 — Gravité (par exemple, INFO, ALERTE)
  • CS5 — année de l’événement
  • cs6 - Catégorie de violation de signature
  • method — Méthode (par exemple GET/POST)

Par exemple, considérez le message de journal au format CEF suivant, qui a été généré lorsqu’une violation d’URL de démarrage a été déclenchée :

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked
<!--NeedCopy-->

Le message ci-dessus peut être divisé en différents composants. Reportez-vous au tableau des composants du journal CEP .

Exemple de violation de vérification de demande au format journal CEF : la demande n’est pas bloquée

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked
<!--NeedCopy-->

Exemple d’une violation de vérification de réponse au format CEF : la réponse est transformée

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed
<!--NeedCopy-->

Exemple de violation de signature côté requête au format CEF : la demande est bloquée

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked
<!--NeedCopy-->

Enregistrement de la géolocalisation dans les messages de violation du pare-feu Web App Firewall

La géolocalisation, qui identifie l’emplacement géographique d’où proviennent les demandes, peut vous aider à configurer le Web App Firewall pour un niveau de sécurité optimal. Pour contourner les implémentations de sécurité telles que la limitation de débit, qui reposent sur les adresses IP des clients, les logiciels malveillants ou les ordinateurs malveillants peuvent continuer à modifier l’adresse IP source dans les demandes. L’identification de la région spécifique d’où proviennent les demandes peut aider à déterminer si les demandes proviennent d’un utilisateur valide ou d’un appareil tentant de lancer des cyberattaques. Par exemple, si un nombre excessif de demandes sont reçues d’une zone spécifique, il est facile de déterminer si elles sont envoyées par des utilisateurs ou par une machine non fiable. L’analyse de géolocalisation du trafic reçu peut être très utile pour dévier les attaques telles que les attaques par déni de service (DoS).

Le Web App Firewall vous offre la commodité d’utiliser la base de données Citrix ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les requêtes malveillantes. Vous pouvez ensuite appliquer un niveau de sécurité plus élevé pour les demandes provenant de ces emplacements. Les expressions de stratégie Citrix Advanced (PI) vous permettent de configurer des stratégies basées sur l’emplacement qui peuvent être utilisées conjointement avec la base de données d’emplacement intégrée pour personnaliser la protection par pare-feu, renforçant ainsi votre défense contre les attaques coordonnées lancées par des clients malveillants dans une région spécifique.

Vous pouvez utiliser la base de données intégrée Citrix ADC ou n’importe quelle autre base de données. Si la base de données ne contient aucune information d’emplacement pour l’adresse IP du client particulier, le journal CEF affiche la géolocalisation en tant que géolocalisation inconnue.

Remarque : La journalisation de la géolocalisation utilise le format CEF (Common Event Format). Par défaut, la journalisation CEF et GeolocationLogging sont désactivées. Vous devez explicitement activer les deux paramètres.

Exemple de message de journal CEF affichant des informations de géolocalisation

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->

Exemple de message de journal indiquant geolocation= Unknown

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->

Utilisation de la ligne de commande pour configurer l’action du journal et d’autres paramètres de journal

Pour configurer l’action de journal pour les contrôles de sécurité d’un profil à l’aide de la ligne de commande

À l’invite de commandes, tapez l’une des commandes suivantes :

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

Exemples

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

Pour configurer la journalisation CEF à l’aide de la ligne de commande

La journalisation CEF est désactivée par défaut. À l’invite de commandes, tapez l’une des commandes suivantes pour modifier ou afficher le paramètre actuel :

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

Pour configurer la consignation des numéros de carte de crédit à l’aide de la ligne de commande

À l’invite de commandes, tapez l’une des commandes suivantes :

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

Pour configurer la journalisation de la géolocalisation à l’aide de la ligne de commande

  1. Utilisez la commande set pour activer GeolocationLogging. Vous pouvez activer la journalisation CEF en même temps. Utilisez la commande unset pour désactiver la journalisation de géolocalisation. La commande show affiche les paramètres actuels de tous les paramètres de Web App Firewall, sauf si vous incluez la commande grep pour afficher le paramètre d’un paramètre spécifique.

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. Spécifiez la base de données

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    ou

    add locationfile <path to database file>

Personnalisation des journaux du Web App Firewall

Les expressions de format par défaut (PI) vous permettent de personnaliser les informations incluses dans les journaux. Vous avez la possibilité d’inclure les données spécifiques que vous souhaitez capturer dans les messages de journal générés par le Web App Firewall. Par exemple, si vous utilisez l’authentification AAA-TM en même temps que les vérifications de sécurité du Web App Firewall et que vous souhaitez connaître l’URL consultée qui a déclenché la violation du contrôle de sécurité, le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande, vous peut utiliser les commandes suivantes pour spécifier des messages de journal personnalisés qui incluent toutes les données :

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
<!--NeedCopy-->
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
<!--NeedCopy-->
> add appfw profile test_profile
 Done
<!--NeedCopy-->
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done
<!--NeedCopy-->

Configuration de la stratégie Syslog pour séparer les journaux du Web App Firewall

Le pare-feu Web App vous offre la possibilité d’isoler et de rediriger les messages du journal de sécurité du Web App Firewall vers un autre fichier journal. Cela peut être souhaitable si le Web App Firewall génère un grand nombre de journaux, ce qui rend difficile l’affichage des autres messages de journal Citrix ADC. Vous pouvez également utiliser cette option lorsque vous souhaitez uniquement afficher les messages du journal du Web App Firewall et que vous ne souhaitez pas voir les autres messages de journal.

Pour rediriger les journaux du Web App Firewall vers un autre fichier journal, configurez une action Syslog pour envoyer les journaux du Web App Firewall à une autre fonction de journalisation. Vous pouvez utiliser cette action lors de la configuration de la stratégie Syslog et la lier globalement pour une utilisation par Web App Firewall.

Exemple :

  1. Passez au shell et utilisez un éditeur tel que vi pour éditer le fichier /etc/syslog.conf. Ajoutez une nouvelle entrée pour utiliser local2.* pour envoyer les journaux vers un fichier distinct, comme illustré dans l’exemple suivant :

    local2.\* /var/log/ns.log.appfw

  2. Redémarrez le processus Syslog. Vous pouvez utiliser la commande grep pour identifier l’ID de processus Syslog (PID), comme illustré dans l’exemple suivant :

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. À partir de l’interface de ligne de commande, configurez l’action et la stratégie Syslog. Liez-le en tant que stratégie globale de Web App Firewall.

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. Toutes les violations de vérification de sécurité du Web App Firewall seront désormais redirigées vers le fichier /var/log/ns.log.appfw. Vous pouvez suivre ce fichier pour afficher les violations du Web App Firewall qui sont déclenchées pendant le traitement du trafic en cours.

    root@ns# tail -f ns.log.appfw

Avertissement : Si vous avez configuré la stratégie Syslog pour rediriger les journaux vers une autre fonction de journalisation, les messages du journal du Web App Firewall n’apparaissent plus dans le fichier /var/log/ns.log.

Affichage des journaux du Web App Firewall

Vous pouvez afficher les journaux à l’aide de la visionneuse Syslog ou en vous connectant à l’appliance Citrix ADC, en ouvrant un shell UNIX et en utilisant l’éditeur de texte UNIX de votre choix.

Pour accéder aux messages du journal à l’aide de la ligne de commande

Basculez vers le shell et reculez les journaux ns.logs dans le dossier /var/log/ pour accéder aux messages de journal relatifs aux violations du contrôle de sécurité du Web App Firewall :

  • Shell
  • tail -f /var/log/ns.log

Vous pouvez utiliser l’éditeur vi, ou n’importe quel éditeur de texte Unix ou outil de recherche de texte, pour afficher et filtrer les journaux pour des entrées spécifiques. Par exemple, vous pouvez utiliser la commande grep pour accéder aux messages de journal relatifs aux violations de la carte de crédit :

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

Pour accéder aux messages du journal à l’aide de l’interface graphique

L’interface graphique Citrix inclut un outil très utile (Syslog Viewer) pour analyser les messages de journal. Vous disposez de plusieurs options pour accéder à la visionneuse Syslog :

  • Pour afficher les messages de journal d’une vérification de sécurité spécifique d’un profil, accédez à Web App Firewall > Profils, sélectionnez le profil cible, puis cliquez sur Vérifications de sécurité. Mettez en surbrillance la ligne correspondant au contrôle de sécurité cible, puis cliquez sur Journaux. Lorsque vous accédez aux journaux directement à partir de la vérification de sécurité sélectionnée du profil, il filtre les messages de journal et affiche uniquement les journaux relatifs aux violations du contrôle de sécurité sélectionné. La visionneuse Syslog peut afficher les journaux du Web App Firewall au format natif ainsi qu’au format CEF. Toutefois, pour que la visionneuse Syslog puisse filtrer les messages de journal spécifiques au profil cible, les journaux doivent être au format de journal CEF lorsqu’ils sont accessibles à partir du profil.
  • Vous pouvez également accéder à la visionneuse Syslog en accédant à Citrix ADC > Système > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation des contrôles de sécurité du Web App Firewall pour tous les profils. Ceci est utile pour le débogage lorsque plusieurs violations de contrôle de sécurité peuvent être déclenchées pendant le traitement des demandes.
  • Accédez à Web App Firewall > stratégies > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation des contrôles de sécurité pour tous les profils.

La visionneuse Syslog basée sur HTML fournit les options de filtre suivantes pour sélectionner uniquement les messages de journal qui vous intéressent :

  • Fichier : le fichier /var/log/ns.log actuel est sélectionné par défaut et les messages correspondants apparaissent dans la visionneuse Syslog. Une liste des autres fichiers journaux du répertoire /var/log est disponible au format .gz compressé. Pour télécharger et décompresser un fichier journal archivé, il suffit de sélectionner le fichier journal dans la liste déroulante. Les messages de journal relatifs au fichier sélectionné sont ensuite affichés dans la visionneuse Syslog. Pour actualiser l’affichage, cliquez sur l’icône Actualiser (un cercle de deux flèches).

  • Zone de liste Module : vous pouvez sélectionner le module Citrix ADC dont vous souhaitez afficher les journaux. Vous pouvez le définir sur APPFW pour les journaux de Web App Firewall.

  • Zone de liste Type d’événement : cette zone contient un ensemble de cases à cocher permettant de sélectionner le type d’événement qui vous intéresse. Par exemple, pour afficher les messages de journal relatifs aux violations de signature, vous pouvez activer la case à cocher APPFW_SIGNATURE_MATCH . De même, vous pouvez cocher une case pour activer le contrôle de sécurité spécifique qui vous intéresse. Vous pouvez sélectionner plusieurs options.

  • Gravité : vous pouvez sélectionner un niveau de gravité spécifique pour afficher uniquement les journaux correspondant à ce niveau de gravité. Laissez toutes les cases à cocher vides si vous souhaitez afficher tous les journaux.

    Pour accéder aux messages du journal des violations de vérification de sécurité du Web App Firewall pour un contrôle de sécurité spécifique, filtrez en sélectionnant APPFW dans les options déroulantes du module. Le type d’événement affiche un ensemble complet d’options pour affiner votre sélection. Par exemple, si vous activez la case à cocher APPFW_FIELDFORMAT et que vous cliquez sur le bouton Appliquer, seuls les messages de journalisation relatifs aux violations des contrôles de sécurité des formats de champ apparaissent dans la visionneuse Syslog. De même, si vous activez les cases à cocher APPFW_SQL et APPFW_STARTURL et que vous cliquez sur le bouton Appliquer, seuls les messages de journal relatifs à ces deux violations de vérification de sécurité apparaîtront dans la visionneuse Syslog.

Si vous placez le curseur sur la ligne d’un message de journal spécifique, plusieurs options, telles que Module, EventType, EventID, ClientIP, TransactionID, etc., apparaissent sous le message de journal. Vous pouvez sélectionner l’une de ces options pour mettre en surbrillance les informations correspondantes dans les journaux.

Cliquez pour déployer : cette fonctionnalité n’est disponible que dans l’interface graphique. Vous pouvez utiliser la visionneuse Syslog pour non seulement afficher les journaux, mais également pour déployer des règles de relaxation basées sur les messages de journal pour les violations de vérification de sécurité du Web App Firewall. Les messages de journal doivent être au format de journal CEF pour cette opération. Si la règle de relaxation peut être déployée pour un message de journal, une case à cocher apparaît sur le bord droit de la zone Syslog Viewer sur la ligne. Activez la case à cocher, puis sélectionnez une option dans la liste Action pour déployer la règle de relaxation. Edit & Deploy, Deployet Deploy All sont disponibles en tant qu’options d’action. Par exemple, vous pouvez sélectionner un message de journal individuel à modifier et à déployer. Vous pouvez également sélectionner les cases à cocher de plusieurs messages de journal provenant d’un ou de plusieurs contrôles de sécurité et utiliser l’option Déployer ou Déployer tout. La fonctionnalité Click to Deploy est actuellement prise en charge pour les contrôles de sécurité suivants :

  • URL de démarrage
  • Dépassement de tampon d’URL
  • Injection SQL
  • script intersite
  • cohérence sur le terrain
  • Cohérence des cookies

Pour utiliser la fonctionnalité Click to Deploy dans l’interface graphique

  1. Dans la visionneuse Syslog, sélectionnez APPFW dans les options du module .
  2. Sélectionnez le contrôle de sécurité pour lequel filtrer les messages de journal correspondants.
  3. Cochez la case pour sélectionner la règle.
  4. Utilisez la liste déroulante d’options Action pour déployer la règle de relaxation.
  5. Vérifiez que la règle apparaît dans la section de règle de relaxation correspondante.

Remarque :

Les règles d’injection SQL et de script intersite qui sont déployées à l’aide de l’option Click Deploy n’incluent pas les recommandations de relaxation fine.

Résumé

  • Prise en charge du format de journal CEF : l’option de format de journal CEF fournit une option pratique pour surveiller, analyser et analyser les messages de journal du Web App Firewall afin d’identifier les attaques, d’affiner les paramètres configurés pour réduire les faux positifs et de collecter des statistiques.
  • Click to Deploy : la visionneuse Syslog offre une option permettant de filtrer, d’évaluer et de déployer des règles de relaxation pour des violations de contrôle de sécurité uniques ou multiples à partir d’un emplacement pratique.
  • Option de personnalisation des messages de journal : vous pouvez utiliser des expressions PI avancées pour personnaliser les messages de journal et inclure les données que vous souhaitez voir dans les journaux.
  • Séparer les journaux spécifiques au Web App Firewall : vous avez la possibilité de filtrer et de rediriger les journaux spécifiques au pare-feu d’application vers un fichier journal distinct.
  • Journalisation à distance : vous pouvez rediriger les messages de journal vers un serveur Syslog distant.
  • Journalisation de la géolocalisation : vous pouvez configurer le Web App Firewall pour inclure la géolocalisation de la zone à partir de laquelle la demande est reçue. Une base de données de géolocalisation intégrée est disponible, mais vous avez la possibilité d’utiliser une base de données de géolocalisation externe. L’appliance Citrix ADC prend en charge les bases de données de géolocalisation statiques IPv4 et IPv6.
  • Message de journal riche en informations : voici quelques exemples du type d’informations pouvant être incluses dans les journaux, en fonction de la configuration :
    • Une stratégie de Web App Firewall a été déclenchée.
    • Une violation du contrôle de sécurité a été déclenchée.
    • Une demande a été considérée comme mal formée.
    • Une demande ou une réponse a été bloquée ou non bloquée.
    • Les données de demande (telles que les caractères spéciaux de script SQL ou intersite) ou les données de réponse (telles que les numéros de carte de crédit ou les chaînes d’objets sûrs) ont été transformées.
    • Le nombre de cartes de crédit dans la réponse a dépassé la limite configurée.
    • Le numéro et le type de la carte de crédit.
    • Les chaînes de journaux configurées dans les règles de signature et l’ID de signature.
    • Informations de géolocalisation sur la source de la demande.
    • Entrée utilisateur masquée (X’d out) pour les champs confidentiels protégés.

Masquer les données sensibles à l’aide d’un modèle regex

La fonction de stratégie avancée (PI) REGEX_REPLACE dans une expression de journal (liée à un profil de pare-feu d’application Web (WAF)) vous permet de masquer les données sensibles dans les journaux WAF. Vous pouvez utiliser cette option pour masquer les données à l’aide d’un modèle d’expression régulière et fournir un modèle de caractère ou de chaîne pour masquer les données. Vous pouvez également configurer la fonction PI pour remplacer la première occurrence ou toutes les occurrences du modèle d’expression régulière.

Par défaut, l’interface graphique Citrix fournit le masque suivant :

  • SSN
  • Carte de crédit
  • Mot de passe
  • Nom d’utilisateur

Masquer les données sensibles dans les journaux du pare-feu d’application Web

Vous pouvez masquer des données sensibles dans les journaux WAF en configurant l’expression de stratégie avancée REGEX_REPLACE dans l’expression de journal liée à un profil WAF. Pour masquer les données sensibles, vous devez effectuer les étapes suivantes :

  1. Ajouter un profil de pare-feu d’application Web
  2. Liaison d’une expression de journal au profil WAF

Ajouter un profil de pare-feu d’application Web

À l’invite de commandes, tapez :

add appfw profile <name>

Exemple :

Add appfw profile testprofile1

Liaison d’une expression de journal avec le profil de pare-feu d’application Web

À l’invite de commandes, tapez :

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

Exemple :

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Masquer les données sensibles dans les journaux du pare-feu d’application Web à l’aide de l’interface graphique Citrix ADC

  1. Dans le volet de navigation, développez Sécurité > Citrix Web App Firewall > Profils.
  2. Sur la page Profils, cliquez sur Modifier.
  3. Sur la page Profil de Citrix Web App Firewall, accédez à la section Paramètres avancés et cliquez sur Enregistrement étendu.

    Section de journalisation étendue

  4. Dans la section Enregistrement étendu, cliquez sur Ajouter.

    Liaison de journal Citrix WAF

  5. Sur la page Créer une liaison de journal étendue Citrix Web App Firewall, définissez les paramètres suivants :

    1. Name. Nom de l’expression du journal.
    2. Activé. Sélectionnez cette option pour masquer les données sensibles.
    3. Masque de journal. Sélectionnez les données à masquer.
    4. Expression. Entrez l’expression de stratégie avancée qui vous permet de masquer les données sensibles dans les journaux WAF
    5. Commentaires. Brève description du masquage des données sensibles.
  6. Cliquez sur Créer et Fermer.

    Liaison de journal Citrix WAF