Splunkとの統合
Citrix ADM を Splunk と統合して、WAF 違反や Bot 違反の分析を Splunk ダッシュボードに表示できるようになりました。Splunk アドオンにより、次のことが可能になります。
-
他のすべての外部データソースを結合します。
-
一元化された場所で分析の可視性を高めます。
Citrix ADM はボットイベントと WAF イベントを収集し、定期的に Splunk に送信します。Splunk 共通情報モデル (CIM) アドオンは、イベントを CIM 互換データに変換します。管理者は CIM 互換データを使用して、Splunk ダッシュボードで WAF と Bot の違反を確認できます。
前提条件
Splunk インテグレーションでは、次のことを行う必要があります。
グローバル設定のセットアップ
-
Splunk にログオンします。
-
[ 設定] > [データ入力] > [HTTP イベントコレクター] に移動します。 HTTP イベントコレクターページが表示されます 。
-
「 グローバル設定」をクリックします。
-
次のパラメータを指定し、[ 保存] をクリックします。
注
デフォルトでは、HTTP ポート番号はデフォルトポートを示します。他の優先ポート番号がある場合は、必要なポート番号を指定できます。
Splunk で HTTP イベントコレクターのエンドポイントをセットアップする
-
Splunk にログオンします。
-
[ 設定] > [データ入力] > [HTTP イベントコレクター] に移動します。 HTTP イベントコレクターページが表示されます 。
-
「 新規トークン」をクリックします。
-
以下を指定してください。
-
名前:任意の名前を指定します。
-
ソース名の上書き (オプション): 値を設定すると、HTTP イベントコレクターのソース値が上書きされます。
-
説明 (オプション): 説明を指定します。
-
出力グループ (オプション): デフォルトでは、このオプションは「なし」に設定されています。
-
インデクサーの確認を有効にする:デフォルトでは、このオプションは選択されていません。
-
[ 次へ] をクリックします
-
[入力設定] ページで、[ ソースタイプ]、[ アプリコンテキスト]、[ インデックス] を指定し、[ レビュー] をクリックします。
-
指定した内容がすべて正しいかどうかを確認し、[ 送信] をクリックします。 トークンが生成されます。Citrix ADM で詳細を追加するときは、このトークンを使用する必要があります。
-
Splunk 共通情報モデルのインストール
Splunk では、Splunk CIM をインストールして、データがダッシュボードに確実に入力されるようにする必要があります。
-
Splunk にログオンします。
-
[ アプリ] > [その他のアプリを検索] に移動します。
-
検索バーに CIM と入力し、 Enter キーを押して Splunk 共通情報モデル (CIM) アドオンを取得し、[ インストール] をクリックします。
Citrix CIM ノーマライザーのインストール
Splunk CIMをインストールしたら、Citrix CIMノーマライザーをインストールしてイベントをSplunk CIMに変換する必要があります。
-
Citrix のダウンロードページにログオンし、 Splunk 用の Citrix CIM アドオンをダウンロードします。
-
Splunk ポータルで、[ アプリ] > [アプリの管理] に移動します。
-
[ ファイルからアプリをインストール] をクリックします。
-
.splまたは.tgz** ファイルをアップロードし、[ **アップロード] をクリックします。
[ アプリ ] ページに、アドオンがインストールされているという通知メッセージが表示されます。
Splunk HTTP コレクターとトークンの詳細を追加します
トークンを生成したら、Citrix ADM に詳細を追加して Splunk と統合する必要があります。
-
Citrix ADM にログオンします。
-
[ 設定] > [エコシステム統合]に移動します。
-
「 購読 」ページで、「 追加」をクリックします。
-
[ 購読する機能の選択 ] タブでは、エクスポートする機能を選択し、[ 次へ] をクリックします。
-
リアルタイムエクスポート -選択した違反は直ちに Splunk にエクスポートされます。
-
定期エクスポート -選択した違反が、選択した期間に従って Splunk にエクスポートされます。
-
-
「 エクスポート構成を指定 」タブで:
-
エンドポイントタイプ — リストから Splunk を選択します。
-
エンドポイント — Splunk エンドポイントの詳細を指定します。終点はhttps://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/eventの形式でなければなりません。
注
セキュリティ上の理由から HTTPS を使用することをお勧めします。
-
SPLUNK_PUBLIC_IP — Splunk に設定された有効な IP アドレス。
-
SPLUNK_HEC_PORT — HTTP イベントエンドポイントの設定時に指定したポート番号を示します。デフォルトのポート番号は 8088 です。
-
サービス/コレクター/イベント — HEC アプリケーションのパスを示します。
-
-
認証トークン — Splunk ページから認証トークンをコピーして貼り付けます。
-
[次へ] をクリックします。
-
-
「 購読 」ページで:
-
エクスポート頻度 — リストから [毎日] または [毎時] を選択します。選択内容に基づいて、Citrix ADM は詳細を Splunk にエクスポートします。
注
定期エクスポートで違反を選択した場合にのみ適用されます。
-
サブスクリプション名 — 任意の名前を指定します。
-
「 通知を有効にする 」チェックボックスを選択します。
-
[Submit] をクリックします。
注
-
Periodic Export オプションで初めて設定すると、選択した機能のデータが直ちに Splunk にプッシュされます。次のエクスポート頻度は、選択内容に基づいて行われます (毎日または毎時)。
-
リアルタイムエクスポートオプションで初めて構成すると 、Citrix ADM で違反が検出されるとすぐに、選択した機能のデータがすぐに Splunk にプッシュされます。
-
-
Splunk で詳細を確認する
Citrix ADM に詳細を追加すると、Splunk がイベントを受信するかどうかを確認できます。
-
Splunk のホームページから、「 検索とレポート」をクリックします。
-
検索バーで検索バーに詳細を入力し、リストから期間を選択し、検索アイコンをクリックするか、Enter キーを押します。たとえば、「
sourcetype=”bot”またはsourcetype=”waf”またはsourcetype="ml"」 と入力して詳細を確認できます。
次の検索結果は、WAF 違反の例です。
次の検索結果は、ボット違反の例です。
Pivotの詳細にアクセスする
ピボットの詳細を確認するには、データモデルタイプを特定する必要があります。たとえば、Splunk アドオンは WAF イベントと Bot イベントを、アラートや侵入検知などの最も近いデータモデルタイプの CIM 形式に変換します。
Splunk のイベントにアクセスするには:
-
[ 設定] > [データモデル]に移動します。
-
侵入検知データモデルを特定し 、 Pivotをクリックします。
-
データセットを選択します。次の例では、 IDS Attacks オプションが選択されています。
IDS 攻撃の総数が表示されます 。
+ ボタンをクリックしてテーブルに詳細を追加することもできます。次の例では、重要度、カテゴリ、シグニチャ ID に基づいて詳細を表示します。
Splunk ダッシュボード
ダッシュボードを使用すると、グラフ、表、リストなどのパネルを使用して、WAF および Bot 違反分析の詳細を表示できます。以下の項目を構成できます。
-
CIM 互換データを使用するアプリケーションを含むダッシュボード。
-
CIM データモデルからデータを取得するカスタムダッシュボード。
選択に応じて、ダッシュボードを作成できます。詳細については、 Splunk ドキュメントの「 ダッシュボードについて 」セクションを参照してください。