Application Delivery Management

Security Insight

Hinweis

Wenn Ihr NetScaler ADM-Build früher als 13.0-79.xist, können Sie Sicherheitseinblicke einsehen, indem Sie zu Analytics > Sicherheit > Security Insightnavigieren. Für Build 13.0-79.x oder höherkönnen Sie die Details zur WAF-Verletzung anzeigen, indem Sie zu Analytics > Sicherheit > Sicherheitsverstöße > Anwendungsübersicht navigieren und unter Aufschlüsselung der Anwendungen nach auf WAFklicken.

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Sie Einblick in Art und Ausmaß vergangener, aktueller und drohender Bedrohungen, in Echtzeit verwertbare Daten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Lösung aus einem Bereich, mit der Sie Ihren Anwendungssicherheitsstatus beurteilen und Korrekturmaßnahmen ergreifen können, um Ihre Anwendungen zu schützen.

Hinweis

Security Insight wird von Citrix Application Delivery Management (ADM) mit Citrix ADC Appliances unterstützt, die auf Version 11.0 Build 65.31 und höher ausgeführt werden.

Funktionsweise von Security Insight

Security Insight ist eine intuitive Dashboard-basierte Sicherheitsanalyselösung, die Ihnen umfassenden Einblick in die Bedrohungsumgebung bietet, die mit Ihren Anwendungen verbunden ist. Sicherheitsinformationen sind in Citrix ADM enthalten und werden regelmäßig Berichte basierend auf den Sicherheitskonfigurationen der Application Firewall und des Citrix ADC -Systems generiert. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

  • Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Wichtigkeit von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine Citrix ADC Appliance geschützt ist oder nicht. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

    Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen wie Verstoßtyp, Angriffskategorie, Standort und Client-Details geben Ihnen Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an NetScaler ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

  • Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Sie die NetScaler ADC-Instanzen zum Schutz von Anwendungen vor externen Bedrohungen und Sicherheitslücken konfiguriert haben. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

    Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des NetScaler ADC -Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen für NetScaler ADC-Systeme, z. B. ein sicheres Kennwort für den nsroot Benutzer, nicht übernommen wurden, wird Anwendungen ein niedriger Sicherheitsindexwert zugewiesen.

  • Umsetzbare Informationen. Die Informationen, die Sie benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Beispielsweise können Sie Informationen zu Verstößen, vorhandenen und fehlenden Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen, die Rate, mit der die Anwendungen angegriffen werden, usw. überprüfen.

Konfigurieren von Security Insight

Citrix ADM unterstützt Security Insight von allen Citrix ADC Instanzen, auf denen eine Anwendungsfirewall konfiguriert ist.

Um Sicherheitsinformationen für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zunächst ein Anwendungs-Firewall-Profil und eine Anwendungs-Firewall-Richtlinie. Obwohl Sie die Firewall-Richtlinie für die Anwendung global binden können, empfiehlt Citrix, dass die Richtlinie an den virtuellen Server gebunden ist.

Um die Analysen in Citrix ADM anzuzeigen, aktivieren Sie das AppFlow Feature in der Instanz, konfigurieren Sie einen AppFlow-Collector, eine Aktion und eine Richtlinie und binden die Richtlinie global. Auch wenn Sie die Firewall-Richtlinie der Anwendung global binden können, empfiehlt Citrix, dass die Richtlinie an den virtuellen Server gebunden ist. Citrix empfiehlt außerdem, dass Sie AppFlow Konfigurationen auf den ADC-Instanzen mit Citrix ADM bereitstellen. Wenn Sie den Collector konfigurieren, müssen Sie die IP-Adresse des NetScaler ADM-Servers angeben, auf dem Sie die Berichte überwachen möchten.

So konfigurieren Sie Sicherheitsinformationen für eine Citrix ADC Instanz:

  1. Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

    add appfw profile [**-defaults** ( basic advanced )]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    Oder

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval ] [**-SecurityInsightTraffic** ( ENABLED DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    oder,

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

So aktivieren Sie Security Insight von NetScaler ADM:

Wenn Sie NetScaler ADM 13.0 Build 41.x verwenden:

  1. Navigieren Sie zu Netzwerke > Instanzen > NetScaler ADC, und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus, und klicken Sie in der Liste Aktion auswählen auf Analytics konfigurieren.

  3. Wählen Sie auf der Seite Analytics auf virtuellen Servern konfigurieren den virtuellen Server aus und klicken Sie auf Analytics aktivieren.

  4. Gehen Sie im Fenster Enable Analytics wie folgt vor:

    1. Sicherheitsinformationenauswählen

    2. Wählen Sie Logstream als Transportmodus

      Hinweis

      Für NetScaler ADC 12.0 oder früher ist IPFIX die Standardoption für den Transportmodus. Für NetScaler ADC 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen.

      Weitere Informationen zu IPFIX und Logstream finden Sie unter Logstream-Übersicht .

    3. Der Ausdruck ist standardmäßig wahr

    4. Klicken Sie auf OK.

      Analytik aktivieren

      Hinweis

      • Wenn Sie virtuelle Server auswählen, die nicht lizenziert sind, lizenziert NetScaler ADM zuerst diese virtuellen Server und aktiviert dann Analysen.

      • Für Admin-Partitionen wird nur Web Insight unterstützt

      • Für virtuelle Server wie Cache-Umleitung , Authentifizierung und GSLB können Sie Analysen nicht aktivieren. Eine Fehlermeldung wird angezeigt.

Nachdem Sie auf OK geklickt haben, verarbeitet NetScaler ADM Analysen auf den ausgewählten virtuellen Servern zu aktivieren.

Verarbeitung von Analysen

Wenn Sie NetScaler ADM 13.0 Build 36.27 verwenden:

  1. Navigieren Sie zu Netzwerke > Instanzen, und wählen Sie die NetScaler ADC Instanz aus, die AppFlow aktiviert werden soll.

  2. Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Wählen Sie die virtuellen Server aus, und klicken Sie auf AppFlow aktivieren.

  4. Geben Sie im Feld AppFlow aktivieren den Wert trueein, und wählen Sie Security Insightaus.

  5. Klicken Sie auf OK.

    AppFlow aktivieren

    Hinweis

    Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt die auf virtuellen IP-Adressen basierende Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zur Gruppe finden Sie unter Konfigurieren von Gruppen.

Geo-Standorte für Security Insight-Berichte anzeigen

Security Insight-Berichte enthalten die genauen geografischen Standorte, von denen Clientanforderungen stammen. Sie können die geografischen Standorte in Citrix ADM anzeigen. Die Geodatenbankdatei, die in Citrix ADC integriert ist, enthält die meisten öffentlichen IP-Adressen. Die Datei ist unter /var/netscaler/inbuilt_db in Citrix ADC verfügbar.

So aktivieren Sie Geostandorte:

Führen Sie die folgenden Befehle aus, um die Geo-Location-Protokollierung und -Protokollierung im CEF-Format zu aktivieren:

  • add locationFile <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

Wenn keine IP-Adresse in der Geodatenbankdatei verfügbar ist, können Sie die IP-Adresse für den geografischen Standort hinzufügen. Zusammen mit der IP-Adresse können Sie auch Stadt/Bundesland/Land Namen und die Breiten- und Längengradkoordinaten jedes Standorts hinzufügen.

Öffnen Sie die Geodatenbankdatei mit einem Texteditor, z. B. vi-Editor, und fügen Sie für jeden Speicherort einen Eintrag hinzu.

Der Eintrag muss das folgende Format haben:

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

Beispiel:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

IP-Reputation

Sie können NetScaler Insight Center verwenden, um die IP-Reputation Ihres eingehenden Datenverkehrs zu überwachen und zu verwalten. Sie können Richtlinien so konfigurieren, dass weitere IPs bösartig hinzugefügt werden, und eine benutzerdefinierte Blockliste erstellen.

Informationen zur Konfiguration und Verwendung von IP-Reputation finden Sie unter IP-Reputation.

Überwachen der IP-Reputation

Die IP-Reputation-Funktion bietet angriffsbezogene Informationen über bösartige IP-Adressen. Beispielsweise werden IP-Reputationsbewertung, IP-Reputationskategorie, IP-Reputation-Angriffszeit, Geräte-IP und Details zur Client-IP-Adresse gemeldet.

IP-Reputationsbewertung gibt das Risiko an, das mit einer IP-Adresse verbunden ist. Die Punktzahl hat die folgenden sind die Bereiche:

Bewertung der IP-Reputation Grad des Risikos
1–20 Hohes Risiko
21–40 Verdächtig
41–60 Mäßiges Risiko
61–80 Niedriges Risiko
81–100 Vertrauensvoll

So überwachen Sie die IP-Reputation:

  1. Navigieren Sie zu Analytics> Security Insight, und wählen Sie die Anwendung aus, die Sie überwachen möchten.

  2. Wählen Sie auf der Registerkarte Bedrohungsindex die Option IP-Reputation aus.

    IP-Reputation

  3. Wählen Sie einen Schweregrad aus, um weitere Details zu den Angriffen anzuzeigen, die sich auf dieser Ebene befanden. Sie können auf das Balkendiagramm oder in der Tabelle unter dem Diagramm klicken.

  4. Wählen Sie den Zeitraum aus, für den Sie die Details anzeigen möchten. Sie können den Zeitschieberegler verwenden, um den ausgewählten Zeitraum weiter anzupassen. Klicken Sie dann auf Los.

    IP-Reputation1

  5. Um die Anzeige anzupassen, klicken Sie auf die Schaltfläche Einstellungen.

    IP-Reputation2

Schwellenwerte

In Security Insight können Sie Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen festlegen und anzeigen.

So legen Sie einen Schwellenwert fest:

  1. Navigieren Sie zu Analytics > Einstellungen > Schwellenwerte, und wählen Sie Hinzufügenaus.

  2. Wählen Sie im Feld Verkehrstyp den Verkehrstyp als Sicherheit aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

  3. Verwenden Sie im Abschnitt Regel konfigurieren die Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen.

    Zum Beispiel “Bedrohungsindex” “>” “5”

  4. Wählen Sie in den Benachrichtigungseinstellungenden Benachrichtigungstyp aus.

  5. Klicken Sie auf Erstellen.

So zeigen Sie die Schwellenwertverletzungen an:

  1. Navigieren Sie zu Analytics > Security Insight > Devices, und wählen Sie die Citrix ADC Instanz aus.

  2. Im Abschnitt “ Anwendung “ können Sie in der Spalte “Schwellenwertüberschreitung” die Anzahl der Schwellenwertverletzungen für jeden virtuellen Server anzeigen.

Anwendungsfälle für Security Insight

In den folgenden Anwendungsfällen wird beschrieben, wie Sie Sicherheitsinformationen verwenden können, um die Bedrohungsgefahr von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Verschaffen Sie sich einen Überblick über die Bedrohungs

In diesem Anwendungsfall verfügen Sie über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und Sie haben NetScaler ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Sie müssen häufig den Bedrohungsindex, den Sicherheitsindex sowie die Art und den Schweregrad aller Angriffe, die in den Anwendungen aufgetreten sind, überprüfen, damit Sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit benötigen. Das Security Insight-Dashboard bietet eine Zusammenfassung der Bedrohungen, die Ihre Anwendungen über einen bestimmten Zeitraum Ihrer Wahl und für ein ausgewähltes NetScaler ADC Gerät ausgesetzt haben. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Sie könnten beispielsweise Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung überwachen und eine Zusammenfassung der Bedrohungsumgebung für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei NetScaler ADMan und navigieren Sie dann zu Analytics > Security Insight.

Für jede Anwendung werden Schlüsselinformationen angezeigt. Der Standardzeitraum ist 1 Stunde.

Bedrohliche Umgebung

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie in der Liste oben links einen Zeitraum aus.

Differenz-Wert

Um eine Zusammenfassung für eine andere NetScaler ADC Instanz anzuzeigen, klicken Sie unter Geräteauf die IP-Adresse der NetScaler ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Bestimmen der Gefährdung einer Anwendung

Um die Anwendungen zu identifizieren, die über einen hohen Bedrohungsindex und einen niedrigen Sicherheitsindex im Security Insight-Dashboard verfügen, sollten Sie die Bedrohung ermitteln, bevor Sie sich entscheiden, sie zu schützen. Das heißt, Sie möchten den Typ und den Schweregrad der Angriffe bestimmen, die ihre Indexwerte verschlechtern. Sie können die Bedrohungsgefahr einer Anwendung ermitteln, indem Sie die Anwendungsübersicht überprüfen.

In diesem Beispiel hat Microsoft Outlook den Bedrohungsindexwert 6, und Sie möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Klicken Sie im Security Insight-Dashboard auf Outlook, um die Bedrohungsgefahr von Microsoft Outlook zu ermitteln. Die Anwendungsübersicht enthält eine Karte, die den geografischen Standort des Servers identifiziert.

Exposition bei Anwendungen

Klicken Sie auf Bedrohungsindex > Sicherheitsüberprüfungsverstöße, und überprüfen Sie die angezeigten Informationen zur Verletzung.

Verletzung der Sicherheitsüberprüfung

Klicken Sie auf Signaturverletzungen, und überprüfen Sie die angezeigten Verstoßinformationen.

Verletzung der Unterschrift

Bestimmen der vorhandenen und fehlenden Sicherheitskonfiguration für eine Anwendung

Nachdem Sie die Bedrohungsgefahr einer Anwendung überprüft haben, möchten Sie ermitteln, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Sie können diese Informationen erhalten, indem Sie in die Zusammenfassung des Sicherheitsindex der Anwendung eingehen.

Die Zusammenfassung des Sicherheitsindex gibt Ihnen Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

  • Konfiguration der Anwendungsfirewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.
  • NetScaler Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

Sicherheitskonfiguration

Im vorherigen Anwendungsfall haben Sie das Bedrohungsrisiko von Microsoft Outlook überprüft, das den Bedrohungsindexwert 6 aufweist. Jetzt möchten Sie wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie im Security Insight-Dashboard auf Outlook, und klicken Sie dann auf die Registerkarte Sicherheitsindex. Überprüfen Sie die Informationen im Bereich Safety Index Summary.

Zusammenfassung des Index

Klicken Sie auf dem Knoten Application Firewall-Konfiguration auf Outlook_Profile, und überprüfen Sie die Informationen zur Sicherheitsprüfung und zur Signaturverletzung in den Kreisdiagrammen.

Outlook-Profil

Konfigurations-Diagramm

Überprüfen Sie den Konfigurationsstatus der einzelnen Schutztypen in der Übersichtstabelle der Anwendungsfirewall. Um die Tabelle in einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Status der Konfiguration

Klicken Sie auf den Knoten NetScaler System Security, und überprüfen Sie die Systemsicherheitseinstellungen und Empfehlungen von Citrix, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit erfordern, sind diejenigen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel weisen sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6 auf, Lync weist jedoch den unteren der beiden Sicherheitsindizes auf. Daher müssen Sie möglicherweise Ihre Aufmerksamkeit auf Lync konzentrieren, bevor Sie die Bedrohungsumgebung für Outlook verbessern.

Attention

Bestimmen Sie die Anzahl der Angriffe in einer bestimmten Zeit

Sie können bestimmen, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt aufgetreten sind, oder Sie möchten die Angriffsquote für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite Security Insight auf eine Anwendung und klicken Sie in der Anwendungsübersichtauf die Anzahl der Verstöße. Auf der Seite Total Violations werden die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat angezeigt.

Einblicke in die Sicherheit

Die Tabelle Anwendungsübersicht enthält die Details zu den Angriffen. Einige von ihnen sind wie folgt:

  • Angriffszeit

  • IP-Adresse des Clients, von dem aus der Angriff erfolgte

  • Schweregrad

  • Kategorie des Verstoßes

  • URL, von der der Angriff stammt, und weitere Details.

Sicherheits-Einblick1

Während Sie die Angriffszeit immer in einem stündlichen Bericht anzeigen können, wie im Bild zu sehen ist, können Sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für tägliche oder wöchentliche Berichte anzeigen. Wenn Sie in der Zeitperiodenliste 1 Tag auswählen, zeigt der Security Insight-Bericht alle aggregierten Angriffe an und die Angriffszeit wird in einer Stunde angezeigt. Wenn Sie 1 Woche oder 1 Monat wählen, werden alle Angriffe aggregiert und die Angriffszeit wird in einem Tagesbereich angezeigt.

Sicherheits-Einblick2

Erhalten Sie detaillierte Informationen über Sicherheitsverletzungen

Möglicherweise möchten Sie eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in die Art und den Schweregrad der Angriffe, die von der Citrix ADC Instanz durchgeführten Aktionen, die angeforderten Ressourcen und die Quelle der Angriffe erhalten.

Sie können beispielsweise bestimmen, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen der Quellen.

Klicken Sie im Security Insight-Dashboardauf Lync > Total Violations. Klicken Sie in der Tabelle in der Spaltenüberschrift Aktion auf das Filtersymbol, und wählen Sie dann Blockiert aus.

Sicherheitsverletzungen

Informationen zu den angeforderten Ressourcen finden Sie in der URL-Spalte. Informationen zu den Quellen der Angriffe finden Sie in der Spalte Client-IP.

Details zum Protokollausdruck anzeigen

Citrix ADC Instanzen verwenden Protokollausdrücke, die mit dem Application Firewall-Profil konfiguriert sind, um Maßnahmen für Angriffe auf eine Anwendung in Ihrem Unternehmen zu ergreifen. In Security Insight können Sie die Werte anzeigen, die für die Protokollausdrücke zurückgegeben werden, die von der Citrix ADC Instanz verwendet werden. Diese Werte umfassen den Anforderungsheader, den Anforderungstext usw. Neben den Protokollausdruckswerten können Sie auch den Namen des Protokollausdrucks und den Kommentar für den Protokollausdruck anzeigen, der im Application Firewall-Profil definiert ist, mit dem die Citrix ADC Instanz Maßnahmen für den Angriff ergriffen hat.

Voraussetzungen

Stellen Sie sicher, dass Sie:

  • Konfigurieren Sie Protokollausdrücke im Application Firewall-Profil. Weitere Informationen finden Sie unter Application Firewall.

  • Aktivieren Sie die Einstellung Security Insights auf Protokollausdruck in Citrix ADM. Führen Sie folgende Schritte aus:

    1. Navigieren Sie zu Analytics > Einstellungen und klicken Sie auf Funktionen für Analytics aktivieren .

    2. Wählen Sie auf der Seite Funktion für Analytics aktivieren im Abschnitt Log Expression Based Security Insight Enable Security Insight aus und klicken Sie auf OK.

    Log-Ausdruck

Sie können beispielsweise die Werte des Protokollausdrucks anzeigen, der von der NetScaler ADC Instanz für die Aktion zurückgegeben wird, die sie für einen Angriff auf Microsoft Lync in Ihrem Unternehmen ergriffen hat.

Navigieren Sie im Security Insight-Dashboard zu Lync > Total Verletzungen. Klicken Sie in der Tabelle Anwendungszusammenfassungauf die URL, um die vollständigen Details der Verletzung auf der Seite Verstoßinformationen anzuzeigen, einschließlich des Protokollausdrucks, des Kommentars und der Werte, die von der NetScaler ADC Instanz für die Aktion zurückgegeben werden.

Werte protokollieren

Verstöße für Web Application Firewall (WAF) hervorheben

Sie können jetzt Details zu Angriffen wie HTTP-Header und HTTP-Nutzlast abrufen, um die Angriffe zu beheben oder zu analysieren. Um Details zu Angriffen zu erhalten, müssen Sie die “VerboseLogLevel” im Application Firewall-Profil mit dem folgenden Befehl aktualisieren:

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern - Es wird nur Verstöße protokolliert

  • patternPayload - Verletzungsmuster + 150 Bytes Feldelementwert vor dem Angriffsmuster werden protokolliert

  • patternPayloadHdr - Verstoßmuster + 150 Byte Wert des Feldelements vor dem Angriffsmuster + HTTP-Anforderungsheader werden protokolliert

Basierend auf der Konfiguration “VerboseLogLevel” zeigt NetScaler ADM die detaillierten Protokollausdrucksdatensätze an.

Die folgende Abbildung ist ein Beispiel, das das Angriffsmuster für die GET-Anforderung hervorhebt:

Detailed-log-expression

Die folgende Abbildung ist ein Beispiel, das das Angriffsmuster für die POST-Anforderung hervorhebt:

Detailed-log-expression-post

In diesen beiden Beispielen:

  • FIELDNAME bezieht sich auf den entsprechenden Feldnamen für das Angriffsmuster.

  • PAYLOAD_OFFSET bezieht sich auf den Angriff Offset in der tatsächlichen Nutzlast.

  • ATTACK_PATTERN hebt das Angriffsmuster hervor und enthält 150 Bytes Präfix-Nutzlast im Wert.

Weitere Informationen zum Konfigurieren der ausführlichen Protokollebene in NetScaler ADC finden Sie unter Einfache Fehlerbehebung mit Web Application Firewall-Protokollen.

Bestimmen Sie den Sicherheitsindex, bevor Sie die Konfiguration bereitstellen

Sicherheitsverletzungen treten auf, nachdem Sie die Sicherheitskonfiguration auf einer NetScaler ADC Instanz bereitgestellt haben. Sie sollten jedoch vor der Bereitstellung die Effektivität der Sicherheitskonfiguration beurteilen.

Sie können beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der Citrix ADC Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie im Security Insight-Dashboard unter Geräteauf die IP-Adresse der Citrix ADC Instanz, die Sie konfiguriert haben. Sie können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Bedrohungsindex ist eine direkte Reflexion der Anzahl und Art der Angriffe auf die Anwendung. Keine Angriffe bedeuten, dass die Anwendung keiner Bedrohung ausgesetzt ist.

Konfiguration bereitstellen

Klicken Sie auf SAP > Sicherheitsindex > SAP_profile und bewerten Sie die angezeigten Sicherheitsindexinformationen.

SAP

In der Zusammenfassung der Anwendungsfirewall können Sie den Konfigurationsstatus der verschiedenen Schutzeinstellungen anzeigen. Wenn eine Einstellung auf Protokollierung gesetzt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

Firewall-Zusammenfassung

Security Insight