NetScaler Console-Dienst

Integration mit Splunk

Sie können NetScaler Console jetzt in Splunk integrieren, um Analysen für Folgendes anzuzeigen:

  • WAF-Verletzungen

  • Bot-Verletzungen

  • SSL-Zertifikat-Einblicke

  • Gateway-Einblicke

  • NetScaler Console-Audit-Protokolle

Das Splunk-Add-on ermöglicht Ihnen:

  • Alle anderen externen Datenquellen zu kombinieren.

  • Eine bessere Sichtbarkeit der Analysen an einem zentralen Ort zu bieten.

NetScaler Console sammelt Bot-, WAF-, SSL-, Gateway- und Audit-Protokollereignisse und sendet diese regelmäßig an Splunk. Das Splunk Common Information Model (CIM)-Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie die Ereignisse mithilfe der CIM-kompatiblen Daten im Splunk-Dashboard anzeigen.

Für eine erfolgreiche Integration müssen Sie:

Splunk für den Empfang von Daten von NetScaler Console konfigurieren

In Splunk müssen Sie:

  1. Den Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Das Splunk Common Information Model (CIM)-Add-on installieren

  3. Den CIM-Normalisierer installieren (nur für WAF- und Bot-Einblicke anwendbar)

  4. Ein Beispiel-Dashboard in Splunk vorbereiten

Den Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP Event Collector in Splunk einrichten. Diese Einrichtung ermöglicht die Integration zwischen NetScaler Console und Splunk, um die WAF- oder Bot-Daten zu senden. Als Nächstes müssen Sie ein Token in Splunk generieren, um:

  • Die Authentifizierung zwischen NetScaler Console und Splunk zu ermöglichen.

  • Daten über den Event Collector-Endpunkt zu empfangen.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Settings > Data Inputs > HTTP event collector und klicken Sie auf Add new.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Source name override (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP Event Collector.

    3. Description (optional): Geben Sie eine Beschreibung an.

    4. Output Group (optional): Standardmäßig ist diese Option als None ausgewählt.

    5. Enable indexer acknowledgement: NetScaler Console unterstützt diese Option nicht. Wir empfehlen, diese Option nicht auszuwählen.

      Event collector parameters

  4. Klicken Sie auf Next.

  5. Optional können Sie auf der Seite Input Settings zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Review, um die Eingaben zu überprüfen, und klicken Sie dann auf Submit.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler Console hinzufügen.

    Splunk token

Das Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler Console empfangenen Daten normalisiert werden und einem gemeinsamen Standard entsprechen, indem dieselben Feldnamen und Ereignis-Tags für äquivalente Ereignisse verwendet werden.

Hinweis:

Sie können diesen Schritt ignorieren, wenn Sie das Splunk CIM-Add-on bereits installiert haben.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Find More Apps.

    Splunk find more apps

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM)-Add-on zu erhalten, und klicken Sie auf Install.

    Splunk CIM

Den CIM-Normalisierer installieren

Der CIM-Normalisierer ist ein zusätzliches Plug-in, das Sie installieren müssen, um die WAF- und Bot-Einblicke in Splunk anzuzeigen.

  1. Navigieren Sie im Splunk-Portal zu Apps > Find More Apps.

    Splunk find more apps

  2. Geben Sie CIM normalization for ADM service events/data in die Suchleiste ein und drücken Sie die Eingabetaste, um das Add-on zu erhalten, und klicken Sie auf Install.

    CIM normalizer

Ein Beispiel-Dashboard in Splunk vorbereiten

Nachdem Sie das Splunk CIM installiert haben, müssen Sie ein Beispiel-Dashboard mithilfe einer Vorlage für WAF und Bot sowie SSL-Zertifikat-Einblicke vorbereiten. Sie können die Dashboard-Vorlage (.tgz-Datei) herunterladen, einen beliebigen Editor (z. B. Notepad) verwenden, um deren Inhalt zu kopieren, und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zum Erstellen eines Beispiel-Dashboards gilt sowohl für WAF und Bot als auch für SSL-Zertifikat-Einblicke. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das unter Observability Integration verfügbare Beispiel-Dashboard herunter.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Hinweis:

    Nach dem Extrahieren erhalten Sie zwei json-Dateien. Verwenden Sie adm_splunk_security_violations.json, um das WAF- und Bot-Beispiel-Dashboard zu erstellen, und verwenden Sie adm_splunk_ssl_certificate.json, um das SSL-Zertifikat-Einblicke-Beispiel-Dashboard zu erstellen.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Create New Dashboard.

    Create dashboard

  4. Geben Sie auf der Seite Create New Dashboard die folgenden Parameter an:

    1. Dashboard Title – Geben Sie einen Titel Ihrer Wahl an.

    2. Description – Optional können Sie eine Beschreibung für Ihre Referenz angeben.

    3. Permission – Wählen Sie je nach Anforderung Private oder Shared in App.

    4. Wählen Sie Dashboard Studio.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) und klicken Sie dann auf Create.

      Dashboard parameters

      Nachdem Sie auf Create geklickt haben, wählen Sie das Source-Symbol aus dem Layout.

      Source layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die in Schritt 2 kopierten Daten ein und klicken Sie auf Back.

  6. Klicken Sie auf Save.

    Sie können das folgende Beispiel-Dashboard in Ihrem Splunk anzeigen.

    Sample dashboard

NetScaler Console für den Export von Daten nach Splunk konfigurieren

Sie haben nun alles in Splunk vorbereitet. Der letzte Schritt ist die Konfiguration von NetScaler Console durch Erstellen eines Abonnements und Hinzufügen des Tokens.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk anzeigen, das derzeit in Ihrer NetScaler Console verfügbar ist:

  1. Melden Sie sich bei NetScaler Console an.

  2. Navigieren Sie zu Settings > Observability Integration.

  3. Klicken Sie auf der Seite Integrations auf Add.

  4. Geben Sie auf der Seite Create Subscription die folgenden Details an:

    1. Geben Sie im Feld Subscription Name einen Namen Ihrer Wahl an.

    2. Wählen Sie NetScaler Console als Source und klicken Sie auf Next.

    3. Wählen Sie Splunk und klicken Sie auf Configure. Auf der Seite Configure Endpoint:

      1. End Point URL – Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss im Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event vorliegen.

        Hinweis:

        Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

        • SPLUNK_PUBLIC_IP – Eine gültige IP-Adresse, die für Splunk konfiguriert ist.

        • SPLUNK_HEC_PORT – Bezeichnet die Portnummer, die Sie während der HTTP Event Endpoint-Konfiguration angegeben haben. Die Standard-Portnummer ist 8088.

        • Services/collector/event – Bezeichnet den Pfad für die HEC-Anwendung.

      2. Authentication token – Kopieren Sie das Authentifizierungstoken aus Splunk und fügen Sie es ein.

      3. Klicken Sie auf Submit.

    4. Klicken Sie auf Next.

    5. Klicken Sie auf Add Insights und auf der Registerkarte Select Feature können Sie die Funktionen auswählen, die Sie exportieren möchten, und auf Add Selected klicken.

      Hinweis:

      Wenn Sie NetScaler Console Audit Logs ausgewählt haben, können Sie Daily oder Hourly für die Häufigkeit des Exports von Audit-Protokollen nach Splunk auswählen.

    6. Klicken Sie auf Next.

    7. Auf der Registerkarte Select Instance können Sie entweder Select All Instances oder Custom select wählen und dann auf Next klicken.

      • Select All Instances – Exportiert Daten von allen NetScaler-Instanzen nach Splunk.

      • Custom select – Ermöglicht Ihnen, die NetScaler-Instanzen aus der Liste auszuwählen. Wenn Sie bestimmte Instanzen aus der Liste auswählen, werden die Daten nur von den ausgewählten NetScaler-Instanzen nach Splunk exportiert.

    8. Klicken Sie auf Submit.

      Hinweis:

      Die Daten für die ausgewählten Einblicke werden sofort nach der Erkennung von Verletzungen in NetScaler Console an Splunk übertragen.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler Console abgeschlossen haben, erscheinen die Ereignisse in Splunk.

Sie können das aktualisierte Dashboard in Splunk ohne zusätzliche Schritte anzeigen.

Gehen Sie zu Splunk und klicken Sie auf das von Ihnen erstellte Dashboard, um das aktualisierte Dashboard anzuzeigen.

Das Folgende ist ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Updated dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL-Zertifikat-Einblicke-Dashboard.

SSL certificate

Neben dem Dashboard können Sie Daten in Splunk auch nach dem Erstellen des Abonnements anzeigen.

  1. Klicken Sie in Splunk auf Search & Reporting.

  2. Geben Sie in der Suchleiste Folgendes ein:

    • Geben Sie sourcetype="bot" oder sourcetype="waf" ein und wählen Sie die Dauer aus der Liste, um Bot-/WAF-Daten anzuzeigen.

    • Geben Sie sourcetype="ssl" ein und wählen Sie die Dauer aus der Liste, um die SSL-Zertifikat-Einblicke-Daten anzuzeigen.

    • Geben Sie sourcetype="gateway_insights" ein und wählen Sie die Dauer aus der Liste, um die Gateway-Einblicke-Daten anzuzeigen.

    • Geben Sie sourcetype= "audit_logs" ein und wählen Sie die Dauer aus der Liste, um die Audit-Protokoll-Daten anzuzeigen.