Konfigurieren einer Aktionsrichtlinie, um Benachrichtigungen über Anwendungsereignisse
Neben der vorhandenen Analyseansicht von Anwendungsereignissen können Sie eine Aktionsrichtlinie konfigurieren, um Benachrichtigungen über Anwendungsereignisse über Slack, E-Mail, PagerDuty oder ServiceNow zu erhalten. Zu den Anwendungsereignissen gehören Leistungsprobleme, Bot- und WAF-Verstöße sowie Service-Graph-Verstöße. Als Administrator können Sie mithilfe der Aktionsrichtlinie Ereignisbenachrichtigungen in Echtzeit erhalten.
Mit der Aktionsrichtlinie können Sie:
-
Definieren Sie bestimmte Bedingungen für die Anwendungsereignisse.
-
Lassen Sie sich über Slack, E-Mail, PagerDuty und ServiceNow über die folgenden Ereignisse benachrichtigen:
Ereigniskategorien Ereignisunterkategorien Ereignisse Sicherheitsverletzungen Alle Sicherheitsverstöße Alle Bot-Verstöße (Weitere Informationen zur Liste der Bot-Verstöße finden Sie unter Verstoßkategorien). Alle WAF-Verstöße (WAF-SQL-Verstöße, WAF-XSS-Verstöße und WAF-Infer-XML-Verstöße) Alle Sicherheitsverletzungen pro Kunde Bot-Verstöße pro Kunde Verstöße gegen WAF pro Kunde Hinweis: Um die WAF-Verstoßbenachrichtigung zu erhalten, müssen die Mindesttransaktionen bei Verstößen 20% betragen. Beispielsweise müssen von 100 Transaktionen mindestens 20 Verstöße gegen Transaktionen sein. Leistung der Anwendung Verstoß gegen App-Score Netzwerklatenz des Clients Servernetzwerklatenz Verarbeitungszeit des Servers Reaktionszeit Anfragen Bandbreite Verstoß gegen das Service-Diagramm Verwendung der Anwendung Anfragen pro Sekunde Durchsatz Datenvolume
Eine Aktionsrichtlinie konfigurieren
-
Navigieren Sie zu Einstellungen > Aktion > Aktionsrichtlinien.
-
Klicken Sie auf Hinzufügen.
-
Auf der Seite Aktionsrichtlinie erstellen :
-
Richtlinienname — Geben Sie einen Policy-Namen Ihrer Wahl an.
-
Aktiviert — Diese Option ist standardmäßig ausgewählt.
-
Wenn das folgende Ereignis eintritt — Wählen Sie in der Liste ein Ereignis aus.
-
Und die folgende Bedingung ist erfüllt — Wählen Sie aus der Liste aus, um eine Bedingung zu definieren, für die Sie benachrichtigt werden möchten. Sie können auf + klicken, um weitere Bedingungen hinzuzufügen. Um eine Bedingung zu entfernen, klicken Sie auf —.
Sie können die Aktionsrichtlinie mit den folgenden Operatoren konfigurieren. Die Operatoren werden basierend auf den von Ihnen ausgewählten Bedingungen angezeigt.
Betreiber Beschreibung Entspricht Entspricht einem definierten Wert Nicht gleich Entspricht nicht einem definierten Wert Größer als Größer als ein definierter Wert Größer als oder gleich Größer als oder gleich einem definierten Wert Weniger als Kleiner als ein definierter Wert Kleiner als oder gleich Kleiner als oder gleich einem definierten Wert Enthält Enthält den definierten Begriff oder Wert Beginnt mit Beginnt mit einem definierten Begriff oder Wert Endet mit Endet mit einem definierten Begriff oder Wert IN Ermöglicht die Auswahl mehrerer Werte -
Gehen Sie dann wie folgt vor — Wählen Sie Benachrichtigen. Nachdem Sie Benachrichtigenausgewählt haben, wird die Option Benachrichtigungstyp angezeigt.
-
Benachrichtigungstyp — Wählen Sie den Benachrichtigungstyp E-Mail, Slack, PagerDuty oder ServiceNow aus. Abhängig vom ausgewählten Benachrichtigungstyp wird die entsprechende Option (Verteilerliste, Slack-Profil, PagerDuty-Profil oder ServiceNow-Profil) angezeigt. Wählen Sie ein Profil aus der Liste aus.
Wenn Sie ein neues Profil erstellen möchten, klicken Sie auf Hinzufügen.
-
Klicken Sie auf Richtlinie erstellen.
Die Richtlinie ist konfiguriert. Sie können die konfigurierten Richtliniendetails anzeigen.
Nachdem Sie die Richtlinie konfiguriert haben, können Sie die Richtlinie auswählen und auf Folgendes klicken:
-
Bearbeiten, um die Aktionsrichtlinie zu aktualisieren oder zu ändern. Klicken Sie nach dem Update auf Richtlinie aktualisieren.
-
Löschen, um die Aktionsrichtlinie zu entfernen. Sie können mehrere Richtlinien auswählen und auf Löschen klicken, um sie zu entfernen.
-
Aktionsverlauf, um Details wie Uhrzeit, durchgeführte Aktion, Richtlinienname, Warnungstyp und Warnmeldung anzuzeigen.
-
-
In der folgenden Tabelle werden die Details der Konfiguration der Aktionsrichtlinie beschrieben.
| Name des Verstoßes | Bedingung | Beschreibung |
|---|---|---|
| Alle Sicherheitsverstöße | Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Verstöße als kleiner oder gleich 10 konfigurieren, werden Sie benachrichtigt, wenn 10 oder weniger Bot-Verstoßtransaktionen eingehen. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um Verstöße, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle Bot-Verstöße | Bot-Profil | Der Bot-Profilname, der für die Konfiguration der Bot-Verwaltung auf der NetScaler-Instanz verwendet wird. |
| Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Verstöße als kleiner oder gleich 10 konfigurieren, werden Sie benachrichtigt, wenn 10 oder weniger Bot-Verstoßtransaktionen eingehen. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um Verstöße, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle WAF-Verstöße, WAF-SQL-Verletzung, WAF-XSS-Verletzung, WAF Infer XML-Verletzung | WAF-Profil | Der WAF-Profilname, der für die Konfiguration der WAF-Sicherheitseinstellungen auf der NetScaler-Instanz verwendet wird. |
| Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Die Mindestanforderung für die Benachrichtigung der WAF-Verstöße beträgt 20%. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um WAF-SQL-Verletzungstransaktionen, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle Sicherheitsverletzungen pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. | |
| Bot-Verstöße pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| Art der Verletzung | Wählen Sie den Bot-Verstoß aus der Liste aus. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. | |
| Verstöße gegen WAF pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der NetScaler-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| Art der Verletzung | Wählen Sie den WAF-Verstoß aus der Liste aus. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der NetScaler-Instanz berücksichtigt. | |
| Verstoß gegen App-Score | Leistungsindikator | Die App-Score-Komponenten und deren Schwellenwerte. Wählen Sie die App-Score-Komponente aus der Liste aus. Weitere Informationen finden Sie unter App-Score-Komponenten auswählen und Schwellenwerte festlegen. |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Sicherheitsverletzungen gleich 5 für die Antwortzeit konfigurieren, werden Sie benachrichtigt, wenn der Schwellenwert für die Antwortzeit fünfmal überschritten wird. | |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Latenz im Client-Netzwerk | Durchschnittliche Latenz im Client-Netzwerk | Geben Sie den Wert für die Clientlatenz (Client zu NetScaler) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Latenzanomalien im Client-Netzwerk | Geben Sie die Anzahl der Anomalien für die Netzwerklatenz an, über die Sie benachrichtigt werden möchten. | |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Server-Netzwerk-Latenz | Durchschnittliche Latenz im Servernetzwerk | Geben Sie den Wert für die Serverlatenz (Server zu NetScaler) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Anomalien bei der Latenz im Servernetzwerk | Geben Sie die Anzahl der Anomalien für die Netzwerklatenz an, über die Sie benachrichtigt werden möchten. | |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Reaktionszeit | Durchschnittliche Reaktionszeit | Geben Sie den Wert (in Millisekunden) an, für den Sie benachrichtigt werden möchten. |
| Auffälligkeiten bei der Reaktionszeit | Geben Sie die Anzahl der Anomalien an, für die Sie benachrichtigt werden möchten. | |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, über die Sie benachrichtigt werden möchten. Wenn Sie keine Anwendung auswählen, wird sie in allen Anwendungen angewendet. | |
| Anfragen | Gesamtzahl der Anfragen | Geben Sie die Gesamtzahl der Anfragen an, für die Sie benachrichtigt werden möchten. |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, über die Sie benachrichtigt werden möchten. Wenn Sie keine Anwendung auswählen, wird sie in allen Anwendungen angewendet. | |
| Bandbreite | Gesamtbandbreite | Geben Sie die Bandbreite (MB) an, für die Sie benachrichtigt werden möchten. |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, über die Sie benachrichtigt werden möchten. Wenn Sie keine Anwendung auswählen, wird sie in allen Anwendungen angewendet. | |
| Verarbeitungszeit des Servers | Durchschnittliche Verarbeitungszeit des Servers | Geben Sie den Wert für die Serververarbeitung (Server zu NetScaler) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Anomalien bei der Serververarbeitungszeit | Geben Sie die Anzahl der Anomalien für die Serververarbeitungszeit an, über die Sie benachrichtigt werden möchten. | |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Verstoß gegen das Service-Diagramm | Microservices, die die konfigurierten Schwellenwerte überschreiten. Weitere Informationen finden Sie unter Konfigurieren von Schwellenwerten im Servicegraphen. | |
| Anfragen pro Sekunde | Durchschnittlich Anfragen pro Sekunde | Die Anzahl der Anfragen, die die Anwendung pro Sekunde erhält. Geben Sie den Durchschnittswert an, der benachrichtigt werden soll. |
| Durchschnittliche Auffälligkeiten bei Anfragen pro Sekunde | Geben Sie die durchschnittliche Anzahl der Anomalien an, für die Sie benachrichtigt werden möchten. | |
| Hinweis: Wenn Sie für dieses Ereignis die UND-Bedingung verwenden, können Sie entweder den Durchschnitt der Anfragen pro Sekunde und den Anwendungsnamen oder den Durchschnitt der Anfragen pro Sekunde für Anomalien und den Anwendungsnamen konfigurieren. | ||
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Durchsatz | Durchsatz (durchschnittlich) | Die Gesamtdaten, die für einen bestimmten Zeitraum übertragen wurden. Geben Sie den Durchschnittswert (in MB) an, um benachrichtigt zu werden. |
| Durchsatzanomalien | Geben Sie die durchschnittliche Anzahl der Anomalien an, für die Sie benachrichtigt werden möchten. | |
| Hinweis: Wenn Sie die UND-Bedingung für dieses Ereignis verwenden, können Sie entweder den durchschnittlichen Durchsatz und den Anwendungsnamen oder die durchschnittliche Durchsatzanomalie und den Anwendungsnamen konfigurieren. | ||
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Datenvolume | Gesamtes Datenvolumen | Die Gesamtdaten, die in einer bestimmten Dauer übertragen werden sollen. Geben Sie den Wert (in MB) an, der benachrichtigt werden soll. |
| Anomalien beim Datenvolumen | Geben Sie die Anzahl der Anomalien an, für die Sie benachrichtigt werden möchten. | |
| Hinweis: Wenn Sie die AND-Bedingung für dieses Ereignis verwenden, können Sie entweder Gesamtdatenvolumen und Anwendungsname oder Datenvolumenanomalien und Anwendungsname konfigurieren. | ||
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. |
Verwenden Sie die Suchleiste
Über die Suchleiste können Sie Ergebnisse filtern. Wenn Sie auf die Suchleiste klicken, erhalten Sie eine Liste mit Suchvorschlägen. Sie können die Komponente auswählen und die Ergebnisse nach Ihren Anforderungen filtern.
Auditprotokolloption verwenden
Klicken Sie aufAuditprotokolle und wählen Sie die Dauer aus der Liste aus, um die Aktionsrichtlinien anzuzeigen, die für die ausgewählte Dauer erstellt, geändert und gelöscht wurden, und klicken Sie auf Suchen .
Hinweis
Die Datenspeicherrichtlinien werden sich voraussichtlich in den kommenden Versionen ändern. Mit diesen Änderungen können Sie historische Daten nicht speichern, nachdem sie das Speicherlimit überschritten haben. Vorerst wird empfohlen, mehr Speicherplatz hinzuzufügen oder den Speicherplatz innerhalb der Lizenzberechtigungsgrenzen zu halten.