ADC

Análisis avanzados de NetScaler

Los análisis avanzados de NetScaler examinan los datos recopilados por NetScaler y extraen información valiosa sobre su rendimiento. Al aprovechar la potencia del análisis avanzado, los administradores obtienen información sobre el rendimiento de la red y pueden tomar medidas proactivas para mejorar la fiabilidad, el rendimiento y la seguridad generales de la red.

Por lo general, el análisis implica examinar los datos históricos para obtener información sobre los eventos y el comportamiento del pasado. Los análisis avanzados utilizan técnicas más sofisticadas para obtener información sobre los eventos pasados y también para pronosticar las tendencias futuras y los posibles resultados.

Ventajas de los análisis avanzados de NetScaler

Los análisis avanzados de NetScaler le ofrecen las siguientes ventajas:

  • Identificación temprana del comportamiento anómalo de la red
  • Mejora de la postura de seguridad
  • Asignación optimizada de recursos
  • Comprensión más profunda de los patrones de tráfico a nivel de aplicación

Análisis avanzados de NetScaler en Splunk

Los análisis avanzados de NetScaler recopilan y analizan los datos del tráfico de la red mediante herramientas de observación de terceros, como Splunk. Los análisis avanzados de NetScaler tienen como objetivo desarrollar un sistema sólido capaz de supervisar continuamente el tráfico de la red, analizar las transacciones en la capa de aplicación y marcar los casos en los que los bytes de las transacciones superan los umbrales predefinidos (bytes de transacciones de carga y descarga).

NetScaler adopta técnicas de detección de anomalías que incluyen métodos estadísticos para identificar cualquier comportamiento anómalo. Estas técnicas utilizan los datos de los últimos 21 días para establecer una línea de base fiable para lo que se considera un comportamiento normal. NetScaler vigila de cerca el tráfico entrante en tiempo real. Emplea algoritmos avanzados para definir los umbrales para las transacciones normales. Estos umbrales son dinámicos, lo que significa que se ajustan continuamente en función de los datos históricos y el conocimiento del dominio. Cuando una transacción supera el umbral predefinido, el sistema la marca inmediatamente para que se investigue más a fondo.

Cuando se detectan anomalías, NetScaler notifica a los administradores para que investiguen y tomen medidas. Esta notificación garantiza que cualquier actividad potencialmente fraudulenta o sospechosa se identifique y se trate con prontitud, lo que permite un entorno más seguro para todos los usuarios. Puede enviar notificaciones por correo electrónico o con cualquiera de las opciones de notificación que admite Splunk. Para obtener más información sobre las opciones de notificación, consulte Configurar acciones de alerta.

Configurar los análisis avanzados de NetScaler en Splunk

Para configurar la aplicación de análisis avanzado de NetScaler en Splunk, lleve a cabo los siguientes pasos:

Requisitos previos

  • Asegúrese de que NetScaler exporte los datos de métricas y transacciones a Splunk.

    • Datos de transacciones: para obtener información sobre cómo configurar la exportación de datos de NetScaler a Splunk, consulte Exportar registros de transacciones directamente de NetScaler a Splunk. Junto con esta configuración, debe habilitar los siguientes argumentos para exportar las variables de URL y UserAgent en el perfil de análisis:

       -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      

      Comando de ejemplo

       set analytics profile <http analytics profile name> -collectors <splunk hec endpoint service name> -type webinsight -httpURL ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -analyticsAuthToken "Splunk <HEC_TOKEN HERE>" -analyticsEndpointUrl "/services/collector/event" -analyticsEndpointContentType "application/json"
       <!--NeedCopy-->
      

      Habilite la exportación del agente de usuario y la URL en el perfil de análisis existente:

       set analytics profile  <http analytics profile name> --httpClientSideMeasurements ENABLED -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      
    • Métricas: Para obtener información sobre cómo exportar métricas directamente de NetScaler a Splunk, consulte Exportar métricas directamente de NetScaler a Splunk.

  • Asegúrese de que la aplicación Python for Scientific computing esté instalada en Splunk. Para instalar esta aplicación, vaya a Aplicaciones > Administrar aplicaciones, haga clic en Buscar más aplicaciones, busque la aplicación Python for Scientific computing y haga clic en Instalar.

  • Descargue el archivo .spl desde https://www.citrix.com/downloads/citrix-adc/splunk-apps/list-of-apps.html.

  • Asegúrese de que en Splunk exista un índice que pueda almacenar 21 días de datos. Puede usar un índice existente o crear un índice nuevo de tipo Eventos. Para obtener información sobre cómo crear un índice, consulte la documentación de Splunk.

Configuración

  1. Inicie sesión en Splunk.
  2. Vaya a Aplicaciones > Administrar aplicaciones y haga clic en Instalar desde un archivo.
  3. Haga clic en Elegir archivo y cargue el archivo .spl.

    Instalar app desde un archivo

  4. Haga clic en Cargar y, a continuación, en Continuar a la página de configuración de la aplicación.
  5. En la página de configuración de la aplicación NetScaler Advanced Analytics para Splunk, introduzca los datos en los siguientes campos:
    1. Introduzca el nombre del índice en el que se ingieren los eventos de NetScaler: el índice en el que se almacenan los datos de NetScaler.
    2. Introduzca el nombre del índice para guardar los resultados generados desde la aplicación NetScaler Advanced Analytics: el índice en el que se guardan los datos generados desde la aplicación Splunk. El índice debe almacenar un mínimo de 21 días de datos.

    índice de configuración de análisis avanzados

  6. Haga clic en Finalizar la configuración de la aplicación.

  7. Una vez finalizada la carga, vaya a Aplicaciones y haga clic en análisis avanzados de NetScaler.

Nota:

Las aplicaciones tardan un mínimo de 20 días en empezar a pronosticar las anomalías.

Paneles de análisis avanzados de NetScaler en Splunk

La información de análisis avanzada de NetScaler consiste en varios paneles que proporcionan datos sobre varios casos de uso.

Transacciones de descarga inusualmente grandes

Puede usar el panel de transacciones de descarga inusualmente grandes para analizar las transacciones que tienen un volumen inusualmente alto de datos descargados de las aplicaciones.

Ejemplo: si un atacante logra entrar en una aplicación e intenta descargar una base de datos grande que contiene información confidencial, este escenario se captura como una anomalía en el panel de transacciones de descarga inusualmente grandes. Con el panel de control, puede obtener los detalles de la transacción, como la dirección IP del cliente, la hora del evento, la URL de la solicitud y el agente de usuario.

Puede filtrar los datos en función de las siguientes categorías:

  • Hora
  • Dirección IP de NetScaler
  • Nombre de la aplicación

Durante un período de tiempo seleccionado, el panel muestra las principales direcciones IP de los clientes, los principales UserAgents y la URL con más anomalías. Puede profundizar en la anomalía filtrando los datos en función de la dirección IP de NetScaler y el nombre de la aplicación.

Transacciones de descarga inusualmente grandes

Para la dirección IP de NetScaler y el nombre de la aplicación seleccionados, se muestra un gráfico que muestra todas las transacciones, incluidas las que tienen un tamaño de descarga elevado. El gráfico contiene los detalles de los bytes descargados, el máximo de bytes descargados previsto y las anomalías.

Gráfico de transacciones de descarga inusualmente grandes

Puede exportar los datos a PDF, clonar el panel y establecer el panel como panel de inicio.

Transacciones de carga inusualmente grandes

Puede usar el panel de transacciones de carga inusualmente grandes para analizar las transacciones que tienen una carga de datos inusualmente alta en la aplicación.

Ejemplo: si un atacante logra entrar en una aplicación e intenta cargar archivos de gran tamaño con la esperanza de agotar el almacenamiento, este escenario se notifica como una anomalía en el panel de transacciones de carga inusualmente grandes. Con este panel, puede obtener los detalles de la transacción anómala, como la dirección IP del cliente, la hora del evento, la URL de la solicitud y el agente de usuario.

Puede filtrar los datos en función de las siguientes categorías:

  • Hora
  • Dirección IP de NetScaler
  • Nombre de la aplicación

Durante un período de tiempo seleccionado, el panel muestra las principales direcciones IP de los clientes, los principales agentes de usuario y la URL con más anomalías. Puede profundizar en la anomalía filtrando los datos según la dirección IP de NetScaler y el nombre de la aplicación.

Para la dirección IP de NetScaler y el nombre de la aplicación seleccionados, se muestra un gráfico que muestra todas las transacciones, incluidas las que tienen un tamaño de carga elevado. El gráfico contiene los detalles de los bytes cargados, el máximo de bytes cargados previsto y las anomalías.

Puede exportar los datos a PDF, clonar el panel y establecer el panel como panel de inicio.

Aumento del tráfico: volumen de descargas

Puede utilizar el panel de control Aumento del tráfico: volumen de descargas para analizar escenarios anómalos de descarga de datos desde la aplicación a través de bots. El panel resalta si hay un aumento inusual en la velocidad de descarga.

Ejemplo: si un usuario o un bot intenta descargar un gran volumen de datos más rápido que la velocidad de descarga habitual, este escenario se considera un aumento del tráfico y se notifica como una anomalía. Tenga en cuenta que el promedio de datos de descarga por día es de 500 MB y, si un bot intenta descargar 2 GB de datos, este escenario se considera un volumen de datos de descarga inusualmente alto.

Puede filtrar los datos en función de las siguientes categorías:

  • Hora
  • Dirección IP de NetScaler
  • Nombre de la aplicación

Durante un período de tiempo seleccionado, el panel muestra la lista de direcciones IP y nombres de aplicaciones de NetScaler que han notificado anomalías. Puede profundizar en la anomalía filtrando los datos en función de la dirección IP de NetScaler y el nombre de la aplicación.

Aumento del tráfico: volumen de descargas

Para una dirección IP de NetScaler y un nombre de aplicación seleccionados, se muestra un gráfico que muestra la descarga de datos, la descarga máxima de datos prevista y las anomalías.

Puede exportar los datos a PDF, clonar el panel y establecer el panel como panel de inicio.

Aumento del tráfico: tasa de solicitudes

Puede utilizar el panel Aumento del tráfico: tasa de solicitudes para analizar las tasas de solicitudes inusuales que recibe una aplicación. Puede controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bots puede generar una tasa de solicitudes inusualmente alta.

Ejemplo: si configura una aplicación para permitir 100 solicitudes por minuto y observa 350 solicitudes por minuto, este escenario se considera un posible ataque de bots y se notifica como una anomalía.

Puede filtrar los datos en función de las siguientes categorías:

  • Hora
  • Dirección IP de NetScaler
  • Nombre de la aplicación

Puede profundizar en la anomalía filtrando los datos en función de la dirección IP de NetScaler y el nombre de la aplicación.

Para una dirección IP de NetScaler y un nombre de aplicación seleccionados, se muestra un gráfico que muestra la tasa de solicitudes, la velocidad máxima de solicitudes prevista y las anomalías.

Puede exportar los datos a PDF, clonar el panel y establecer el panel como panel de inicio.

Aumento del tráfico: tasa de solicitudes

Latencia anómala del servidor

Puede usar el panel de latencia anómala del servidor para obtener visibilidad en tiempo real de las métricas de latencia del servidor y también para detectar desviaciones inusuales en la latencia del servidor. El panel destaca los patrones de latencia anómalos, permite una investigación proactiva y ayuda a solucionar problemas.

Puede filtrar los datos en función de las siguientes categorías:

  • Hora
  • Dirección IP de NetScaler
  • Nombre del servicio

Puede profundizar en la anomalía filtrando los datos en función de la dirección IP y el nombre del servicio de NetScaler.

Para una dirección IP y un nombre de servicio de NetScaler seleccionados, se muestra un gráfico que muestra la demora del servidor.

El gráfico muestra la latencia, la latencia máxima prevista y las anomalías.

Puede exportar los datos a PDF, clonar el panel y establecer el panel como panel de inicio.

Latencia anómala del servidor