Journaux du Web App Firewall
Le Web App Firewall génère des messages de journal pour le suivi de la configuration, l’appel de stratégie et les détails de violation de contrôle de sécurité.
Lorsque vous activez l’action de journalisation pour les contrôles de sécurité ou les signatures, les messages de journal qui en résultent fournissent des informations sur les demandes et les réponses que le Web App Firewall a observées lors de la protection de vos sites Web et applications. Les informations les plus importantes sont l’action entreprise par le Web App Firewall lorsqu’une signature ou une violation du contrôle de sécurité a été observée. Pour certains contrôles de sécurité, le message de journal peut fournir des informations utiles, telles que l’emplacement de l’utilisateur ou le schéma détecté ayant déclenché une violation. Une augmentation excessive du nombre de messages de violation dans les journaux peut indiquer une augmentation du nombre de requêtes malveillantes. Le message vous avertit que votre application est peut-être attaquée pour exploiter une vulnérabilité spécifique détectée et contrecarrée par les protections du Web App Firewall.
Remarque :
La journalisation Citrix Web App Firewall doit être utilisée uniquement avec des serveurs SYSLOG externes.
Journaux au format Citrix ADC (natif)
Le Web App Firewall utilise les journaux au format Citrix ADC (également appelés journaux de format natif) par défaut. Ces journaux ont le même format que ceux générés par d’autres fonctionnalités de Citrix ADC. Chaque journal contient les champs suivants :
- Horodatage. Date et heure de la connexion.
- Gravité. Niveau de gravité du journal.
- module. Module Citrix ADC qui a généré l’entrée de journal.
- Type d’événement. Type d’événement, tel qu’une violation de signature ou une violation du contrôle de sécurité.
- ID de l’événement. ID attribué à l’événement.
- Adresse IP du client. Adresse IP de l’utilisateur dont la connexion a été enregistrée.
- ID de transaction. ID attribué à la transaction à l’origine du journal.
- ID de session. ID attribué à la session utilisateur à l’origine du journal.
- Message. Le message du journal. Contient des informations identifiant la signature ou le contrôle de sécurité qui a déclenché l’entrée du journal.
Vous pouvez rechercher n’importe lequel de ces champs ou n’importe quelle combinaison d’informations provenant de différents champs. Votre sélection est limitée uniquement par les fonctionnalités des outils que vous utilisez pour afficher les journaux. Vous pouvez observer les messages de journal du Web App Firewall dans l’interface graphique en accédant à la visionneuse de Syslog Citrix ADC, ou vous pouvez vous connecter manuellement à l’appliance Citrix ADC et accéder aux journaux à partir de l’interface de ligne de commande, ou vous pouvez accéder au shell et suivre les journaux directement à partir de /var/log/folder
.
Exemple de message de journal au format natif
Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_cross-site scripting 60 0 : 10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>
<!--NeedCopy-->
Journaux du format d’événement commun (CEF)
Le Web App Firewall prend également en charge les journaux CEF. CEF est une norme de gestion des journaux ouverts qui améliore l’interopérabilité des informations liées à la sécurité provenant de différents périphériques et applications de sécurité et de réseau. Le CEF permet aux clients d’utiliser un format de journal des événements commun afin que les données puissent être facilement collectées et agrégées pour analyse par un système de gestion d’entreprise. Le message de journal est divisé en différents champs afin que vous puissiez facilement analyser le message et écrire des scripts pour identifier les informations importantes.
Analyse du message de journal CEF
Outre la date, l’horodatage, l’adresse IP du client, le format du journal, l’appliance, la société, la version de build, le module et les informations de vérification de sécurité, les messages de journal CEF de Web App Firewall incluent les informations suivantes :
- src — adresse IP source
- spt — numéro de port source
- request — URL de la demande
- act — action (par exemple bloqué, transformé)
- msg — message concernant la violation du contrôle de sécurité observée
- cn1 — ID d’événement
- cn2 — ID de transaction HTTP
- cs1 — nom du profil
- cs2 — ID PPE (par exemple PPE1)
- cs3 - ID de session
- cs4 — Gravité (par exemple INFO, ALERT)
- CS5 — année de l’événement
- cs6 - Catégorie de violation de signature
- method — Méthode (par exemple GET/POST)
Par exemple, considérez le message de journal au format CEF suivant, qui a été généré lorsqu’une violation d’URL de démarrage a été déclenchée :
Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked
<!--NeedCopy-->
Le message ci-dessus peut être divisé en différents composants. Reportez-vous au tableau des composants du journal CEP.
Exemple de violation de vérification de demande au format journal CEF : la demande n’est pas bloquée
Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked
<!--NeedCopy-->
Exemple d’une violation de vérification de réponse au format CEF : la réponse est transformée
Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed
<!--NeedCopy-->
Exemple de violation de signature côté requête au format CEF : la demande est bloquée
Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked
<!--NeedCopy-->
Consigner la géolocalisation dans les messages de violation du Web App Firewall
Les détails du journal identifient l’emplacement d’où proviennent les demandes et vous aident à configurer le Web App Firewall pour un niveau de sécurité optimal. Pour contourner les implémentations de sécurité telles que la limitation de débit, qui reposent sur les adresses IP des clients, les logiciels malveillants ou les ordinateurs malveillants peuvent continuer à modifier l’adresse IP source dans les demandes. L’identification de la région spécifique d’où proviennent les demandes peut aider à déterminer si les demandes proviennent d’un utilisateur valide ou d’un appareil tentant de lancer des cyberattaques. Par exemple, si un nombre excessif de demandes sont reçues d’une zone spécifique, il est facile de déterminer si elles sont envoyées par des utilisateurs ou par une machine non fiable. L’analyse de géolocalisation du trafic reçu peut être utile pour dévier des attaques telles que les attaques par déni de service (DoS).
Le Web App Firewall vous offre la commodité d’utiliser la base de données Citrix ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les requêtes malveillantes. Vous pouvez ensuite appliquer un niveau de sécurité plus élevé pour les demandes provenant de ces emplacements. Les expressions de syntaxe par défaut (PI) Citrix vous permettent de configurer des stratégies basées sur l’emplacement qui peuvent être utilisées avec la base de données d’emplacement intégrée pour personnaliser la protection par pare-feu, renforçant ainsi votre défense contre les attaques coordonnées lancées par des clients non autorisés dans une région spécifique.
Vous pouvez utiliser la base de données intégrée Citrix ADC ou n’importe quelle autre base de données. Si la base de données ne contient aucune information d’emplacement pour l’adresse IP du client en particulier, le journal CEF affiche la géolocalisation en tant que géolocalisation inconnue.
Remarque :
La journalisation de la géolocalisation utilise le format d’événement commun (CEF). Par défaut,
CEF logging
etGeoLocationLogging
sont désactivés. Vous devez explicitement activer les deux paramètres.
Exemple de message de journal CEF affichant des informations de géolocalisation
June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.*.*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->
Exemple de message de journal indiquant geolocation= Unknown
June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->
Configurer l’action du journal et d’autres paramètres de journalisation à l’aide de
Pour configurer l’action de journalisation pour une vérification de sécurité d’un profil à l’aide de la ligne de commande
À l’invite de commandes, tapez l’une des commandes suivantes :
set appfw profile <name> SecurityCheckAction ([log] | [none])
unset appfw profile <name> SecurityCheckAction
Exemples
set appfw profile pr_ffc StartURLAction log
unset appfw profile pr_ffc StartURLAction
Pour configurer la journalisation CEF à l’aide de la ligne de commande
La journalisation CEF est désactivée par défaut. À l’invite de commandes, tapez l’une des commandes suivantes pour modifier ou afficher le paramètre actuel :
set appfw settings CEFLogging on
unset appfw settings CEFLogging
sh appfw settings | grep CEFLogging
Pour configurer la consignation des numéros de carte de crédit à l’aide de la ligne de commande
À l’invite de commandes, tapez l’une des commandes suivantes :
set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
unset appfw profile <name> -doSecureCreditCardLogging
Pour configurer la journalisation de la géolocalisation à l’aide de la ligne de commande
-
Utilisez la commande set pour activer GeolocationLogging. Vous pouvez activer la journalisation CEF en même temps. Utilisez la commande unset pour désactiver la journalisation de géolocalisation. La commande show affiche les paramètres actuels de tous les paramètres de Web App Firewall, sauf si vous incluez la commande grep pour afficher le paramètre d’un paramètre spécifique.
set appfw settings GeoLocationLogging ON [CEFLogging ON]
unset appfw settings GeoLocationLogging
sh appfw settings | grep GeoLocationLogging
-
Spécifiez la base de données
add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv
ou
add locationfile <path to database file>
Personnaliser les journaux du Web App Firewall
Les expressions de format par défaut (PI) vous permettent de personnaliser les informations incluses dans les journaux. Vous avez la possibilité d’inclure les données spécifiques que vous souhaitez capturer dans les messages de journal générés par le Web App Firewall. Par exemple, si vous utilisez l’authentification AAA-TM en même temps que les vérifications de sécurité du Web App Firewall et que vous souhaitez connaître l’URL consultée qui a déclenché la violation du contrôle de sécurité, le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande, vous peut utiliser les commandes suivantes pour spécifier des messages de journal personnalisés qui incluent toutes les données :
> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08 (64-bit)
Done
<!--NeedCopy-->
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
Done
<!--NeedCopy-->
> add appfw profile test_profile
Done
<!--NeedCopy-->
> add appfw policy appfw_pol true test_profile -logAction custom1
Done
<!--NeedCopy-->
Configurer la stratégie Syslog pour séparer les journaux du Web App Firewall
Le pare-feu Web App vous offre la possibilité d’isoler et de rediriger les messages du journal de sécurité du Web App Firewall vers un autre fichier journal. Cela peut être souhaitable si le Web App Firewall génère de nombreux journaux, ce qui rend difficile l’affichage d’autres messages de journal Citrix ADC. Vous pouvez également utiliser cette option lorsque vous souhaitez uniquement afficher les messages du journal du Web App Firewall et que vous ne souhaitez pas voir les autres messages de journal.
Pour rediriger les journaux du Web App Firewall vers un autre fichier journal, configurez une action Syslog pour envoyer les journaux du Web App Firewall à une autre fonction de journalisation. Vous pouvez utiliser cette action lors de la configuration de la stratégie Syslog et la lier globalement pour une utilisation par Web App Firewall.
Exemple :
-
Passez au shell et utilisez un éditeur tel que vi pour éditer le fichier /etc/syslog.conf. Ajoutez une nouvelle entrée pour utiliser local2.* pour envoyer les journaux vers un fichier distinct, comme illustré dans l’exemple suivant :
local2.\* /var/log/ns.log.appfw
-
Redémarrez le processus Syslog. Vous pouvez utiliser la commande grep pour identifier l’ID de processus Syslog (PID), comme illustré dans l’exemple suivant :
root@ns\# **ps -A | grep syslog**
1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C
root@ns# **kill -HUP** 1063
-
À partir de l’interface de ligne de commande, configurez la stratégie SYSLOG avancée ou classique avec une action et liez-la en tant que stratégie globale de Web App Firewall. Citrix vous recommande de configurer la stratégie SYSLOG avancée.
Configuration avancée de la stratégie SYSLOG
add audit syslogAction sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2
add audit syslogPolicy syspol1 true sysact1
bind audit syslogGlobal -policyName syspol1 -priority 100 -globalBindType APPFW_GLOBAL
Configuration de la stratégie classique SYSLOG
add audit syslogAction sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2
add audit syslogPolicy syspol1 true sysact1
bind audit syslogGlobal -policyName syspol1 -priority 100 -globalBindType APPFW_GLOBAL
-
Toutes les violations du contrôle de sécurité du Web App Firewall seront désormais redirigées vers le fichier
/var/log/ns.log.appfw
. Vous pouvez suivre ce fichier pour afficher les violations du Web App Firewall qui sont déclenchées pendant le traitement du trafic en cours.root@ns# tail -f ns.log.appfw
Avertissement : Si vous avez configuré la stratégie Syslog pour rediriger les journaux vers une autre installation de journalisation, les messages de journal du Web App Firewall n’apparaissent plus dans le fichier /var/log/ns.log
.
Remarque :
Si vous souhaitez envoyer des journaux vers un autre fichier journal sur l’appliance Citrix ADC locale, vous pouvez créer un serveur Syslog sur cette appliance Citrix ADC locale. Ajoutez
syslogaction
à sa propre adresse IP et configurez l’ADC comme vous le feriez pour un serveur externe. L’ADC agit en tant que serveur pour stocker vos journaux. Deux actions ne peuvent pas être ajoutées avec la même adresse IP et le même port. Danssyslogaction
, par défaut, la valeur IP est définie sur127.0.0.1
et la valeur de port est définie sur514
.
Afficher les journaux du Web App Firewall
Vous pouvez afficher les journaux à l’aide de la visionneuse Syslog, ou en vous connectant à l’appliance Citrix ADC, en ouvrant un shell UNIX et en utilisant l’éditeur de texte UNIX de votre choix.
Pour accéder aux messages du journal à l’aide de la ligne de commande
Passez à l’interpréteur de commandes et suivez les ns.logs dans le dossier /var/log/ pour accéder aux messages de journal relatifs aux violations de vérification de sécurité du Web App Firewall :
Shell
tail -f /var/log/ns.log
Vous pouvez utiliser l’éditeur vi, ou n’importe quel éditeur de texte Unix ou outil de recherche de texte, pour afficher et filtrer les journaux pour des entrées spécifiques. Par exemple, vous pouvez utiliser la commande grep
pour accéder aux messages de journal relatifs aux violations de carte de crédit :
tail -f /var/log/ns.log | grep SAFECOMMERCE
Pour accéder aux messages du journal à l’aide de l’interface graphique
L’interface graphique Citrix inclut un outil utile (Syslog Viewer) pour analyser les messages de journal. Vous disposez de plusieurs options pour accéder à la visionneuse Syslog :
- Pour afficher les messages de journal d’une vérification de sécurité spécifique d’un profil, accédez à Web App Firewall > Profils, sélectionnez le profil cible, puis cliquez sur Vérifications de sécurité. Mettez en surbrillance la ligne correspondant au contrôle de sécurité cible, puis cliquez sur Journaux. Lorsque vous accédez aux journaux directement à partir de la vérification de sécurité sélectionnée du profil, il filtre les messages de journal et affiche uniquement les journaux relatifs aux violations du contrôle de sécurité sélectionné. La visionneuse Syslog peut afficher les journaux du Web App Firewall au format natif et au format CEF. Cependant, pour que la visionneuse Syslog filtre les messages de journal spécifiques au profil cible, les journaux doivent être au format de journal CEF lorsqu’ils sont accessibles à partir du profil.
- Vous pouvez également accéder à la visionneuse Syslog en accédant à Citrix ADC > Système > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation de contrôle de sécurité du Web App Firewall pour tous les profils. Les messages de journal sont utiles pour le débogage lorsque plusieurs violations de contrôle de sécurité peuvent être déclenchées pendant le traitement de la demande.
- Accédez à Web App Firewall > stratégies > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris tous les journaux de violation de contrôle de sécurité pour tous les profils.
La visionneuse Syslog basée sur HTML fournit les options de filtre suivantes pour sélectionner uniquement les messages de journal qui vous intéressent :
-
Fichier—Le fichier
/var/log/ns.log
actuel est sélectionné par défaut et les messages correspondants apparaissent dans la visionneuse Syslog. Liste des autres fichiers journaux du répertoire /var/log disponibles au format .gz compressé. Pour télécharger et décompresser un fichier journal archivé, sélectionnez le fichier journal dans l’option de liste déroulante. Les messages de journal relatifs au fichier sélectionné sont ensuite affichés dans la visionneuse Syslog. Pour actualiser l’affichage, cliquez sur l’icône Actualiser (un cercle de deux flèches). -
Zone de liste Module : vous pouvez sélectionner le module Citrix ADC dont vous souhaitez afficher les journaux. Vous pouvez le définir sur APPFW pour les journaux de Web App Firewall.
-
Zone de liste Type d’événement : cette zone contient un ensemble de cases à cocher permettant de sélectionner le type d’événement qui vous intéresse. Par exemple, pour afficher les messages de journal relatifs aux violations de signature, vous pouvez activer la case à cocher APPFW_SIGNATURE_MATCH. De même, vous pouvez cocher une case pour activer le contrôle de sécurité spécifique qui vous intéresse. Vous pouvez sélectionner plusieurs options.
-
Gravité : vous pouvez sélectionner un niveau de gravité spécifique pour afficher uniquement les journaux correspondant à ce niveau de gravité. Laissez toutes les cases à cocher vides si vous souhaitez voir tous les journaux.
Pour accéder aux messages du journal des violations de contrôle de sécurité du Web App Firewall pour un contrôle de sécurité spécifique, filtrez en sélectionnant APPFW dans les options de la liste déroulante pour Module. Le type d’événement affiche un ensemble complet d’options pour affiner votre sélection. Par exemple, si vous activez la case à cocher APPFW_FIELDFORMAT et que vous cliquez sur le bouton Appliquer, seuls les messages de journalisation relatifs aux violations des contrôles de sécurité des formats de champ apparaissent dans la visionneuse Syslog. De même, si vous activez les cases à cocher APPFW_SQL et APPFW_STARTURL et que vous cliquez sur le bouton Appliquer, seuls les messages de journal relatifs à ces deux violations de contrôle de sécurité apparaissent dans la visionneuse Syslog.
Si vous placez le curseur sur la ligne d’un message de journal spécifique, plusieurs options, telles que Module, Type d’événement, ID d’événementou Message, s’affichent sous le message de journal. Vous pouvez sélectionner l’une de ces options pour mettre en surbrillance les informations correspondantes dans les journaux.
Résumé
- Prise en charge du format de journal CEF : l’option de format de journal CEF fournit une option pratique pour surveiller, analyser et analyser les messages de journal du Web App Firewall afin d’identifier les attaques, d’affiner les paramètres configurés afin de réduire les faux positifs et de recueillir des statistiques.
- Option de personnalisation des messages de journal : vous pouvez utiliser des expressions PI avancées pour personnaliser les messages de journal et inclure les données que vous souhaitez voir dans les journaux.
- Séparer les journaux spécifiques au Web App Firewall : vous avez la possibilité de filtrer et de rediriger les journaux spécifiques au pare-feu d’application vers un fichier journal distinct.
- Journalisation à distance : vous pouvez rediriger les messages de journal vers un serveur Syslog distant.
- Journalisation de la géolocalisation : vous pouvez configurer le Web App Firewall pour inclure la géolocalisation de la zone à partir de laquelle la demande est reçue. Une base de données de géolocalisation intégrée est disponible, mais vous avez la possibilité d’utiliser une base de données de géolocalisation externe. L’appliance Citrix ADC prend en charge les bases de données de géolocalisation statiques IPv4 et IPv6.
-
Message de journal riche en informations : voici quelques exemples du type d’informations pouvant être incluses dans les journaux, en fonction de la configuration :
- Une stratégie Web App Firewall a été déclenchée.
- Une violation du contrôle de sécurité a été déclenchée.
- Une demande a été considérée comme mal formée.
- Une demande ou une réponse a été bloquée ou non bloquée.
- Les données de demande (telles que les caractères spéciaux de script SQL ou intersite) ou les données de réponse (telles que les numéros de carte de crédit ou les chaînes d’objets sûrs) ont été transformées.
- Le nombre de cartes de crédit dans la réponse a dépassé la limite configurée.
- Le numéro et le type de la carte de crédit.
- Les chaînes de journaux configurées dans les règles de signature et l’ID de signature.
- Informations de géolocalisation sur la source de la demande.
- Saisie utilisateur masquée (sortie X) pour les champs confidentiels protégés.
Masquer les données sensibles à l’aide d’un modèle regex
La fonction de stratégie avancée REGEX_REPLACE
(PI) d’une expression de journal (liée à un profil de pare-feu d’application Web (WAF)) vous permet de masquer les données sensibles dans les journaux WAF. Vous pouvez utiliser cette option pour masquer les données à l’aide d’un modèle d’expression régulière et fournir un modèle de caractère ou de chaîne pour masquer les données. Vous pouvez également configurer la fonction PI pour remplacer la première occurrence ou toutes les occurrences du modèle d’expression régulière.
Par défaut, l’interface graphique Citrix fournit le masque suivant :
- SSN
- Carte de crédit
- Mot de passe
- Nom d’utilisateur
Masquer les données sensibles dans les journaux du pare-feu d’application Web
Vous pouvez masquer les données sensibles dans les journaux WAF en configurant l’expression de stratégie avancée REGEX_REPLACE
dans l’expression de journal liée à un profil WAF.
Pour masquer les données sensibles, vous devez effectuer les étapes suivantes :
- Ajouter un profil de pare-feu d’application Web
- Liaison d’une expression de journal au profil WAF
Ajouter un profil de pare-feu d’application Web
À l’invite de commandes, tapez :
add appfw profile <name>
Exemple :
Add appfw profile testprofile1
Liaison d’une expression de journal avec le profil de pare-feu d’application Web
À l’invite de commandes, tapez :
bind appfw profile <name> -logExpression <string> <expression> –comment <string>
Exemple :
bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"
Masquer les données sensibles dans les journaux du pare-feu d’application Web à l’aide de l’interface graphique Citrix ADC
- Dans le volet de navigation, développez Sécurité > Citrix Web App Firewall > Profils.
- Sur la page Profils, cliquez sur Modifier.
- Sur la page Profil de Citrix Web App Firewall, accédez à la section Paramètres avancés et cliquez sur Enregistrement étendu.
-
Dans la section Enregistrement étendu, cliquez sur Ajouter.
-
Sur la page Créer une liaison de journal étendue Citrix Web App Firewall, définissez les paramètres suivants :
- Nom. Nom de l’expression du journal.
- Activé. Sélectionnez cette option pour masquer les données sensibles.
- Masque de journal. Sélectionnez les données à masquer.
- Expression. Entrez l’expression de stratégie avancée qui vous permet de masquer les données sensibles dans les journaux WAF
- Commentaires. Brève description du masquage des données sensibles.
- Cliquez sur Créer et Fermer.
Dans cet article
- Journaux au format Citrix ADC (natif)
- Journaux du format d’événement commun (CEF)
- Consigner la géolocalisation dans les messages de violation du Web App Firewall
- Configurer l’action du journal et d’autres paramètres de journalisation à l’aide de
- Configurer la stratégie Syslog pour séparer les journaux du Web App Firewall
- Afficher les journaux du Web App Firewall
- Résumé
- Masquer les données sensibles à l’aide d’un modèle regex