ADC

Analyses avancées NetScaler

Les analyses avancées de NetScaler examinent les données collectées par NetScaler et extraient des informations précieuses sur ses performances. En tirant parti de la puissance des analyses avancées, les administrateurs obtiennent des informations sur les performances du réseau et peuvent prendre des mesures proactives pour améliorer la fiabilité, les performances et la sécurité globales du réseau.

L’analyse implique généralement l’examen de données historiques pour mieux comprendre les événements et les comportements passés. L’analyse avancée utilise des techniques plus sophistiquées pour mieux comprendre les événements passés et prévoir les tendances futures et les résultats potentiels.

Avantages des analyses avancées de NetScaler

Les analyses avancées de NetScaler vous offrent les avantages suivants :

  • Identification précoce des comportements anormaux du réseau
  • Une posture de sécurité améliorée
  • Allocation de ressources optimisée
  • Compréhension approfondie des modèles de trafic au niveau des applications

Analyses avancées NetScaler sur Splunk

NetScaler Advanced Analytics collecte et analyse les données relatives au trafic réseau à l’aide d’outils d’observation tiers, tels que Splunk. L’analyse avancée de NetScaler vise à développer un système robuste capable de surveiller en permanence le trafic réseau, d’analyser les transactions au niveau de la couche application et de signaler les cas où les octets de transaction dépassent les seuils prédéfinis (octets de transaction de téléchargement et de téléchargement).

NetScaler adopte des techniques de détection des anomalies qui incluent des méthodes statistiques pour identifier tout comportement anormal. Ces techniques utilisent les données des 21 derniers jours pour établir une base de référence fiable pour ce qui est considéré comme un comportement normal. NetScaler surveille de près le trafic entrant, en temps réel. Il utilise des algorithmes avancés pour définir des seuils pour les transactions normales. Ces seuils sont dynamiques, ce qui signifie qu’ils sont ajustés en permanence en fonction des données historiques et des connaissances du domaine. Chaque fois qu’une transaction dépasse le seuil prédéfini, le système la signale immédiatement pour une enquête plus approfondie.

Lorsque des anomalies sont détectées, NetScaler demande aux administrateurs d’enquêter et de prendre des mesures. Cette notification garantit que toute activité potentiellement frauduleuse ou suspecte est identifiée et traitée rapidement, ce qui permet un environnement plus sûr et plus sécurisé pour tous les utilisateurs. Vous pouvez envoyer une notification par e-mail ou par l’une des options de notification prises en charge par Splunk. Pour en savoir plus sur les options de notification, voir Configurer les actions d’alerte.

Configurer les analyses avancées de NetScaler sur Splunk

Pour configurer l’application d’analyse avancée NetScaler sur Splunk, effectuez les étapes suivantes :

Logiciels requis

  • Assurez-vous que NetScaler exporte les mesures et les données de transactions vers Splunk.

    • Données de transaction : pour plus d’informations sur la configuration de l’exportation de données depuis NetScaler vers Splunk, consultez Exporter les journaux de transactions directement depuis NetScaler vers Splunk. Parallèlement à cette configuration, vous devez activer les arguments suivants pour exporter les variables UserAgent et URL dans le profil d’analyse :

       -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      

      Exemple de commande

       set analytics profile <http analytics profile name> -collectors <splunk hec endpoint service name> -type webinsight -httpURL ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -analyticsAuthToken "Splunk <HEC_TOKEN HERE>" -analyticsEndpointUrl "/services/collector/event" -analyticsEndpointContentType "application/json"
       <!--NeedCopy-->
      

      Activez l’exportation de l’agent utilisateur et de l’URL dans le profil analytique existant :

       set analytics profile  <http analytics profile name> --httpClientSideMeasurements ENABLED -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      
    • Mesures : pour plus d’informations sur la manière d’exporter des mesures directement de NetScaler vers Splunk, voir Exporter des mesures directement de NetScaler vers Splunk.

  • Assurez-vous que l’application Python for Scientific Computing est installée sur Splunk. Pour installer cette application, accédez à Applications > Gérer les applications, cliquez sur Rechercher d’autres applications, recherchez l’application Python for Scientific computing et cliquez sur Installer.

  • Téléchargez le fichier .spl depuis https://www.citrix.com/downloads/citrix-adc/splunk-apps/list-of-apps.html.

  • Assurez-vous qu’il existe un index capable de stocker 21 jours de données sur Splunk. Vous pouvez utiliser un index existant ou créer un nouvel index de type Événements. Pour plus d’informations sur la création d’un index, consultez la documentation Splunk.

Configuration

  1. Connectez-vous à Splunk.
  2. Accédez à Applications > Gérer les applications et cliquez sur Installer à partir d’un fichier.
  3. Cliquez sur Choisir un fichier et chargez le fichier .spl.

    Installer l'application depuis un fichier

  4. Cliquez sur Télécharger, puis sur Continuer vers la page de configuration de l’application.
  5. Sur la page de configuration de l’application NetScaler Advanced Analytics pour Splunk, saisissez des données dans les champs suivants :
    1. Entrez le nom de l’index dans lequel les événements NetScaler sont ingérés : l’index dans lequel les données de NetScaler sont stockées.
    2. Entrez le nom de l’index pour enregistrer les résultats générés par l’application NetScaler Advanced Analytics : l’index dans lequel les données générées à partir de l’application Splunk sont enregistrées. L’index doit stocker au moins 21 jours de données.

    Index de configuration d'analyses avancées

  6. Cliquez sur Terminer la configuration de l’application.

  7. Une fois le téléchargement terminé, accédez à Applications et cliquez sur NetScaler Advanced Analytics.

Remarque :

il faut au moins 20 jours pour que les applications commencent à prévoir les anomalies.

Tableaux de bord d’analyse avancée NetScaler sur Splunk

Les informations analytiques avancées de NetScaler se composent de plusieurs tableaux de bord qui fournissent des données sur différents cas d’utilisation.

Transactions de téléchargement exceptionnellement importantes

Vous pouvez utiliser le tableau de bord des transactions de téléchargement exceptionnellement volumineuses pour analyser les transactions pour lesquelles des données anormalement élevées ont été téléchargées depuis les applications.

Exemple : si un attaquant parvient à s’introduire dans une application et tente de télécharger une base de données volumineuse contenant des informations sensibles, ce scénario est enregistré comme une anomalie dans le tableau de bord des transactions de téléchargement exceptionnellement volumineuses. À l’aide du tableau de bord, vous pouvez obtenir les détails de la transaction, tels que l’adresse IP du client, l’heure de l’événement, l’URL de la demande et l’agent utilisateur.

Vous pouvez filtrer les données en fonction des catégories suivantes :

  • Heure
  • Adresse IP NetScaler
  • Nom de l’application

Pendant une période donnée, le tableau de bord affiche les principales adresses IP des clients, les principaux UserAgents et la principale URL présentant des anomalies. Vous pouvez approfondir l’anomalie en filtrant les données en fonction de l’adresse IP NetScaler et du nom de l’application.

Transactions de téléchargement exceptionnellement importantes

Pour une adresse IP NetScaler et un nom d’application sélectionnés, un graphique s’affiche qui montre toutes les transactions, y compris celles dont le volume de téléchargement est élevé. Le graphique contient le détail des octets téléchargés, le nombre maximum d’octets téléchargés prévus et les anomalies.

Graphique des transactions de téléchargement exceptionnellement volumineux

Vous pouvez exporter les données au format PDF, cloner le tableau de bord et définir le tableau de bord comme tableau de bord d’accueil.

Transactions de téléchargement exceptionnellement importantes

Vous pouvez utiliser le tableau de bord des transactions de téléchargement exceptionnellement importantes pour analyser les transactions dont le chargement de données vers l’application est anormalement élevé.

Exemple : si un attaquant parvient à s’introduire dans une application et tente de télécharger des fichiers volumineux dans l’espoir d’épuiser l’espace de stockage, ce scénario est signalé comme une anomalie dans le tableau de bord des transactions de téléchargement exceptionnellement volumineuses. À l’aide de ce tableau de bord, vous pouvez obtenir les détails de la transaction anormale, tels que l’adresse IP du client, l’heure de l’événement, l’URL de la demande et l’agent utilisateur.

Vous pouvez filtrer les données en fonction des catégories suivantes :

  • Heure
  • Adresse IP NetScaler
  • Nom de l’application

Pendant une période donnée, le tableau de bord affiche les principales adresses IP des clients, les principaux agents utilisateurs et la principale URL présentant des anomalies. Vous pouvez approfondir l’anomalie en filtrant les données en fonction de l’adresse IP NetScaler et du nom de l’application.

Pour une adresse IP NetScaler et un nom d’application sélectionnés, un graphique s’affiche qui montre toutes les transactions, y compris celles dont la taille de téléchargement est élevée. Le graphique contient le détail des octets chargés, le nombre maximum d’octets chargés prévus et les anomalies.

Vous pouvez exporter les données au format PDF, cloner le tableau de bord et définir le tableau de bord comme tableau de bord d’accueil.

Augmentation du trafic - volume de téléchargements

Vous pouvez utiliser le tableau de bord Surtension du trafic - volume de téléchargement pour analyser les scénarios anormaux de téléchargement de données depuis l’application via des robots. Le tableau de bord indique s’il y a une augmentation inhabituelle du taux de téléchargement.

Exemple : si un utilisateur ou un bot tente de télécharger un volume important de données plus rapidement que le taux de téléchargement habituel, ce scénario est considéré comme une augmentation du trafic et signalé comme une anomalie. Sachez que la moyenne des données téléchargées par jour est de 500 Mo et que si un bot essaie de télécharger 2 Go de données, ce scénario est considéré comme un volume de données de téléchargement anormalement élevé.

Vous pouvez filtrer les données en fonction des catégories suivantes :

  • Heure
  • Adresse IP NetScaler
  • Nom de l’application

Pendant une période donnée, le tableau de bord affiche la liste des adresses IP NetScaler et des noms d’applications qui ont signalé des anomalies. Vous pouvez approfondir l’anomalie en filtrant les données en fonction de l’adresse IP NetScaler et du nom de l’application.

Augmentation du trafic - volume de téléchargements

Pour une adresse IP NetScaler et un nom d’application sélectionnés, un graphique s’affiche qui montre le téléchargement de données, le téléchargement de données maximal prévu et les anomalies.

Vous pouvez exporter les données au format PDF, cloner le tableau de bord et définir le tableau de bord comme tableau de bord d’accueil.

Augmentation du trafic - taux de demandes

Vous pouvez utiliser le tableau de bord Surtension du trafic - taux de demandes pour analyser les taux de demandes inhabituels reçus par une application. Vous pouvez contrôler le trafic entrant et sortant depuis ou vers une application. Une attaque de bot peut effectuer un taux de requête élevé inhabituel.

Exemple : si vous configurez une application pour autoriser 100 requêtes par minute et si vous observez 350 requêtes par minute, ce scénario est considéré comme une possible attaque de bot et signalé comme une anomalie.

Vous pouvez filtrer les données en fonction des catégories suivantes :

  • Heure
  • Adresse IP NetScaler
  • Nom de l’application

Vous pouvez approfondir l’anomalie en filtrant les données en fonction de l’adresse IP NetScaler et du nom de l’application.

Pour une adresse IP NetScaler et un nom d’application sélectionnés, un graphique s’affiche qui indique le taux de demandes, le taux de demandes maximal prévu et les anomalies.

Vous pouvez exporter les données au format PDF, cloner le tableau de bord et définir le tableau de bord comme tableau de bord d’accueil.

Augmentation du trafic - taux de demandes

Latence anormale du serveur

Vous pouvez utiliser le tableau de bord de latence anormale des serveurs pour obtenir une visibilité en temps réel sur les mesures de latence des serveurs et également pour détecter les écarts inhabituels en matière de latence des serveurs. Le tableau de bord met en évidence les modèles de latence anormaux, permet une investigation proactive et aide à résoudre les problèmes.

Vous pouvez filtrer les données en fonction des catégories suivantes :

  • Heure
  • Adresse IP NetScaler
  • Nom du service

Vous pouvez approfondir l’anomalie en filtrant les données en fonction de l’adresse IP et du nom du service NetScaler.

Pour une adresse IP et un nom de service NetScaler sélectionnés, un graphique indiquant le délai du serveur s’affiche.

Le graphique affiche la latence, la latence maximale prévue et les anomalies.

Vous pouvez exporter les données au format PDF, cloner le tableau de bord et définir le tableau de bord comme tableau de bord d’accueil.

Latence anormale du serveur