Citrix Application Delivery Management Service

Intégration à Splunk

Vous pouvez désormais intégrer Citrix ADM à Splunk pour consulter les analyses relatives aux violations du WAF et des bots dans votre tableau de bord Splunk. Le module complémentaire Splunk vous permet de :

  • Combinez toutes les autres sources de données externes.

  • Offrez une meilleure visibilité des analyses dans un endroit centralisé.

Citrix ADM collecte les événements Bot et WAF et les envoie régulièrement à Splunk. Le module complémentaire Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, à l’aide des données compatibles CIM, vous pouvez consulter les violations WAF et Bot dans le tableau de bord Splunk.

Conditions préalables

Pour intégrer Splunk, vous devez :

Configurer le paramètre global

  1. Connectez-vous à Splunk.

  2. Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP. La page du collecteur d’événements HTTP s’affiche.

  3. Cliquez sur Paramètres généraux.

    Réglages globaux

  4. Spécifiez les paramètres suivants et cliquez sur Enregistrer.

    Modifier le paramètre global

    Remarque

    Par défaut, le numéro de port HTTP indique le port par défaut. Si vous avez un autre numéro de port préféré, vous pouvez spécifier le numéro de port requis.

Configurer le point de terminaison du collecteur d’événements HTTP dans Splunk

  1. Connectez-vous à Splunk.

  2. Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP. La page du collecteur d’événements HTTP s’affiche.

  3. Cliquez sur Nouveau jeton.

    Nouveau jeton

  4. Spécifiez les éléments suivants :

    1. Nom : Spécifiez le nom de votre choix.

    2. Remplacement du nom de la source (facultatif) : si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.

    3. Description (facultatif) : Spécifiez une description.

    4. Groupe de sortie (facultatif) : Par défaut, cette option est sélectionnée sur Aucun.

    5. Activer l’accusé de réception de l’indexeur : par défaut, cette option n’est pas sélectionnée.

      Paramètres du collecteur d'événements

    6. Cliquez sur Suivant.

    7. Dans la page Paramètres d’entrée, spécifiez le type de source, le contexte de l’application, l’index, puis cliquez sur Vérifier.

    8. Vérifiez si tout ce que vous avez spécifié est correct, puis cliquez sur Soumettre. Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des détails dans Citrix ADM.

      Jeton Splunk

Installation du modèle d’information commun de Splunk

Dans Splunk, vous devez installer le Splunk CIM pour vous assurer que les données sont renseignées dans le tableau de bord.

  1. Connectez-vous à Splunk.

  2. Accédez à Applications > Rechercher d’autres applications.

    Splunk : trouvez plus d'applications

  3. Tapez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir le module complémentaire Splunk Common Information Model (CIM), puis cliquez sur Installer.

    Splunk CIM

Installez le normalisateur Citrix CIM

Après avoir installé le Splunk CIM, vous devez installer le normalisateur Citrix CIM pour transformer les événements en Splunk CIM.

  1. Connectez-vous à la page de téléchargement de Citrix et téléchargez le module complémentaire Citrix CIM pour Splunk.

  2. Sur le portail Splunk, accédez à Applications > Gérer les applications.

    Gestion des applications par Splunk

  3. Cliquez sur Installer l’application depuis un fichier.

    Application d'installation de Splunk

  4. Chargez le fichier .spl ou .tgz et cliquez sur Charger.

    Charger un fichier

    Vous recevez un message de notification sur la page Applications indiquant que le module complémentaire est installé.

Ajoutez les détails du collecteur HTTP et du jeton Splunk

Après avoir généré un jeton, vous devez ajouter des détails dans Citrix ADM pour l’intégrer à Splunk.

  1. Connectez-vous à Citrix ADM.

  2. Accédez à Paramètres > Intégration de l’écosystème.

  3. Sur la page Abonnements, cliquez sur Ajouter.

  4. Dans l’onglet Sélectionner les fonctionnalités auxquelles vous souhaitez vous abonner, vous pouvez sélectionner les fonctionnalités que vous souhaitez exporter et cliquer sur Suivant.

    • Exportation en temps réel  : les violations sélectionnées sont immédiatement exportées vers Splunk.

    • Exportation périodique  : les violations sélectionnées sont exportées vers Splunk en fonction de la durée que vous sélectionnez.

      Sélectionnez les fonctionnalités

  5. Dans l’onglet Spécifier la configuration d’exportation :

    1. Type de point final  : sélectionnez Splunk dans la liste.

    2. Point final — Spécifiez les détails du point final de Splunk. Le point final doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.

      Remarque

      Il est recommandé d’utiliser le protocole HTTPS pour des raisons de sécurité.

      • SPLUNK_PUBLIC_IP — Adresse IP valide configurée pour Splunk.

      • SPLUNK_HEC_PORT — Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison de l’événement HTTP. Le numéro de port par défaut est 8088.

      • Services/Collector/Event — Indique le chemin de l’application HEC.

    3. Jeton d’authentification — Copiez et collez le jeton d’authentification depuis la page Splunk.

    4. Cliquez sur Suivant.

      Créer un abonnement

  6. Sur la page d’abonnement :

    1. Fréquence d’exportation  : sélectionnez Tous les jours ou toutes les heures dans la liste. En fonction de la sélection, Citrix ADM exporte les détails vers Splunk.

      Remarque

      Applicable uniquement si vous avez sélectionné des violations dans l’exportation périodique.

    2. Nom de l’abonnement — Spécifiez le nom de votre choix.

    3. Cochez la case Activer les notifications .

    4. Cliquez sur Submit.

      Subscribe

      Remarque

      • Lorsque vous configurez avec l’option d’exportation périodique pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transférées vers Splunk. La fréquence d’exportation suivante se produit en fonction de votre sélection (quotidienne ou horaire).

      • Lorsque vous configurez avec l’option d’exportation en temps réel pour la première fois, les données des fonctionnalités sélectionnées sont transmises à Splunk immédiatement dès que les violations sont détectées dans Citrix ADM.

Vérifiez les détails dans Splunk

Après avoir ajouté des détails dans Citrix ADM, vous pouvez vérifier si Splunk reçoit les événements.

  1. Sur la page d’accueil de Splunk, cliquez sur Search & Reporting.

    Recherche et reporting dans Splunk

  2. Dans la barre de recherche, saisissez les détails dans la barre de recherche, sélectionnez la durée dans la liste, puis cliquez sur l’icône de recherche ou appuyez sur Entrée. Par exemple, vous pouvez saisir sourcetype=”bot” ou sourcetype=”waf” ou sourcetype="ml" pour vérifier les détails.

    Exemple de recherche Splunk

    Le résultat de recherche suivant est un exemple de violation du WAF :

    Événements Splunk WAF

    Le résultat de recherche suivant est un exemple de violation par un bot :

    Événements liés aux bots Splunk

Accéder aux informations sur Pivot

Vous devez identifier le type de modèle de données pour voir les détails du pivot. Par exemple, le module complémentaire Splunk convertit les événements WAF et Bot au format CIM, avec le type de modèle de données le plus proche, tel que la détection d’alerte et d’intrusion.

Pour accéder aux événements dans Splunk :

  1. Accédez à Paramètres > Modèles de données.

  2. Identifiez le modèle de données de détection d’intrusion et cliquez sur Pivot

    Pivot Splunk

  3. Sélectionnez un ensemble de données. Dans l’exemple suivant, l’option IDS Attacks est sélectionnée.

    Ensemble de Splunk

    Le nombre total d’ attaques IDS s’affiche.

    Attaques IDS

    Vous pouvez également cliquer sur le bouton + pour ajouter plus de détails au tableau. L’exemple suivant affiche les détails en fonction de la gravité, de la catégorie et de l’ID de signature :

    Plus de détails

Tableau de Splunk

À l’aide d’un tableau de bord, vous pouvez consulter les détails des analyses des violations WAF et Bot à l’aide de panneaux tels que des graphiques, des tableaux, des listes, etc. Vous pouvez configurer les éléments suivants :

  • Tableau de bord avec des applications qui utilisent les données compatibles CIM.

  • Tableau de bord personnalisé qui extrait les données des modèles de données CIM.

Selon votre choix, vous pouvez créer le tableau de bord. Pour plus d’informations, consultez la section À propos du tableau de bord dans la documentation Splunk.