Citrix Application Delivery Management Service

Intégration à Splunk

February 13, 2023

Vous pouvez désormais intégrer Citrix ADM à Splunk pour consulter les analyses relatives aux violations du WAF et des bots dans votre tableau de bord Splunk. Le module complémentaire Splunk vous permet de :

Combinez toutes les autres sources de données externes.
Offrez une meilleure visibilité des analyses dans un endroit centralisé.

Citrix ADM collecte les événements Bot et WAF et les envoie régulièrement à Splunk. Le module complémentaire Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, à l’aide des données compatibles CIM, vous pouvez consulter les violations WAF et Bot dans le tableau de bord Splunk.

Conditions préalables

Pour intégrer Splunk, vous devez :

Configurer le paramètre global
Configurer le point de terminaison du collecteur d’événements HTTP dans Splunk
Installez le module complémentaire Splunk Common Information Model (CIM)
Installez le normalisateur Citrix CIM
Ajoutez les détails du collecteur HTTP et du jeton Splunk

Configurer le paramètre global

Connectez-vous à Splunk.
Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP. La page du collecteur d’événements HTTP s’affiche.
Cliquez sur Paramètres généraux.
Spécifiez les paramètres suivants et cliquez sur Enregistrer.

Remarque

Par défaut, le numéro de port HTTP indique le port par défaut. Si vous avez un autre numéro de port préféré, vous pouvez spécifier le numéro de port requis.

Configurer le point de terminaison du collecteur d’événements HTTP dans Splunk

Connectez-vous à Splunk.
Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP. La page du collecteur d’événements HTTP s’affiche.
Cliquez sur Nouveau jeton.
Spécifiez les éléments suivants :
1. Nom : Spécifiez le nom de votre choix.
2. Remplacement du nom de la source (facultatif) : si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.
3. Description (facultatif) : Spécifiez une description.
4. Groupe de sortie (facultatif) : Par défaut, cette option est sélectionnée sur Aucun.
5. Activer l’accusé de réception de l’indexeur : par défaut, cette option n’est pas sélectionnée.
6. Cliquez sur Suivant.
7. Dans la page Paramètres d’entrée, spécifiez le type de source, le contexte de l’application, l’index, puis cliquez sur Vérifier.
8. Vérifiez si tout ce que vous avez spécifié est correct, puis cliquez sur Soumettre. Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des détails dans Citrix ADM.

Installation du modèle d’information commun de Splunk

Dans Splunk, vous devez installer le Splunk CIM pour vous assurer que les données sont renseignées dans le tableau de bord.

Connectez-vous à Splunk.
Accédez à Applications > Rechercher d’autres applications.
Tapez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir le module complémentaire Splunk Common Information Model (CIM), puis cliquez sur Installer.

Installez le normalisateur Citrix CIM

Après avoir installé le Splunk CIM, vous devez installer le normalisateur Citrix CIM pour transformer les événements en Splunk CIM.

Connectez-vous à la page de téléchargement de Citrix et téléchargez le module complémentaire Citrix CIM pour Splunk.
Sur le portail Splunk, accédez à Applications > Gérer les applications.
Cliquez sur Installer l’application depuis un fichier.
Chargez le fichier .spl ou .tgz et cliquez sur Charger.

Vous recevez un message de notification sur la page Applications indiquant que le module complémentaire est installé.

Ajoutez les détails du collecteur HTTP et du jeton Splunk

Après avoir généré un jeton, vous devez ajouter des détails dans Citrix ADM pour l’intégrer à Splunk.

Connectez-vous à Citrix ADM.
Accédez à Paramètres > Intégration de l’écosystème.
Sur la page Abonnements, cliquez sur Ajouter.
Dans l’onglet Sélectionner les fonctionnalités auxquelles vous souhaitez vous abonner, vous pouvez sélectionner les fonctionnalités que vous souhaitez exporter et cliquer sur Suivant.
- Exportation en temps réel : les violations sélectionnées sont immédiatement exportées vers Splunk.
- Exportation périodique : les violations sélectionnées sont exportées vers Splunk en fonction de la durée que vous sélectionnez.
Dans l’onglet Spécifier la configuration d’exportation :
1. Type de point final : sélectionnez Splunk dans la liste.
2. Point final — Spécifiez les détails du point final de Splunk. Le point final doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
  
  Remarque
  
  Il est recommandé d’utiliser le protocole HTTPS pour des raisons de sécurité.
  - SPLUNK_PUBLIC_IP — Adresse IP valide configurée pour Splunk.
  - SPLUNK_HEC_PORT — Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison de l’événement HTTP. Le numéro de port par défaut est 8088.
  - Services/Collector/Event — Indique le chemin de l’application HEC.
3. Jeton d’authentification — Copiez et collez le jeton d’authentification depuis la page Splunk.
4. Cliquez sur Suivant.
Sur la page d’abonnement :
1. Fréquence d’exportation : sélectionnez Tous les jours ou toutes les heures dans la liste. En fonction de la sélection, Citrix ADM exporte les détails vers Splunk.
  
  Remarque
  
  Applicable uniquement si vous avez sélectionné des violations dans l’exportation périodique.
2. Nom de l’abonnement — Spécifiez le nom de votre choix.
3. Cochez la case Activer les notifications .
4. Cliquez sur Submit.
  Remarque
  - Lorsque vous configurez avec l’option d’exportation périodique pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transférées vers Splunk. La fréquence d’exportation suivante se produit en fonction de votre sélection (quotidienne ou horaire).
  - Lorsque vous configurez avec l’option d’exportation en temps réel pour la première fois, les données des fonctionnalités sélectionnées sont transmises à Splunk immédiatement dès que les violations sont détectées dans Citrix ADM.

Vérifiez les détails dans Splunk

Après avoir ajouté des détails dans Citrix ADM, vous pouvez vérifier si Splunk reçoit les événements.

Sur la page d’accueil de Splunk, cliquez sur Search & Reporting.
Dans la barre de recherche, saisissez les détails dans la barre de recherche, sélectionnez la durée dans la liste, puis cliquez sur l’icône de recherche ou appuyez sur Entrée. Par exemple, vous pouvez saisir sourcetype=”bot” ou sourcetype=”waf” ou sourcetype="ml" pour vérifier les détails.

Le résultat de recherche suivant est un exemple de violation du WAF :

Le résultat de recherche suivant est un exemple de violation par un bot :

Accéder aux informations sur Pivot

Vous devez identifier le type de modèle de données pour voir les détails du pivot. Par exemple, le module complémentaire Splunk convertit les événements WAF et Bot au format CIM, avec le type de modèle de données le plus proche, tel que la détection d’alerte et d’intrusion.

Pour accéder aux événements dans Splunk :

Accédez à Paramètres > Modèles de données.
Identifiez le modèle de données de détection d’intrusion et cliquez sur Pivot
Sélectionnez un ensemble de données. Dans l’exemple suivant, l’option IDS Attacks est sélectionnée.

Le nombre total d’ attaques IDS s’affiche.

Vous pouvez également cliquer sur le bouton + pour ajouter plus de détails au tableau. L’exemple suivant affiche les détails en fonction de la gravité, de la catégorie et de l’ID de signature :

Tableau de Splunk

À l’aide d’un tableau de bord, vous pouvez consulter les détails des analyses des violations WAF et Bot à l’aide de panneaux tels que des graphiques, des tableaux, des listes, etc. Vous pouvez configurer les éléments suivants :

Tableau de bord avec des applications qui utilisent les données compatibles CIM.
Tableau de bord personnalisé qui extrait les données des modèles de données CIM.

Selon votre choix, vous pouvez créer le tableau de bord. Pour plus d’informations, consultez la section À propos du tableau de bord dans la documentation Splunk.

La version officielle de ce document est en anglais. Certains contenus de la documentation Citrix ont été traduits de façon automatique à des fins pratiques uniquement. Citrix n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Citrix à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Citrix, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Citrix ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Intégration à Splunk

February 13, 2023

Cela vous a-t-il été utile ?