Intégration à Microsoft Sentinel
Vous pouvez intégrer NetScaler Console à Microsoft Sentinel pour exporter les analyses suivantes depuis NetScaler Console vers Microsoft Sentinel :
- Violations du WAF
- Violations liées aux robots
- Insights sur les certificats SSL
- Gateway Insight
Microsoft Sentinel fournit une collecte de données centralisée qui rassemble des données provenant de diverses sources telles que des applications, des serveurs, etc. En tant qu’administrateur, vous pouvez consulter les données et prendre des décisions une fois que les insights ou les violations ont été signalées dans Microsoft Sentinel.
Pour une intégration réussie, assurez-vous que vous disposez d’un abonnement Azure actif, puis suivez la procédure décrite dans chaque section :
Configurer l’espace de travail Log Analytics
Un espace de travail Log Analytics est nécessaire pour stocker et analyser les données collectées.
-
Connectez-vous à Azure.
-
Cliquez sur Créer une ressource.
-
Dans la barre de recherche, saisissez Espace de travail Log Analytics et cliquez sur Créer sous Espace de travail Log Analytics.
-
Sur la page principale Espace de travail Log Analytics, cliquez sur Créer.
-
Dans Créer un espace de travail Log Analytics :
- Sélectionnez l’abonnement actif et le groupe de ressources.
Remarque :
Vous pouvez également cliquer sur Créer pour ajouter un groupe de ressources si vous en avez le privilège.
-
Indiquez le nom de votre choix.
-
Sélectionnez votre région dans la liste.
-
Cliquez sur Réviser + Créer.
-
Un message de validation s’affiche. Cliquez sur Créer pour déployer l’espace de travail.
-
Vous pouvez voir le message de déploiement en cours. Lorsque le message de fin du déploiement s’affiche, cliquez sur Accéder à la ressource.
L’espace de travail a été créé avec succès.
- Sélectionnez l’abonnement actif et le groupe de ressources.
Créer une application Microsoft Entra
Vous devez créer une application Entra associée à votre abonnement Azure pour communiquer au nom de l’espace de travail Log Analytics. Après avoir créé l’application, vous devez également accorder l’autorisation avec le rôle Contributeur Microsoft Sentinel. L’application fournit également des informations telles que l’ID client, l’ID du locataireet le secret client. Nous vous recommandons de prendre note de ces informations. Vous en aurez besoin pour créer un abonnement dans NetScaler Console et terminer le processus d’intégration.
-
Dans votre portail Azure, saisissez le mot clé dans la barre de recherche.
-
Cliquez sur Microsoft Entra ID.
-
Cliquez sur Ajouter et sélectionnez Enregistrement de l’application.
-
Spécifiez un nom pour l’application, sélectionnez l’option par défaut sous Types de comptes pris en charge, puis cliquez sur Enregistrer.
-
Après avoir enregistré l’application :
-
Prenez note de l’ID client et de l’ID du locataire.
-
Créez un identifiant secret pour votre application. Cliquez sur Certificats et secrets, puis sous Secrets client, cliquez sur Nouveau secret client. Fournissez une description et une période de validité, puis cliquez sur Ajouter pour créer un identifiant secret pour votre application.
-
Les détails de votre application sont affichés. Assurez-vous de prendre note de l’identifiant affiché sous Valeur immédiatement après la création du secret. Cette valeur est masquée si vous accédez à une autre option de l’interface graphique.
-
Attribuer une autorisation à l’application Entra
Vous devez attribuer à l’application le rôle Microsoft Sentinel Contributor. Pour accorder une autorisation :
-
Accédez à Microsoft Entra ID dans votre portail Azure.
-
Cliquez sur Enregistrements d’applications , puis sélectionnez votre application.
-
Cliquez sur Contrôle d’accès (IAM), puis sur Ajouter une attribution de rôle.
-
Dans la barre de recherche, saisissez le mot clé sentinel, sélectionnez Contributeur Microsoft Sentinel et cliquez sur Suivant.
-
Dans l’onglet Membres, cliquez sur Sélectionner les membres, puis sélectionnez l’application Entra que vous avez créée.
-
Cliquez sur Review + assign.
Configurer le point de terminaison de collecte de données
Vous devez créer un point de terminaison de collecte de données pour obtenir l’URL du point de terminaison. Cela est obligatoire lorsque vous créez un abonnement dans NetScaler Console.
-
Dans votre portail Azure, sous Services Azure, sélectionnez Points de terminaison de collecte de données ou saisissez le mot clé dans la barre de recherche.
-
Cliquez sur Créer sur la page Points de terminaison de la collecte de données .
-
Dans Créer un point de terminaison de collecte de données :
-
Spécifiez le nom de point de terminaison de votre choix.
-
Sélectionnez l’abonnement, le groupe de ressourceset la région.
-
Cliquez sur Réviser + Créer.
-
Lorsque le message de validation s’affiche, cliquez sur Créer.
-
Vous devez prendre note de l’URL du point de terminaison. Sur la page principale du point de terminaison de collecte de données, sélectionnez le point de terminaison créé, cliquez sur Affichage JSON et notez l’ID du point de terminaison.
Créer des tableaux pour l’exportation des données
Vous devez créer un tableau et fournir les informations JSON pour chaque insight que vous souhaitez exporter depuis NetScaler Console vers Microsoft Sentinel. Vous pouvez consulter les informations suivantes concernant les exigences du tableau pour chaque insight :
Aperçu | Nombre total de tableaux requis |
---|---|
Insights SSL | 3 |
WAF | 1 |
Bot | 1 |
Gateway insights | 5 |
Pour chaque espace de travail, vous pouvez créer un maximum de 10 tableaux. Au-delà de 10 tableaux, vous devez créer un autre espace de travail.
-
Accédez à votre espace de travail sur le portail Azure et cliquez sur Tableaux sous Paramètres.
-
Cliquez sur Créer et sélectionnez Nouveau journal personnalisé (basé sur la DCR)
-
Dans Créer un journal personnalisé :
-
Spécifiez un nom de tableau. Le nom de la table doit être au format console_insightname. Par exemple : console_ns_sslvserver, console_ns_ssl_certkey. Vous pouvez vous référer à l’étape 4 pour obtenir les noms des tableaux applicables à chaque insight.
-
Fournissez une description pour ajouter plus d’informations sur le nom du tableau. Cette étape est facultative.
-
Créez une règle de collecte de données et ajoutez-la.
-
Sélectionnez le point de terminaison de collecte de données dans la liste.
-
Cliquez sur Suivant.
-
-
Dans l’onglet Schéma et transformation, vous devez télécharger les exemples de journaux JSON pour les informations que vous souhaitez exporter. Vous pouvez utiliser l’exemple JSON suivant pour chaque insight et créer un fichier JSON à télécharger :
Aperçu JSON Nom du tableau à utiliser SSL (1) {"id": "3eb05733-c326-493c-9aa0-f7db3a6b4277", "ns_ip_address": "10.106.186.141", "name": "zeta_192_168_110_250", "vsvr_ip_address": "", "vsvr_port": -1, "vsvr_type": "", "state": "", "partition_name": "", "display_name": "10.106.186.141", "poll_time": 1716539986, "managed": "f", "ssl2": "f", "ssl3": "t", "tls10": "t", "tls11": "t", "tls12": "t", "dh": "f", "ersa": "t", "sslprofile": "", "tls13": "f", "dhkeyexpsizelimit": "DISABLED", "pushenctriggertimeout": 1, "sessionticket": "", "includesubdomains": "f", "sessionticketkeyrefresh": "", "ssllogprofile": "", "serverauth": "", "ssltriggertimeout": 100, "ersacount": 0, "strictcachecks": "NO", "dhfile": "", "sessreuse": "ENABLED", "redirectportrewrite": "DISABLED", "skipclientcertpolicycheck": "", "tls13sessionticketsperauthcontext": 1, "cipherredirect": "DISABLED", "dropreqwithnohostheader": "NO", "sessionticketlifetime": -1, "maxage": 0, "pushenctrigger": "Always", "strictsigdigestcheck": "f", "sslredirect": "DISABLED", "sessionkeylifetime": -1, "alpnprotocol": "", "clientauthuseboundcachain": "", "sesstimeout": 120, "clientcert": "", "snihttphostmatch": "CERT", "preload": "NO", "prevsessionkeylifetime": -1, "sessionticketkeydata": "", "encrypttriggerpktcount": 45, "cleartextport": "", "ssliocspcheck": "", "hsts": "f", "sslinterception": "", "commonname": "", "sslireneg": "", "ocspstapling": "DISABLED", "quantumsize": 8192, "insertionencoding": "Unicode", "sslimaxsessperserver": -1, "cipherurl": "", "pushflag": 0, "zerorttearlydata": "DISABLED", "allowextendedmastersecret": "", "dhekeyexchangewithpsk": "NO", "clientauth": "DISABLED", "denysslreneg": "NONSECURE", "sendclosenotify": "YES", "dhcount": 0, "snienable": "DISABLED", "table_name": "ns_sslvserver"}
console_ns_sslvserver SSL (2) {"id": "a6673ab2-0b59-47b9-b530-bc30fb2b937c", "ssl_certificate": "/nsconfig/ssl/ca-cert.pem", "ssl_key": "/nsconfig/ssl/ca-key.pem", "certkeypair_name": "athul-ca", "cert_format": "PEM", "days_to_expiry": 281, "ns_ip_address": "10.106.186.141", "status": "Valid", "device_name": "10.106.186.141", "file_location_path": "", "certificate_data": "", "key_data": "", "poll_time": 1717434335, "no_domain_check": "f", "version": 3, "serial_number": "7B34B6A6A1A79E0FF168242D7BCFF78F04C9EE66", "signature_algorithm": "sha256WithRSAEncryption", "issuer": "C=IN,ST=KA,L=BAN,O=CIT,OU=ADM,CN=A", "valid_from": "Mar 12 08:51:11 2024 GMT", "valid_to": "Mar 12 08:51:11 2025 GMT", "subject": "C=IN,ST=KA,L=BAN,O=CIT,OU=ADM,CN=A", "public_key_algorithm": "rsaEncryption", "public_key_size": 4096, "no_of_bound_entities": 0, "partition_name": "", "display_name": "10.106.186.141", "hostname": "athulsadc", "key_name": "", "subjaltname": "", "managed_by": "", "certificate_dn": "", "linkcertkeyname": "", "table_name": "ns_ssl_certkey"}
console_ns_ssl_certkey SSL (3) {"id": "2baffd1a-7ed6-4035-91e8-ad3a3125bff4", "certkeypair_name": "cert1", "ns_ip_address": "10.106.186.127", "poll_time": 1715671567, "partition_name": "", "display_name": "10.106.186.127", "hostname": "", "entity_name": "secure_gateway", "entity_type": "sslvserver", "table_name": "ns_sslcertkey_binding"}
console_ns_sslcertkey_binding WAF [{"ip_address": "10.106.185.156", "ctnsappname": "vserver_1", "severity": 2, "violation_type": 19, "violation_type_desc": "Start URL", "block_flags": 1, "transformed_flags": 0, "not_blocked_flags": 0, "country_code": "-NA-", "region_code": "-NA-", "city": "-NA-", "latitude": 200.0, "longitude": 200.0, "signature_category": "", "attack_category": 2, "attack_category_desc": "Broken Authentication and Session Management", "total_attacks": 1, "rpt_sample_time": 1704783773, "source_ip_address": 174766492, "attack_time": 1704783538, "profile_name": "appfw_cs_lb_prof", "session_id": "", "http_req_url": "https://10.106.192.54/csrf_ffc/ffc.html?field10=asfasd", "violation_name": "-NA-", "violation_value": "-NA-", "violation_location": 4, "violation_threat_index": 5, "app_threat_index": 5, "http_method": 0, "violation_action": 3, "violation_action_desc": "Blocked", "severity_type": 2, "severity_type_desc": "Medium", "iprep_score": 0, "iprep_category": 0, "counter_value": 0, "appname": "vserver_1_10.106.185.156_lb", "violation_category": 12, "violation_category_desc": "Start URL", "source_ipv6_address": "", "true_client_ip": "\\N", "backend_vserver": "", "backend_appname": "", "transactionId": "0", "table_name": "af_threat_exporter_data_l2"}]
console_af_threat_exporter_data_l2 Bot {"ip_address": "10.106.186.122", "ctnsappname": "secure_gateway", "bot_type": "2", "bot_type_desc": "Bad", "action_type": "6", "action_type_desc": "Log", "country_code": "0.0", "region_code": "0.0", "city": "0.0", "bot_severity": "0", "bot_severity_desc": "Critical", "latitude": "0", "longitude": "0", "bot_detection_mechanism": "6", "bot_detection_mechanism_desc": "BlackList", "bot_category": "0", "bot_category_desc": "Uncategorized", "source_ip_address": "174758625", "bot_signature_category": "Custom Policy Expression", "appname": "secure_gateway_10.106.186.122_lb", "backend_vserver": "", "backend_appname": "", "total_attacks": "2", "rpt_sample_time": "1718783216", "table_name": "af_bot_attack_details_l2"}
console_af_bot_attack_details_l2 Gateway Insight (1) {"adc_ip_address": "10.106.186.141", "auth_server": "", "client_ip": 174766732, "epa_method_type": 0, "error_count": 14, "error_details": "Invalid credentials passed", "error_type": 1, "gateway_name": "vpn_vserver_142_6", "req_url": "", "resource": "", "rpt_sample_time": 1713505215, "sso_method_type": 0, "sta_ip": "", "table_name": "af_vpn_error_details", "username": "John"}
console_af_vpn_error_details Gateway Insight (2) {"adc_ip_address": "10.102.71.166", "display_name": "10.102.71.166", "gateway_name": "firsthop", "ip_address": "10.102.71.168", "rpt_sample_time": "1718812158", "state": "Up", "table_name": "ns_vpnvserver"}
console_ns_vpnvserver Gateway Insight (3) {"adc_ip_address": "10.106.186.141", "gateway_name": "vpn_vserver_141_7", "rpt_sample_time": 1702011308, "sessions": 1, "table_name": "af_vpn_session_details", "users": 1}
console_af_vpn_session_details Gateway Insight (4) {"active_sessions": 59, "active_users": 1, "adc_ip_address": "10.106.186.136", "gateway_name": "vpnathul2", "rpt_sample_time": 1698919848, "table_name": "af_vpn_active_session_1"}
console_af_vpn_active_session_1 Gateway Insight (5) {"adc_ip_address": "10.106.186.136", "entity_type": 3, "gateway_name": "vpnathul2", "hits": 3, "rpt_sample_time": 1698052438, "table_name": "af_vpn_error_reports"}
console_af_vpn_error_reports Après avoir chargé le JSON, vous pouvez consulter les informations suivantes :
Cliquez sur Éditeur de transformation, entrez la requête suivante relative à l’insight approprié, puis cliquez sur Exécuter pour accepter les données à partir de l’heure du sondage dans NetScaler Console.
-
SSL -
source | extend TimeGenerated = todatetime(poll_time) | project-rename sslvserver_id = id
-
WAF et Bot -
source | extend TimeGenerated = todatetime(rpt_sample_time)
-
Gateway Insight -
source | extend TimeGenerated = todatetime(rpt_sample_time)
-
-
Cliquez sur Suivant, puis sur Créer pour terminer.
-
Accédez à Règles de collecte de données, cliquez sur la DCR que vous avez créée.
-
Sous Configuration, cliquez sur Sources de données pour afficher le tableau créé.
La DCR (règle de collecte de données) nécessite l’accès au rôle Éditeur de mesures de surveillance.
-
Accédez à votre DCR depuis votre portail Azure sous Récents.
-
Cliquez sur Contrôle d’accès (IAM) sur la page de la DCR, puis cliquez sur Ajouter une attribution de rôle.
-
Dans la barre de recherche, saisissez le mot clé Monitor pour sélectionner Éditeur de mesures de surveillance et cliquez sur Suivant.
-
Dans l’onglet Membres, cliquez sur Sélectionner les membres et sélectionnez l’application Entra que vous avez créée.
-
Cliquez sur Review + assign.
Vous devez prendre note de l’identifiant des règles de collecte de données. Accédez à la page Règles de collecte de données, sélectionnez vos DCR, puis cliquez sur la vue JSON pour noter l’ID.
-
Créer un abonnement dans NetScaler Console
Tout est prêt à présent. La dernière étape consiste à configurer NetScaler Console en créant un abonnement et en ajoutant les informations requises. Pour créer un abonnement dans NetScaler Console, vous avez besoin des informations suivantes que vous avez notées :
- URL du point de terminaison
- ID des règles de collecte de données
- ID de locataire
- ID client
- Clé secrète client
-
Connectez-vous à la console NetScaler.
-
Accédez à Paramètres > Intégration de l’observabilité.
-
Sur la page Intégrations, cliquez sur Ajouter.
-
Sur la page Créer un abonnement, indiquez les informations suivantes :
-
Indiquez le nom de votre choix dans le champ Nom de l’abonnement .
-
Sélectionnez NetScaler Console comme source et cliquez sur Suivant.
-
Sélectionnez Microsoft Sentinel et cliquez sur Configurer. Sur la page Configurer le point de terminaison, entrez tous les détails, puis cliquez sur Soumettre.
-
Cliquez sur Suivant.
-
-
Cliquez sur Ajouter des insights et, dans l’onglet Sélectionner une fonctionnalité, en fonction des tableaux que vous avez ajoutés dans Microsoft Azure, sélectionnez les fonctionnalités que vous souhaitez exporter, cliquez sur Ajouter la sélection, puis cliquez sur Suivant.
-
Dans l’onglet Sélectionner une instance, vous pouvez choisir Sélectionner toutes les instances ou Sélection personnalisée, puis cliquer sur Suivant.
-
Sélectionnez toutes les instances : exporte les données vers Microsoft Sentinel depuis toutes les instances NetScaler.
-
Sélection personnalisée : vous permet de sélectionner les instances NetScaler dans la liste. Si vous sélectionnez des instances spécifiques dans la liste, les données sont exportées vers Microsoft Sentinel uniquement à partir des instances NetScaler sélectionnées.
-
-
Cliquez sur Envoyer.
Afficher les journaux dans Microsoft Azure
Une fois que vous avez tout configuré, nous vous recommandons d’attendre 30 minutes pour afficher les détails dans Microsoft Azure.
-
Dans votre portail Azure, accédez à votre espace de travail Log Analytics.
-
Cliquez sur Journaux, indiquez le nom du tableau, puis cliquez sur Exécuter pour afficher les résultats.