Application Delivery Management

Security Insight

NetScaler ADMビルドが 13.0-79.xより前の場合は、[ 分析]>[セキュリティ]>[Security Insight]の順に選択して、セキュリティインサイトを表示できますビルド 13.0-79.x 以降では、[分析] > [セキュリティ] > [セキュリティ違反] > [アプリケーションの概要] に移動し、[ アプリケーションの内訳 ][ WAF ] をクリックすると、WAF 違反の詳細を表示できます。

インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するには、過去、現在の脅威、近い将来起こり得る脅威の性質と程度、攻撃発生時にすぐ利用できるリアルタイムデータ、対策に関する推奨事項を把握する必要があります。Security Insightは、アプリケーションのセキュリティ状況を判断し、是正処置を実施してアプリケーションを保護するための統一管理コンソールソリューションです。

セキュリティインサイトは、バージョン11.0ビルド65.31以降で動作するCitrix ADCアプライアンスを搭載したCitrix Application Delivery Management(ADM)でサポートされています。

セキュリティインサイトの仕組み

Security Insightは、アプリケーションに関連するさまざまな脅威を把握できる直感的なダッシュボード型のセキュリティ分析ソリューションです。セキュリティインサイトはCitrix ADMに含まれており、アプリケーションファイアウォールとCitrix ADCシステムのセキュリティ構成に基づいて定期的にレポートを生成します。このレポートには、アプリケーション別に次の情報が含まれています。

  • 脅威指数:アプリケーションがCitrix ADCアプライアンスによって保護されているかどうかに関係なく、アプリケーションに対する攻撃の重要度を示す1桁の評価システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。

    脅威指数は攻撃情報に基づいています。違反の種類、攻撃のカテゴリ、場所、クライアントの詳細などの、攻撃に関連する情報により、アプリケーションに対する攻撃について正確かつ詳細に把握できます。違反情報は、違反または攻撃が発生した場合にのみNetScaler ADM に送信されます。多くの侵害や脆弱性は、高い脅威指数の値につながります。

  • 安全性指数:外部からの脅威や脆弱性からアプリケーションを保護するために、NetScaler ADC インスタンスをどのように安全に構成したかを示す1桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。

    安全指標では、アプリケーションファイアウォール構成とNetScaler ADC システムセキュリティ構成の両方が考慮されます。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳格なアプリケーションファイアウォールチェックが行われていて、 nsroot ユーザーの強力なパスワードなど、NetScaler ADCシステムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全指数の値が割り当てられます。

  • アクショナブルインフォメーション:脅威指数を下げて安全指数を増やすために必要な情報。これにより、アプリケーションのセキュリティが大幅に向上します。たとえば、違反に関する情報、アプリケーションファイアウォールやその他のセキュリティ機能に関する既存の、または欠落しているセキュリティ構成、アプリケーションが攻撃されている割合を確認できます。

セキュリティインサイトの設定

Citrix ADM は、アプリケーションファイアウォールが構成されているすべてのCitrix ADC インスタンスからのセキュリティインサイトをサポートします。

ADC インスタンスでセキュリティインサイトを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを設定します。その後、アプリケーションファイアウォールポリシーをグローバルにバインドできますが、Citrixではポリシーを仮想サーバーにバインドすることをお勧めします。

Citrix ADM で分析を表示するには、インスタンスでAppFlow機能を有効にし、AppFlowコレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。この場合も、アプリケーションファイアウォールポリシーをグローバルにバインドできますが、Citrixではポリシーを仮想サーバーにバインドすることをお勧めします。また、Citrix ADM を使用してAppFlow構成をADCインスタンスにデプロイすることも推奨しています。コレクタを構成するときは、レポートを監視するNetScaler ADM サーバーのIPアドレスを指定する必要があります。

Citrix ADC インスタンスでセキュリティインサイトを設定するには:

  1. 次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appfw profile <名前> \[**-defaults** ( basic名前> advanced )]

    set appfw profile \<名前\> \[-startURLAction \<開始URLアクション\> …\]

    add appfw policy \<名前\> \<規則\> \<プロファイル名\>

    bind appfw global \<ポリシー名\> \<優先度\>

    または、

    bind lb vserver \<lb仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. 次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appflow collector \<名前\> -IPAddress \<IPアドレス\>

    set appflow param [-SecurityInsightRecordInterval <秒>] \[**-SecurityInsightTraffic** ( ENABLED秒> DISABLED )]

    アプリフローアクションを追加 \ <name\ > -コレクター \ <string\ >

    add appflow policy \<名前\> \<規則\> \<アクション\>

    bind appflow global \<ポリシー名\> \<優先度\> \[\<goto優先度式\>\] \[-type \<タイプ\>\]

    または

    bind lb vserver \<仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

NetScaler ADM からSecurity Insightを有効にするには:

NetScaler ADMが 13.0ビルド41.xの場合:

  1. [ ネットワーク ] > [ インスタンス ] > [ NetScaler ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択] リストから [ Analytics の設定] をクリックします。

  3. 仮想サーバーの分析の設定 」ページで、仮想サーバーを選択し、「 分析を有効にする」をクリックします。

  4. アナリティクスを有効にする 」ウィンドウで:

    1. セキュリティインサイトを選択

    2. Logstream をトランスポートモードとして選択

      NetScaler ADC 12.0以前の場合、 IPFIXはトランスポートモードのデフォルトのオプションです 。NetScaler ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX とログストリームの詳細については、「 ログストリームの概要」を参照してください。

    3. 式はデフォルトでtrueです

    4. [OK]をクリックします

      分析を有効にする

      • ライセンスされていない仮想サーバーを選択すると、NetScaler ADM はまずそれらの仮想サーバーのライセンスを取得し、次に分析を有効にします。

      • 管理パーティションでは、 Web Insight のみがサポートされます

      • キャッシュリダイレクト、 認証、 GSLBなどの仮想サーバーでは、分析を有効にすることはできません。エラーメッセージが表示されます。

OK]をクリックすると、NetScaler ADM は選択した仮想サーバー上で分析を有効にするために処理します。

処理分析

Citrix ADM が 13.0 ビルド36.27 の場合:

  1. [ ネットワーク ] > [ インスタンス] に移動し、AppFlow を有効にするNetScaler ADC インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 仮想サーバーを選択し、「 AppFlow を有効にする」をクリックします。

  4. AppFlowを有効にする 」フィールドに「 true」と入力し、「 セキュリティインサイト」を選択します。

  5. [OK] をクリックします。

    AppFlow を有効にする

    注:

    グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。NetScaler ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループおよびグループへのユーザの割り当ての詳細については、「 グループを設定する」を参照してください。

Security Insightレポートの地理的な場所を表示する

Security Insight レポートには、クライアントのリクエストが発生した正確な地理的場所が含まれます。Citrix ADM で地理的な場所を表示できます。Citrix ADCに組み込まれている地理データベースファイルには、ほとんどのパブリックIPアドレスが含まれています。このファイルは、Citrix ADC の /var/netscaler/inbuilt_db という場所にあります。

位置情報を有効にするには:

次のコマンドを実行して位置情報ログおよびCEF形式でのログを有効にします。

  • ロケーションファイルを追加 <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

地理データベースファイルで使用できない IP アドレスがある場合は、地理的位置の IP アドレスを追加できます。IP アドレスに加えて、都市/州/国の名前と各場所の緯度と経度の座標を追加することもできます。

vi エディタなどのテキストエディタで geo データベースファイルを開き、すべての場所のエントリを追加します。

エントリは、次の形式で指定する必要があります。

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

例:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

IPレピュテーション

NetScaler Insight Centerを使用して着信トラフィックのIPレピュテーションを監視および管理できます。悪意のあるIPを追加するよう各種ポリシーを構成して、カスタマイズされたブロックリストを作成できます。

IP レピュテーションの設定と使用については、IP レピュテーションを参照してください

IP レピュテーションの監視

IPレピュテーション機能は、悪意のあるIPアドレスに関する攻撃関連情報を提供します。たとえば、IPレピュテーションスコア、IPレピュテーションカテゴリ、IPレピュテーション攻撃時間、デバイスIP、およびクライアントIPアドレスに関する詳細がレポートされます。

IPレピュテーションスコアは、IPアドレスに関連付けられたリスクを示します。このスコアの範囲は次のとおりです。

IPレピュテーションスコア リスクの程度
1–20 高リスク
21–40 疑わしい
41–60 中程度のリスク
61–80 低リスク
81–100 信頼できる

IPレピュテーションを監視するには、次の手順に従います。

  1. [ 分析] > [ セキュリティインサイト] に移動し、監視するアプリケーションを選択します。

  2. [ 脅威インデックス ] タブで、[ IP レピュテーション] を選択します。

    IP レピュテーション

  3. 重大度を選択して、そのレベルの攻撃の詳細を表示します。棒グラフをクリックするか、グラフの下の表をクリックします。

  4. 詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。次に[Go]をクリックします。

    IPレピュテーション1

  5. 表示をカスタマイズするには、[Settings]をクリックします。

    IPレピュテーション2

しきい値

Security Insightでアプリケーションの安全性指数と脅威指数のしきい値を設定および表示できます。

しきい値を設定するには:

  1. [ アナリティクス ] > [ 設定] > [ しきい] に移動し、[ 追加] を選択します。

  2. 「トラフィックタイプ」フィールドで「 セキュリティ 」 としてトラフィックタイプを選択し 、名前、期間、エンティティなどの他の適切なフィールドに必要な情報を入力します。

  3. ルールを設定 」セクションで、「メトリック」、「コンパレーター」、「値」の各フィールドを使用してしきい値を設定します。

    入力例:”Threat Index” “>” “5”

  4. 通知設定で、通知タイプを選択します。

  5. [作成] をクリックします。

しきい値違反を確認するには:

  1. [ 分析 ] > [ セキュリティインサイト **] > [ **デバイス] に移動し、Citrix ADC インスタンスを選択します。

  2. [ アプリケーション ] セクションの [Threshold Breach] 列には、各仮想サーバで発生したしきい値違反の数が表示されます

セキュリティインサイトのユースケース

次のユースケースでは、Security Insightを使用して、アプリケーションの脅威環境を査定し、セキュリティ対策を向上する方法を説明します。

脅威環境の概要を把握する

このユースケースでは、攻撃にさらされる一連のアプリケーションがあり、脅威環境を監視するようにNetScaler ADM を構成しています。脅威指数、安全性指数、およびアプリケーションで発生した可能性のある攻撃の種類と重大度を頻繁に確認して、最も注意が必要なアプリケーションに特に注意を払うようにします。Security Insightダッシュボードには、選択した期間および選択したNetScaler ADC デバイスについて、アプリケーションが経験した脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。

たとえば、Microsoft Outlook、Microsoft Lync、SharePoint、および SAP アプリケーションを監視していて、これらのアプリケーションの脅威環境の概要を確認する必要がある場合があります。

脅威環境の概要を取得するには、 NetScaler ADMにログオンし、[ Analytics]>[Security Insight]に移動します。

各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。

脅威環境

異なる期間の情報を表示するには、左上のリストから期間を選択します。

差値

別のNetScaler ADC インスタンスの概要を表示するには、[ デバイス]で、NetScaler ADCインスタンスのIPアドレスをクリックします。特定の列でアプリケーションの一覧を並べ替えるには、その列の見出しをクリックします。

アプリケーションが脅威にさらされる危険性を判断する

Security Insight ダッシュボードで脅威指数が高く安全性指数が低いアプリケーションを特定するには、保護を決定する前に脅威にさらされる危険性を判断する必要があります。つまり、指数値を下げている攻撃の種類と重大度を確認します。アプリケーションの脅威への露出度を判断するには、アプリケーションの概要を表示します。

この例では、Microsoft Outlookの脅威指数値が6になっており、この高い脅威指数の原因となっている要因を調べる必要があります。

Microsoft Outlookの脅威への露出度を調べるには、[Security Insight]ダッシュボードで、[Outlook]をクリックします。アプリケーション概要に、サーバーの位置情報を特定する地図が含まれています。

アプリケーションの暴露

[Threat Index]>[Security Check Violations]をクリックして、表示される違反情報を確認します。

セキュリティチェック違反

[ 署名 ] [違反] をクリックし、表示される違反情報を確認します。

署名違反

アプリケーションの既存のセキュリティ構成と欠落しているセキュリティ構成を判別する

アプリケーションの脅威への露出度を確認したら、そのアプリケーションに設定されているセキュリティ構成と欠落しているセキュリティ構成を確認します。この情報は、アプリケーションの安全性指数概要にドリルダウンすると表示されます。

安全性指数概要には、次のセキュリティ構成の有効性に関する情報が表示されます。

  • アプリケーションファイアウォール構成。構成されていないシグネチャおよびセキュリティエンティティの数を表示します。
  • NetScalerシステムセキュリティ。構成されていないシステムセキュリティ設定の数を表示します。

セキュリティ構成

前出のユースケースでは、Microsoft Outlookの脅威への露出度(脅威指数値は6)について調査しました。次に、Outlookに設定されているセキュリティ構成と、どのような構成を追加すれば脅威指数を改善できるのかを調べる必要があります。

[Security Insight]ダッシュボードで、[Outlook]をクリックし、[Safety Index]タブをクリックします。[Safety Index Summary]領域に表示された情報を確認します。

インデックスサマリー

[ アプリケーションファイアウォールの構成 ] ノードで、[ Outlook_Profile ] をクリックし、セキュリティチェックと署名違反の情報を円グラフで確認します。

Outlook プロファイル

構成チャート

アプリケーションファイアウォール概要表で各保護タイプの構成ステータスを確認します。特定の列で表を並べ替えるには、列見出しをクリックします。

構成ステータス

[NetScaler System Security]ノードをクリックして、システムセキュリティ設定とCitrixの推奨事項を確認し、アプリケーションの安全性指数を改善します。

即時の対応が必要なアプリケーションを特定

直ちに対処する必要があるアプリケーションとは、脅威指数が高く安全性指数が低いアプリケーションです。

この例では、Microsoft OutlookとMicrosoft Lyncが高い脅威指数値(6)を示していますが、安全性指数はLyncのほうが低くなっています。したがって、最初にLyncに注意を払い、その後でOutlookの脅威環境を改善します。

Attention

特定の時間内の攻撃数を決定する

特定のアプリケーションで特定の時間帯に発生した攻撃の数や、指定した期間の攻撃発生率を調べてみます。

Security Insight ページで任意のアプリケーションをクリックし、[ アプリケーションの概要] で違反の数をクリックします。違反合計ページには、1時間、1日、1週間および1ヶ月の攻撃がグラフィカルに表示されます。

セキュリティに関する洞察

[アプリケーションの概要] テーブルには、攻撃の詳細が表示されます。それらのいくつかは以下のとおりです。

  • アタックタイム

  • 攻撃が発生したクライアントのIPアドレス

  • 重要度

  • 違反のカテゴリー

  • 攻撃の発信元の URL、およびその他の詳細。

セキュリティインサイト1

攻撃時間は、画像のように時間ごとのレポートでいつでも表示できますが、日次レポートや週次レポートでも、集計レポートの攻撃時間範囲を表示できるようになりました。期間リストから「1 日」を選択すると、セキュリティインサイトレポートには、集計されたすべての攻撃が表示され、攻撃時間が 1 時間の範囲で表示されます。「1週間」または「1ヶ月」を選択すると、すべての攻撃が集計され、攻撃時間が1日の範囲で表示されます。

セキュリティインサイト2

セキュリティ侵害に関する詳細情報の取得

アプリケーションに対する攻撃のリストを表示して、攻撃の種類と重大度、Citrix ADC インスタンスが実行したアクション、要求されたリソース、および攻撃の原因に関する洞察を得たい場合があります。

たとえば、Microsoft Lyncに対する攻撃がブロックされた数、要求されたリソース、発信元のIPアドレスを調べます。

[ Security Insight] ダッシュボードで、[ Lync] > [違反総数] をクリックします。表の[Action Taken]列の見出しにあるフィルターアイコンをクリックし、[Blocked]を選択します。

セキュリティ侵害

要求されたリソースについて詳しくは、[ URL ] 列を参照してください。攻撃の発信元に関する情報を知りたい場合は、[Client IP]列を確認します。

ログ式の詳細を表示する

Citrix ADC インスタンスは、アプリケーションファイアウォールプロファイルで構成されたログ式を使用して、企業内のアプリケーションに対する攻撃に対してアクションを実行します。セキュリティインサイトでは、Citrix ADC インスタンスで使用されるログ式に対して返された値を表示できます。これらの値には、リクエストヘッダー、リクエストボディなどが含まれます。ログ式の値とは別に、Citrix ADC インスタンスが攻撃に対するアクションを実行するために使用したアプリケーションファイアウォールプロファイルに定義されているログ式の名前とコメントを表示することもできます。

前提条件

次のことを確実にします。

  • アプリケーションファイアウォールプロファイルでログ式を設定します。詳しくは、「アプリケーションファイアウォール」を参照してください。

  • Citrix ADM でログ式ベースのセキュリティインサイト設定を有効にします。以下を実行します:

    1. [ アナリティクス] > [設定] に移動し、[ アナリティクスの機能を有効にする] をクリックします。

    2. [Analytics の機能を有効にする] ページで、[ ログ式ベースのSecurity Insight設定] セクションの [Security Insightを有効にする ] を選択し、[ OK] をクリックします。

    ログ式

たとえば、企業内のMicrosoft Lyncに対する攻撃に対して実行したアクションについて、NetScaler ADC インスタンスによって返されるログ式の値を表示できます。

セキュリティインサイトダッシュボードで、[ Lync] > [違反総数] に移動します。[ アプリケーションの概要]表でURLをクリックすると、[違反 情報 ]ページで違反の完全な詳細が表示されます。ログ式名、コメント、およびNetScaler ADC インスタンスがアクションに対して返す値が含まれます。

ログ値

Web アプリケーションファイアウォール (WAF) の違反パターンを強調表示

HTTP ヘッダーや HTTP ペイロードなどの攻撃の詳細を取得して、攻撃をトラブルシューティングまたは分析できるようになりました。攻撃の詳細を取得するには、次のコマンドを使用して、アプリケーションファイアウォールプロファイルの「VerbosELogLevel」を更新する必要があります。

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern -違反パターンのみが記録されます

  • patternPayload -違反パターン+攻撃パターンの前のフィールド要素値の150バイトが記録される

  • patternPayloadHdr -違反パターン + 攻撃パターン前のフィールド要素値 150 バイト + HTTP リクエストヘッダーが記録される

「VerboseLogLevel」構成に基づいて、NetScaler ADM は詳細なログ式レコードを表示します。

以下の画像は、GET リクエストの攻撃パターンを強調した例です。

Detailed-log-expression

次の画像は、POST リクエストの攻撃パターンを強調した例です。

Detailed-log-expression-post

次の 2 つの例では、

  • FIELDNAMEは、攻撃パターンに対応するフィールド名を指します。

  • PAYLOAD_OFFSETは、実際のペイロードのアタックオフセットを指します 。

  • ATTACK_PATTERN は攻撃パターンを強調表示し、値に 150 バイトのプレフィクスペイロードを含めます。

NetScaler ADCで詳細ログレベルを構成する方法について詳しくは、「 Webアプリケーションファイアウォールログによるトラブルシューティングのしやすさ」を参照してください。

構成を展開する前に安全指数を決定する

セキュリティ侵害は、NetScaler ADC インスタンスにセキュリティ構成を展開した後に発生しますが、展開する前にセキュリティ構成の有効性を評価することをお勧めします。

たとえば、IPアドレスが10.102.60.27のCitrix ADCインスタンス上のSAPアプリケーションの構成の安全性指数を評価したい場合があります。

セキュリティインサイトダッシュボードの デバイス**」で、構成したCitrix ADC インスタンスのIPアドレスをクリックします。脅威指数と攻撃総数はどちらも0になっています。脅威指数には、アプリケーションに対する攻撃の数と種類が直接反映されます。攻撃回数がゼロということは、アプリケーションがまったく脅威にさらされていないことを示しています。

構成を展開する

[Sap]>[Safety Index]>[SAP_Profile]の順に選択して、表示される安全性指数情報を評価します。

SAP

アプリケーションファイアウォールの概要では、さまざまな保護設定の構成ステータスを確認できます。ログを記録する設定になっている場合や、構成されていない設定がある場合は、アプリケーションに割り当てられる安全性指数は低くなります。

ファイアウォールの概要

Security Insight