Coletar registros do Citrix NetScaler

Este documento explica como ingerir registros do Citrix NetScaler no Google Security Operations usando o Bindplane.

O analisador extrai campos do syslog do Citrix NetScaler e registros formatados em chave-valor. Ele usa grok e/ou kv para analisar a mensagem de registro e mapeia esses valores para o modelo de dados unificado (UDM). Ele também define valores de metadados padrão para a origem e o tipo do evento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Windows Server 2016 ou mais recente ou host Linux com systemd
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
• Acesso privilegiado à interface da Web do Citrix NetScaler

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o prompt de comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. Aguarde a conclusão da instalação.

4. Execute o seguinte comando para confirmar a instalação:

   sc query observiq-otel-collector
   

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. Aguarde a conclusão da instalação.

4. Execute o seguinte comando para confirmar a instalação:

   sudo systemctl status observiq-otel-collector
   

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

• Linux:

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows:

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

Editar o arquivo de configuração

• Substitua todo o conteúdo de config.yaml pela seguinte configuração:

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: 'YOUR_CUSTOMER_ID'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: 'CITRIX_NETSCALER'
          raw_log_field: body
          ingestion_labels:
  
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - udplog
              exporters:
                  - chronicle/chronicle_w_labels
  

Parâmetros de configuração

• Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • udplog: use udplog para syslog UDP ou tcplog para syslog TCP.
    • 0.0.0.0: endereço IP para escutar (0.0.0.0 para escutar em todas as interfaces)
    • 514: número da porta a ser detectada (porta syslog padrão).

  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte a lista completa em Endpoints regionais.
    • log_type: tipo de registro exatamente como aparece no Chronicle (CITRIX_NETSCALER)

Salve o arquivo de configuração.

• Depois de editar, salve o arquivo:
  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart observiq-otel-collector
  

  1. Verifique se o serviço está em execução:

       sudo systemctl status observiq-otel-collector
     

  2. Verifique se há erros nos registros:

       sudo journalctl -u observiq-otel-collector -f
     

• Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

  • Prompt de comando ou PowerShell como administrador:

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • Console de serviços:

    1. Pressione Win+R, digite services.msc e pressione Enter.
    2. Localize o Coletor do OpenTelemetry da observIQ.

    3. Clique com o botão direito do mouse e selecione Reiniciar.

    4. Verifique se o serviço está em execução:

       sc query observiq-otel-collector
       

    5. Verifique se há erros nos registros:

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Configurar o encaminhamento de syslog no Citrix NetScaler

1. Faça login na interface da Web do Citrix NetScaler (NSIP).
2. Acesse Sistema > Auditoria > Syslog.
3. Clique na guia Servidores.
4. Clique em Adicionar para criar um novo servidor syslog.
5. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo, por exemplo, Google-SecOps-Bindplane.
   • IP do servidor: insira o endereço IP do host do agente do Bindplane.
   • Porta: insira 514.
   • Nível de registro: selecione todos os níveis aplicáveis:
     • ALL (recomendado para geração de registros abrangente)
   • Instalação: selecione LOCAL0 (ou a instalação de sua preferência).
   • Formato da data: selecione MMDDYYYY.
   • Fuso horário: selecione GMT_TIME (UTC recomendado).
   • Registro em log de TCP: selecione NENHUM (para UDP).
   • Facilidade de registro: selecione LOCAL0.
6. Clique em Criar.
7. Acesse a guia Políticas.
8. Clique em Adicionar para criar uma política de auditoria do syslog.
9. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo, por exemplo, Google-SecOps-Policy.
   • Servidor: selecione o servidor syslog criado anteriormente.
10. Clique em Criar.
11. Vincule a política globalmente:
    1. Acesse Sistema > Auditoria.
    2. Clique em Associações globais em Políticas de auditoria do Syslog.
    3. Clique em Adicionar vinculação.
    4. Selecione a política criada anteriormente.
    5. Clique em Bind.
12. Verifique se as mensagens syslog estão sendo enviadas conferindo os registros do agente Bindplane.

Como alternativa, configure pela CLI:

```none
add audit syslogAction Google-SecOps-Bindplane BINDPLANE_IP -serverPort 514 -logLevel ALL -dateFormat MMDDYYYY -timeZone GMT_TIME
add audit syslogPolicy Google-SecOps-Policy ns_true Google-SecOps-Bindplane
bind audit syslogGlobal -policyName Google-SecOps-Policy -priority 100
```

• Substitua BINDPLANE_IP pelo endereço IP do host do agente do Bindplane.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.