Registros de Web App Firewall

Web App Firewall genera mensajes de registro para realizar un seguimiento de la configuración, la invocación de directivas y los detalles de infracción de la comprobación de seguridad

Cuando habilita la acción de registro para las comprobaciones de seguridad o las firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que Web App Firewall ha observado al proteger sus sitios web y aplicaciones. La información más importante es la acción que realiza Web App Firewall cuando se observa una infracción de firma o de comprobación de seguridad. Para algunas comprobaciones de seguridad, el mensaje de registro puede proporcionar información útil, como la ubicación del usuario o el patrón detectado que desencadenó una infracción. Un aumento excesivo en la cantidad de mensajes de infracción en los registros puede indicar un aumento en las solicitudes maliciosas. El mensaje le avisa de que su aplicación podría estar siendo atacada para aprovechar una vulnerabilidad específica que las protecciones de Web App Firewall detectan y frustran.

Nota:

El registro de Citrix Web App Firewall debe utilizarse únicamente con servidores SYSLOG externos.

Registros de formato Citrix ADC (nativo)

Web App Firewall utiliza los registros de formato de Citrix ADC (también denominados registros de formato nativo) de forma predeterminada. Estos registros tienen el mismo formato que los generados por otras funciones de Citrix ADC. Cada registro contiene los campos siguientes:

• Marca de tiempo. Fecha y hora en que se produjo la conexión.
• Gravedad. Nivel de gravedad del registro.
• Módulo. Módulo Citrix ADC que generó la entrada de registro.
• Tipo de evento. Tipo de suceso, como infracción de firma o de comprobación de seguridad.
• ID de evento. ID asignado al evento.
• IP del cliente. Dirección IP del usuario cuya conexión se ha registrado.
• ID de transacción. ID asignado a la transacción que ha provocado el registro.
• ID de sesión. ID asignado a la sesión de usuario que ha provocado el registro.
• Mensaje. El mensaje de registro. Contiene información que identifica la firma o la comprobación de seguridad que ha desencadenado la entrada del registro.

Puede buscar cualquiera de estos campos o cualquier combinación de información de distintos campos. Su selección está limitada únicamente por las capacidades de las herramientas que utiliza para ver los registros. Puede observar los mensajes de registro de Web App Firewall en la GUI accediendo al visor de syslog de Citrix ADC, o puede conectarse manualmente al dispositivo Citrix ADC y acceder a los registros desde la interfaz de línea de comandos, o puede colocar en el shell y seguir los registros directamente desde/var/log/folder.

Ejemplo de mensaje de registro en formato nativo

Jun 22 19:14:37  10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 : default APPFW APPFW_cross-site scripting 60 0 : 10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000 pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd= 12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid= AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo %3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for field text_area="Bad tag: script"  

Registros de formato de eventos comunes (CEF)

Web应用程序防火墙也admite registros欧共体语言教学大纲。欧共体语言教学大纲的es un estándar de administración de registros abiertos que mejora la interoperabilidad de la información relacionada con la seguridad de diferentes dispositivos y aplicaciones de seguridad y red. CEF permite a los clientes utilizar un formato de registro de eventos común para que un sistema de gestión empresarial recopile y agregue datos fácilmente para su análisis. El mensaje de registro se divide en diferentes campos para que pueda analizar fácilmente el mensaje y escribir scripts para identificar información importante.

Análisis del mensaje de registro CEF

Además de la fecha, la marca de tiempo, la IP del cliente, el formato de registro, el dispositivo, la empresa, la versión de compilación, el módulo y la información de comprobación de seguridad, los mensajes de registro CEF de Web App Firewall incluyen los siguientes detalles:

• src — dirección IP de origen
• spt — número de puerto de origen
• request — URL de solicitud
• act — acción (por ejemplo, bloqueada, transformada)
• msg — mensaje relativo a la infracción de comprobación de seguridad observada
• cn1 — ID de evento
• cn2 — ID de transacción HTTP
• cs1 — nombre del perfil
• cs2 — ID de PPE (por ejemplo, PPE1)
• cs3 - ID de sesión
• cs4 — Gravedad (por ejemplo, INFO, ALERT)
• cs5 — año del evento
• cs6 - Categoría de infracción de firma
• method — Método (por ejemplo, GET/POST)

Por ejemplo, considere el siguiente mensaje de registro de formato CEF, que se generó cuando se desencadenó una infracción de URL de inicio:

Jun 12 23:37:17  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0 |APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340 cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015 act=blocked 

El mensaje anterior se puede dividir en diferentes componentes. Consulte la tabla decomponentes del registro CEP.

Ejemplo de una infracción de comprobación de solicitud en formato de registro CEF: La solicitud no está bloqueada

Jun 13 00:21:28  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request= http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd= 123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid =AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a 7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174 0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401 cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act= not blocked 

Ejemplo de infracción de comprobación de respuestas en formato CEF: la respuesta se transforma

Jun 13 00:25:31  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request= http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed 

Ejemplo de infracción de firma del lado de la solicitud en formato CEF: la solicitud está bloqueada

Jun 13 01:11:09  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked 

Registrar la geolocalización en los mensajes de infracción de Web App Firewall

Los detalles del registro identifican la ubicación desde la que se originan las solicitudes y lo ayudan a configurar Web App Firewall para obtener el nivel de seguridad óptimo. Para evitar implementaciones de seguridad como la limitación de velocidad, que dependen de las direcciones IP de los clientes, el malware o los equipos no fiables pueden seguir cambiando la dirección IP de origen en las solicitudes. Identificar la región específica de la que provienen las solicitudes puede ayudar a determinar si las solicitudes provienen de un usuario válido o de un dispositivo que intenta lanzar ciberataques. Por ejemplo, si se recibe un número excesivamente elevado de solicitudes de un área específica, es fácil determinar si los usuarios o una máquina no autorizada las envían. El análisis de geolocalización del tráfico recibido puede ser útil para desviar ataques como los ataques de denegación de servicio (DoS).

Web App Firewall le ofrece la comodidad de utilizar la base de datos integrada de Citrix ADC para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes malintencionadas. A continuación, puede aplicar un mayor nivel de seguridad para las solicitudes de esas ubicaciones. Las expresiones de sintaxis (PI) predeterminadas de Citrix le brindan la flexibilidad de configurar directivas basadas en la ubicación que se pueden usar con la base de datos de ubicaciones integrada para personalizar la protección del firewall, lo que refuerza su defensa contra los ataques coordinados lanzados desde clientes no autorizados en una región específica.

Puede utilizar la base de datos integrada de Citrix ADC o cualquier otra base de datos. Si la base de datos no tiene ninguna información de ubicación para la dirección IP del cliente en particular, el registro CEF muestra la geolocalización como una geolocalización desconocida.

Nota:

El registro de geolocalización utiliza el formato de eventos comunes (CEF). De forma predeterminada,欧共体语言教学大纲的loggingyGeoLocationLoggingestán DESACTIVADOS. Debe habilitar explícitamente ambos parámetros.

Ejemplo de mensaje de registro CEF que muestra información de geolocalización

June 8 00:21:09  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\* spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1 cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked 

Ejemplo de mensaje de registro que muestra geolocation= Unknown

June 9 23:50:53  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0| APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086 method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002 cs4=ALERT cs5=2015 act=not blocked 

Configurar la acción de registro y otros parámetros de registro mediante la interfaz de comandos

Para configurar la acción de registro para una comprobación de seguridad de un perfil mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

• set appfw profile SecurityCheckAction ([log] | [none])
• unset appfw profile SecurityCheckAction

Ejemplos

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

Para configurar el registro CEF mediante la línea de comandos

El registro CEF está inhabilitado de forma predeterminada. En el símbolo del sistema, escriba uno de los comandos siguientes para cambiar o mostrar la configuración actual:

• set appfw settings CEFLogging on
• unset appfw settings CEFLogging
• sh appfw settings | grep CEFLogging

Para configurar el registro de los números de tarjetas de crédito mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

• set appfw profile -doSecureCreditCardLogging ([ON] | [OFF])
• unset appfw profile -doSecureCreditCardLogging

Para configurar el registro de geolocalización mediante la línea de comandos

1. Utilice el comando set para habilitar GeoLocationLogging. Puede habilitar el registro CEF al mismo tiempo. Utilice el comando unset para inhabilitar el registro de geolocalización. El comando show muestra la configuración actual de todos los parámetros de Web App Firewall, a menos que incluya el comando grep para mostrar la configuración de un parámetro específico.

   • set appfw settings GeoLocationLogging ON [CEFLogging ON]
   • unset appfw settings GeoLocationLogging
   • sh appfw settings | grep GeoLocationLogging

2. Especificar la base de datos

   add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

   O bien:

   add locationfile

Personalizar registros de Web App Firewall

Las expresiones de formato predeterminado (PI) le dan la flexibilidad de personalizar la información incluida en los registros. Tiene la opción de incluir los datos específicos que quiere capturar en los mensajes de registro generados por Web App Firewall. Por ejemplo, si está usando la autenticación AAA-TM junto con las comprobaciones de seguridad de Web App Firewall y quiere saber la dirección URL a la que se ha accedido que desencadenó la infracción de comprobación de seguridad, el nombre del usuario que solicitó la dirección URL, la dirección IP de origen y el puerto de origen desde el que el usuario envió la solicitud, debe puede utilizar los siguientes comandos para especificar mensajes de registro personalizados que incluyan todos los datos:

> sh version NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08 (64-bit) Done 

> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT' Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead. Done 

> add appfw profile test_profile Done 

> add appfw policy appfw_pol true test_profile -logAction custom1 Done 

Configurar la directiva Syslog对位segregar洛杉矶registros de Web App Firewall

Web App Firewall le ofrece la opción de aislar y redirigir los mensajes de registro de seguridad de Web App Firewall a otro archivo de registros. Esto puede resultar deseable si Web App Firewall genera muchos registros, lo que dificulta la visualización de otros mensajes de registro de Citrix ADC. También puede utilizar esta opción si solo le interesa ver los mensajes de registro de Web App Firewall y no quiere ver los demás mensajes de registro.

Para redirigir los registros de Web App Firewall a un archivo de registros diferente, configure una acción syslog para enviar los registros de Web App Firewall a una instalación de registro diferente. Puede utilizar esta acción al configurar la directiva syslog y vincularla globalmente para que la use Web App Firewall.

Ejemplo:

1. Cambie al shell y utilice un editor como vi para modificar el archivo /etc/syslog.conf. Agregue una nueva entrada para utilizar local2.* para enviar registros a un archivo independiente, como se muestra en el siguiente ejemplo:

   local2.\* /var/log/ns.log.appfw

2. Reinicie el proceso syslog. Puede utilizar el comando grep para identificar el ID del proceso syslog (PID), como se muestra en el siguiente ejemplo:

   root@ns\# **ps -A | grep syslog**

   1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

   root@ns# **kill -HUP** 1063

3. Desde la interfaz de línea de comandos, configure la directiva SYSLOG avanzada o clásica con la acción y enlácela como una directiva global de Web App Firewall. Citrix recomienda configurar la directiva SYSLOG avanzada.

   Configuración de directivas SYSLOG avanzada

   add audit syslogAction sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2

   add audit syslogPolicy syspol1 true sysact1

   bind audit syslogGlobal -policyName syspol1 -priority 100 -globalBindType APPFW_GLOBAL

   Configuración de directivas SYSLOG clásica

   add audit syslogAction sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2

   add audit syslogPolicy syspol1 true sysact1

   bind audit syslogGlobal -policyName syspol1 -priority 100 -globalBindType APPFW_GLOBAL

4. 所有的infracciones de las comprobaciones de seguridad de Web App Firewall ahora se redirigirán al archivo/var/log/ns.log.appfw. Puede seguir este archivo para ver las infracciones de Web App Firewall que se desencadenan durante el procesamiento del tráfico en curso.

   root@ns# tail -f ns.log.appfw

Advertencia: Si公顷configurado directiva syslogpara redirigir los registros a un recurso de registro diferente, los mensajes de registro de Web App Firewall ya no aparecerán en el archivo/var/log/ns.log.

Nota:

Si desea enviar registros a un archivo de registro diferente en el dispositivo Citrix ADC local, puede crear un servidor syslog en ese dispositivo Citrix ADC local. Agreguesyslogactiona su propia IP y configure el ADC como configuraría un servidor externo. El ADC actúa como servidor para almacenar los registros. No se pueden agregar dos acciones con la misma IP y puerto. Ensyslogaction, de forma predeterminada, el valor de IP se establece en127.0.0.1y el valor de port se establece en514.

Ver registros de Web App Firewall

Puede ver los registros mediante el visor de syslog o iniciando sesión en el dispositivo Citrix ADC, abriendo un shell de UNIX y mediante el editor de texto de UNIX de su elección.

Para acceder a los mensajes de registro mediante la línea de comandos

Cambie al shell y siga los ns.logs en la carpeta/var/log/para acceder a los mensajes de registro relacionados con las infracciones de comprobación deseguridad de Web App Firewall:

• Shell
• tail -f /var/log/ns.log

Puede utilizar el editor vi, o cualquier editor de texto Unix o herramienta de búsqueda de texto, para ver y filtrar los registros de entradas específicas. Por ejemplo, puede usar el comandogreppara acceder a los mensajes de registro relacionados con las infracciones de tarjeta de crédito:

• tail -f /var/log/ns.log | grep SAFECOMMERCE

Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario

La GUI de Citrix incluye una herramienta útil (Syslog Viewer) para analizar los mensajes de registro. Tiene varias opciones para acceder al Visor de Syslog:

• Para ver los mensajes de registro de una comprobación de seguridad específica de un perfil, vaya aWeb App Firewall>Perfiles混合,seleccione el perfil de又是y clic en Comprobaciones de seguridad. Resalte la fila de la comprobación de seguridad de destino y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de seguridad seleccionada del perfil, filtra los mensajes de registro y muestra solo los registros relativos a las infracciones de la comprobación de seguridad seleccionada. El visor de syslog puede mostrar registros de Web App Firewall en formato nativo y en formato CEF. Sin embargo, para que el visor de syslog filtre los mensajes de registro específicos del perfil de destino, los registros deben estar en el formato de registro CEF cuando se accede desde el perfil.
• También puede acceder al Visor de Syslog navegando aCitrix ADC>Sistema>Auditoría. En la sección Mensajes de auditoría, haga clic en el enlace Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad de Web App Firewall para todos los perfiles. Los mensajes de registro son útiles para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de la solicitud.
• Vaya aWeb App Firewall>directivas>Auditoría. En la sección Mensajes de auditoría, haga clic en el enlace Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad para todos los perfiles.

Syslog Viewer basado en HTML proporciona las siguientes opciones de filtro para seleccionar solo los mensajes de registro que le interesan:

• Archivo: El archivo/var/log/ns.logactual se selecciona de forma predeterminada y los mensajes correspondientes aparecen en el Visor de Syslog. Una lista de otros archivos de registros en el directorio /var/log está disponible en formato comprimido .gz. Para descargar y descomprimir un archivo de registros archivado, seleccione el archivo de registros en la opción de la lista desplegable. Los mensajes de registro correspondientes al archivo seleccionado se muestran en el visor de syslog. Para actualizar la pantalla, haga clic en el icono Actualizar (un círculo de dos flechas).

• Cuadro de lista de módulos: puede seleccionar el módulo Citrix ADC cuyos registros quiere ver. Puede configurarlo en APPFW para los registros de Web App Firewall.

• Cuadro de lista Tipo de evento: este cuadro contiene un conjunto de casillas de verificación para seleccionar el tipo de evento que le interesa. Por ejemplo, para ver los mensajes de registro relativos a las infracciones de firma, puede seleccionar la casillaAPPFW_SIGNATURE_MATCH. Del mismo modo, puede seleccionar una casilla de verificación para habilitar la comprobación de seguridad específica que le interese. Puede seleccionar varias opciones.

• Gravedad: puede seleccionar un nivel de gravedad específico para mostrar solo los registros de ese nivel de gravedad. Deje todas las casillas de verificación en blanco si quiere ver todos los registros.

  Para acceder a los mensajes de registro de infracciones de la comprobación de seguridad de Web App Firewall para una comprobación de seguridad específica, filtre seleccionandoAPPFWen las opciones de la lista desplegable para el módulo. El tipo de evento muestra un amplio conjunto de opciones para refinar aún más la selección. Por ejemplo, si selecciona la casillaAPPFW_FIELDFORMATy hace clic en el botón Aplicar, en Syslog Viewer solo aparecerán los mensajes de registro relacionados con las infracciones de comprobación de seguridad de formatos de campo. Del mismo modo, si selecciona las casillas de verificaciónAPPFW_SQLy APPFW_STARTURLy hace clic en el botónAplicar, solo los mensajes de registro relacionados con estas dos infracciones de comprobación de seguridad aparecerán en el visor de syslog.

Si coloca el cursor en la fila de un mensaje de registro específico, se muestran varias opciones, comoModule,EventType,EventIDoMessagedebajo del mensaje de registro. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en los registros.

Resumen

• Compatibilidad con el formato de registro欧共体语言教学大纲的: la opción de formato de registro CEF proporciona una opción conveniente para supervisar, analizar y analizar los mensajes de registro de Web App Firewall para identificar ataques, ajustar la configuración con precisión para reducir los falsos positivos y recopilar estadísticas.
• Opción para personalizar el mensaje de registro: puede utilizar expresiones PI avanzadas para personalizar los mensajes de registro e incluir los datos que quiere ver en los registros.
• Segregar registros específicos de Web App Firewall: tiene la opción de filtrar y redirigir los registros específicos del firewall de aplicaciones a un archivo de registros independiente.
• Registro remoto: puede redirigir los mensajes de registro a un servidor syslog remoto.
• Registro de geolocalización: puede configurar Web App Firewall para incluir la geolocalización del área desde la que se recibe la solicitud. Hay disponible una base de datos de geolocalización integrada, pero tiene la opción de utilizar una base de datos de geolocalización externa. El dispositivo Citrix ADC admite bases de datos de geolocalización estática IPv4 e IPv6.
• Mensaje de registro rico en información: a continuación se muestran algunos ejemplos del tipo de información que se puede incluir en los registros, según la configuración:
  • Se activó una directiva de Web App Firewall.
  • Se ha desencadenado una infracción de la comprobación de seguridad.
  • Se consideró que una solicitud estaba mal formada.
  • Se ha bloqueado o no se ha bloqueado una solicitud o una respuesta.
  • Se han transformado los datos de solicitud (como caracteres especiales de scripts SQL o de scripts de sitios) o datos de respuesta (como números de tarjetas de crédito o cadenas de objetos seguros).
  • El número de tarjetas de crédito de la respuesta superó el límite configurado.
  • Número y tipo de tarjeta de crédito.
  • Las cadenas de registro configuradas en las reglas de firma y el ID de firma.
  • Información de geolocalización sobre el origen de la solicitud.
  • Entrada de usuario enmascarada (eliminada) para campos confidenciales protegidos.

Enmascarar datos confidenciales mediante un patrón de expresiones

La función de directiva avanzadaREGEX_REPLACE(PI) en una expresión de registro (vinculada a un perfil de firewall de aplicaciones web (WAF)) le permite enmascarar datos confidenciales en registros WAF. Puede utilizar la opción para enmascarar los datos mediante un patrón de expresiones regulares y proporcionar un carácter o un patrón de cadena para enmascarar los datos. Además, puede configurar la función PI para reemplazar la primera aparición o todas las apariciones del patrón de expresiones regulares.

De forma predeterminada, la interfaz GUI de Citrix proporciona la siguiente máscara:

• SSN
• Tarjeta de crédito
• Contraseña
• Nombre de usuario

Enmascarar datos confidenciales en los registros de firewall de aplicaciones web

Puede enmascarar datos confidenciales en registros WAF configurando la expresión de directiva avanzadaREGEX_REPLACEen la表达式的值de registro enlazada联合国perfil WAF. Para enmascarar datos confidenciales, debe completar los siguientes pasos:

1. Agregar un perfil de Firewall de aplicaciones web
2. Enlazar una expresión de registro al perfil WAF

Agregar un perfil de Firewall de aplicaciones web

En el símbolo del sistema, escriba:

add appfw profile

Ejemplo:

Add appfw profile testprofile1

Enlazar una expresión de registro con el perfil de Web Application Firewall

En el símbolo del sistema, escriba:

bind appfw profile -logExpression –comment

Ejemplo:

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Enmascarar datos confidenciales en los registros de Web Application Firewall mediante la GUI de Citrix ADC

1. En el panel de navegación, expandaSeguridad>Citrix Web App Firewall>Perfiles.
2. En la páginaPerfiles, haga clic enModificar.

3. En la páginaPerfil de Citrix Web App Firewall, vaya a la secciónConfiguración avanzaday haga clic enRegistro extendido.

   

4. En la secciónRegistro extendido, haga clic enAgregar.

   

5. En la páginaCrear enlace de registro extendido de Citrix Web App Firewall, defina los siguientes parámetros:

   1. Nombre. Nombre de la expresión de registro.
   2. Habilitada. Seleccione esta opción para enmascarar los datos confidenciales.
   3. Máscara de troncos. Seleccione los datos que se van a enmascarar.
   4. 表达式的值。Introduzca de directiva av表达式的值anzada que le permite enmascarar datos confidenciales en los registros WAF
   5. Comentarios. Breve descripción del enmascaramiento de datos confidenciales.

6. Haga clic enCrearycerrar.