Integración con Splunk

Ahora puede integrar Citrix ADM con Splunk para ver los análisis de las infracciones basadas en WAF, bots y comportamientos en su panel de control de Splunk. El complemento Splunk le permite:

• Combine todas las demás fuentes de datos externas.

• Proporcione una mayor visibilidad de los análisis en un lugar centralizado.

Citrix ADM recopila eventos basados en bots, WAF y comportamientos y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, con los datos compatibles con CIM, puede ver las infracciones basadas en el WAF, el bot y el comportamiento en el panel de Splunk.

Requisitos previos

Para la integración con Splunk, debe:

• Configurar la configuración global

• Configure el punto final del recopilador de eventos HTTP en Splunk

• Instale el complemento del modelo de información común (CIM) de Splunk

• Instale el normalizador CIM de Citrix

• Agregue los detalles del recopilador HTTP y del token de Splunk

Configurar la configuración global

1. Inicia sesión en Splunk.

2. Vaya aConfiguración > Entradas de datos > Recopilador de eventos HTTP. Aparece la páginadel recopilador de eventos HTTP.

3. Haga clic enConfiguración global.

   

4. Especifique los siguientes parámetros y haga clic enGuardar.

   

   Nota

   De forma predeterminada, el número de puerto HTTP indica el puerto predeterminado. Si tiene cualquier otro número de puerto preferido, puede especificar el número de puerto requerido.

Configure el punto final del recopilador de eventos HTTP en Splunk

1. Inicia sesión en Splunk.

2. Vaya aConfiguración > Entradas de datos > Recopilador de eventos HTTP. Aparece la páginadel recopilador de eventos HTTP.

3. Haga clic enNuevo token.

   

4. Especifique lo siguiente:

   1. Nombre: especifique un nombre de su elección.

   2. Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.

   3. Descripción (opcional): especifique una descripción.

   4. Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.

   5. Habilitar el reconocimiento del indexador: de forma predeterminada, esta opción no está seleccionada.

      

   6. Haga clic enSiguiente

   7. En la páginaConfiguración de entrada, especifique eltipo de fuente, elcontexto de la aplicación, elíndicey, después, haga clic enRevisar.

   8. Compruebe si todo lo que ha especificado es correcto y, a continuación, haga clic enEnviar. Se genera un token. Debe usar este token cuando agregue detalles en Citrix ADM.

      

Instale el modelo de información común de Splunk

En Splunk, debe instalar el CIM de Splunk para asegurarse de que los datos se rellenen en el panel de control.

1. Inicia sesión en Splunk.

2. Vaya aAplicaciones > Buscar más aplicaciones.

   

3. EscribaCIMen la barra de búsqueda y pulseEntrarpara obtener el complemento delmodelo de información común (CIM) de Splunky haga clic enInstalar.

   

Instale el normalizador CIM de Citrix

Después de instalar el CIM de Splunk, debe instalar el normalizador CIM de Citrix para transformar los eventos en el CIM de Splunk.

1. Inicie sesión en la página de descargas de Citrix y descargue elcomplemento CIM de Citrix para Splunk.

2. En el portal de Splunk, vaya aAplicaciones > Administrar aplicaciones.

   

3. Haga clic enInstalar aplicación desde un archivo.

   

4. Cargue el archivo.splo.tgzy haga clic enCargar.

   

   Recibirá un mensaje de notificación en la páginaAplicacionesque indica que el complemento está instalado.

Agregue los detalles del recopilador HTTP y del token de Splunk

Después de generar un token, debe agregar detalles en Citrix ADM para integrarlo con Splunk.

1. Inicie sesión en Citrix ADM.

2. Vaya aConfiguración > Integración de ecosistemas.

3. En la páginaSuscripciones, haga clic enAgregar.

4. En la fichaSeleccionar funciones para suscribirse, puede seleccionar las funciones que quiere exportar y hacer clic enSiguiente.

   • Exportación en tiempo real: las infracciones seleccionadas se exportan inmediatamente a Splunk.

   • Exportación periódica: las infracciones seleccionadas se exportan a Splunk en función de la duración que seleccione.

     

5. En la fichaEspecificar la configuración de exportación:

   1. Tipo de punto final: seleccioneSplunken la lista.

   2. Punto final: especifique los detalles del punto final de Splunk. El punto final debe estar en el formatohttps://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.

      Nota

      Se recomienda utilizar HTTPS por motivos de seguridad.

      • SPLUNK_PUBLIC_IP: una dirección IP válida configurada para Splunk.

      • SPLUNK_HEC_PORT: indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.

      • Servicios/coleccionador/evento: indica la ruta de la aplicación HEC.

   3. Token de autenticación: copie y pegue el token de autenticación de la página de Splunk.

   4. Haga clic enSiguiente.

      

6. En la página desuscripción:

   1. Frecuencia de exportación: seleccione Diaria o Cada hora de la lista. Según la selección, Citrix ADM exporta los detalles a Splunk.

      Nota

      Aplicable solo si ha seleccionado infracciones en laexportación periódica.

   2. Nombre de la suscripción: especifique un nombre de su elección.

   3. Seleccione la casillaActivar notificaciones.

   4. Haga clic enSubmit.

      

      Nota

      • Cuando se configura con la opción deexportación periódicapor primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente. La siguiente frecuencia de exportación se realizará en función de su selección (diaria u horaria).

      • Cuando se configura con la opciónRealtime Exportpor primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente tan pronto como se detectan las infracciones en Citrix ADM.

Verifique los detalles en Splunk

Después de agregar detalles en Citrix ADM, puede verificar si Splunk recibe los eventos.

1. En la página de inicio de Splunk, haga clic enBuscar e informes.

   

2. En la barra de búsqueda, escriba los detalles en la barra de búsqueda, seleccione la duración de la lista y haga clic en el icono de búsqueda o pulse Entrar. Por ejemplo, puede escribirsourcetype=”bot”osourcetype=”waf”osourcetype="ml"para comprobar los detalles.

   

   El siguiente resultado de búsqueda es un ejemplo de infracción del WAF:

   

   El siguiente resultado de búsqueda es un ejemplo de infracción de un bot:

   

   El siguiente resultado de búsqueda es un ejemplo de las infracciones basadas en el comportamiento:

   

Accede a los detalles

罐头要埃蒂波德莫德罗拿督para ver los detalles de la tabla dinámica. Por ejemplo, el complemento Splunk convierte los eventos WAF, Bot y basados en el comportamiento en formato CIM, con el tipo de modelo de datos más cercano, como Detección de alertas e intrusiones.

Para acceder a los eventos en Splunk:

1. Vaya aConfiguración > Modelos de datos.

2. Identifique el modelode datos de detección de intrusionesy haga clicenCambiar

   

3. Seleccione un conjunto de datos. En el siguiente ejemplo, se selecciona la opciónAtaques de IDS.

   

   Se muestra el recuento total deataques de IDS.

   

   También puede hacer clic en el botón+para agregar más detalles a la tabla. El siguiente ejemplo muestra los detalles según la gravedad, la categoría y el identificador de firma:

   

Panel de Splunk

Mediante un panel, puede ver los detalles de los análisis de infracciones basados en el WAF, los bots y el comportamiento con paneles como gráficos, tablas, listas, etc. Puede configurar:

• Panel de control con aplicaciones que utilizan datos compatibles con el CIM.

• Panel de control personalizado que extrae datos de los modelos de datos CIM.

Dependiendo de su elección, puede crear el panel de control. Para obtener más información, consulta la secciónAcerca del panel de controlen ladocumentación de Splunk.