Azure Sentinel-Integration

Mit Citrix Analytics können Benutzer nun Daten, die für riskante Ereignisse analysiert wurden, aus Citrix Analytics in ihre Microsoft Azure Sentinel-Umgebung exportieren. Damit können Sie Daten aus mehreren Datenquellen auf einer einzigen Plattform sammeln, durchsuchen und analysieren. Mithilfe dieser Daten können Sie die Ereignisse überwachen, Problembehandlung durchführen und Maßnahmen zur Verringerung der Schadensbegrenzung automatisieren.

Citrix Analytics sendet keine Rohdaten an Azure Sentinel. Stattdessen sendet es verarbeitete Daten. Zu den verarbeiteten Daten, die an Azure Sentinel gesendet werden, gehören:

  • Benutzerrisikobewertung — Aktuelle Risikobewertung eines Benutzers. Citrix Analytics sendet diese Daten alle 12 Stunden an Azure Sentinel.

  • Änderung der Risikobewertung — Dies ist die Änderung der Risikobewertung eines Benutzers. Wenn die Risikobewertung eines Benutzers auf jeden Fall erhöht oder um mehr als 10% sinkt, wird die Änderung an Azure Sentinel gesendet.

  • Risikoindikatorzusammenfassung — Alle mit dem Benutzer verbundenen Risikoindikatoren, wenn ein neuer Risikoindikator generiert wird.

Vorteile der Azure Sentinel-Integration

  • Größere Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort.

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risikominalinformationen eines Benutzerkontos mit externen Datenquellen in Azure Sentinel zu kombinieren und zu korrelieren.

Voraussetzungen

Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics, den Azure Sentinel-Integrationsprozess zu starten.

Integrieren von Citrix Analytics in Azure Sentinel

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics in Azure Sentinel:

  • Datenexport. Citrix Analytics erstellt einen Kanal und exportiert Risikoinformationen. Azure Sentinel ruft diese Risikointelligenz vom Kanal ab.

  • Rudern Sie die Konfiguration auf Citrix Analyticsab. Erstellen Sie ein Konto mit Citrix Analytics, um die Azure Sentinel-Integration zu authentifizieren. Citrix Analytics verwendet das Konto, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist. Die Konfigurationsdatei wird verwendet, um den Citrix Analytics Adapter für Azure Sentinelzu konfigurieren.

  • Laden Sie Citrix Analytics Adapter für Azure Sentinelherunter. Laden Sie die Citrix Analytics Adapter für Azure Sentinel-Anwendung von GitHub herunter. Der Adapter ist ein Python-Programm, das Warnungen aus einem mandantenspezifischen Kafka-Thema verbraucht, das von Citrix Analytics gehostet wird. Sie können den Adapter auf jeder physischen oder virtuellen Maschine mit Python 2.7 oder höher ausführen. Die verbrauchten Warnungen werden mithilfe der REST-API an Azure Sentinel gesendet.

  • Installieren Sie Citrix Analytics Adapter für Azure Sentinel. Installieren Sie die Citrix Analytics Adapter für Azure Sentinel-Anwendung auf einem Computer, damit sie die Kafka-Daten empfangen kann. Der Adapter enthält Platzhaltervariablen für die Verbindung mit Azure Sentinel und der Kafka-Schnittstelle in Citrix Analytics. Gehen Sie nach der Installation des Adapters folgendermaßen vor:

    • Ersetzen Sie die Platzhaltervariablen für die Kafka-Schnittstelle durch die Werte, die aus der Konfigurationsdatei stammen, die Citrix Analytics vorbereitet hat.

    • Ersetzen Sie die Azure Sentinel-bezogenen Platzhaltervariablen (für Workspace-ID und API-Schlüssel) durch die entsprechenden Werte aus Ihrem Azure-Konto.

So konsumieren Sie Ereignisse in Azure Sentinel

Führen Sie nach der Installation und Konfiguration des Adapters die folgenden Schritte aus:

  1. Öffnen Sie Ihren Azure Sentinel Workspace im Azure-Portal.

  2. Wählen Sie im Abschnitt Konfiguration die Option Datenconnectors aus.

  3. Wählen Sie Citrix Analytics Data Connector, und wählen Sie Connector öffnen . Folgen Sie den Anweisungen, um die Ereignisse mit Azure Sentinel zu verbinden.

  4. Wählen Sie die Registerkarte Nächste Schritte aus, und wählen Sie die empfohlene Arbeitsmappe aus, um die Beispielabfragen anzuzeigen.

Hinweis:

  • Die Azure Sentinel-Integration mit Citrix Analytics ist derzeit nicht allgemein verfügbar. Daher können sich die oben genannten Informationen ändern.

  • Kontaktieren CAS-PM-Ext@citrix.com Sie, um Zugriff auf den Citrix Analytics Adapter für Azure Sentinel zu erhalten und Unterstützung beim Onboarding Ihrer Daten in Azure Sentinel zu erhalten.