Citrix Analytics für Sicherheit

Integration von Microsoft Azure Sentinel

Hinweis

  • Die Azure Sentinel-Integration mit Citrix Analytics for Security ist derzeit nicht allgemein verfügbar. Daher können sich die folgenden Informationen ändern.

  • Kontaktieren CAS-PM-Ext@citrix.com Sie, um Zugriff auf den Citrix Analytics Adapter für Azure Sentinel zu erhalten und Unterstützung beim Onboarding Ihrer Daten in Azure Sentinel zu erhalten.

Citrix Analytics for Security ermöglicht es Benutzern, die auf riskante Ereignisse analysierten Daten in ihre Microsoft Azure Sentinel-Umgebung zu exportieren. Damit können Sie Daten aus mehreren Datenquellen auf einer einzigen Plattform sammeln, durchsuchen und analysieren. Mithilfe dieser Daten können Sie die Ereignisse überwachen, Problembehandlung durchführen und Maßnahmen zur Verringerung der Schadensbegrenzung automatisieren.

Citrix Analytics for Security sendet keine Rohdaten an Azure Sentinel. Stattdessen sendet es verarbeitete Daten. Zu den verarbeiteten Daten, die an Azure Sentinel gesendet werden, gehören:

  • Benutzerrisikobewertung — Aktuelle Risikobewertung eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an Azure Sentinel.

  • Änderung der Risikobewertung — Dies ist die Änderung der Risikobewertung eines Benutzers. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung um mehr als 10% zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.

  • Zusammenfassung des Risikoindikators — Alle Risikoindikatoren, die mit einem Benutzer verbunden sind.

Informationen zum Schema der verarbeiteten Daten finden Sie unter Citrix Analytics-Datenformat für SIEM.

Vorteile der Azure Sentinel-Integration

  • Größere Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort.

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risikominalinformationen eines Benutzerkontos mit externen Datenquellen in Azure Sentinel zu kombinieren und zu korrelieren.

Voraussetzungen

Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Azure Sentinel-Integrationsprozess zu beginnen.

Integrieren von Citrix Analytics in Azure Sentinel

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics for Security in Azure Sentinel:

  • Datenexport. Citrix Analytics for Security erstellt einen Kanal und exportiert Risikoinformationen. Azure Sentinel ruft diese Risikointelligenz vom Kanal ab.

  • Holen Sie sich die Konfiguration für Citrix Analytics for Security. Erstellen Sie ein Konto bei Citrix Analytics for Security, um die Azure Sentinel-Integration zu authentifizieren. Citrix Analytics for Security verwendet das Konto, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist. Die Konfigurationsdatei wird verwendet, um den Citrix Analytics Adapter für Azure Sentinelzu konfigurieren.

  • Laden Sie Citrix Analytics Adapter für Azure Sentinelherunter. Laden Sie die Citrix Analytics Adapter für Azure Sentinel-Anwendung von GitHub herunter. Der Adapter ist ein Python-Programm, das Warnungen aus einem mandantenspezifischen Kafka-Thema verbraucht, das von Citrix Analytics gehostet wird. Sie können den Adapter auf jeder physischen oder virtuellen Maschine mit Python 2.7 oder höher ausführen. Die verbrauchten Warnungen werden mithilfe der REST-API an Azure Sentinel gesendet.

  • Installieren Sie Citrix Analytics Adapter für Azure Sentinel. Installieren Sie die Citrix Analytics Adapter für Azure Sentinel-Anwendung auf einem Computer, damit sie die Kafka-Daten empfangen kann. Der Adapter enthält Platzhaltervariablen für die Verbindung mit Azure Sentinel und der Kafka-Schnittstelle in Citrix Analytics for Security. Gehen Sie nach der Installation des Adapters folgendermaßen vor:

    • Ersetzen Sie die Platzhaltervariablen, die sich auf die Kafka-Schnittstelle beziehen, durch die Werte, die aus der Konfigurationsdatei stammen, die Citrix Analytics for Security vorbereitet hat.

    • Ersetzen Sie die Azure Sentinel-bezogenen Platzhaltervariablen (für Workspace-ID und API-Schlüssel) durch die entsprechenden Werte aus Ihrem Azure-Konto.

So konsumieren Sie Ereignisse in Azure Sentinel

Führen Sie nach der Installation und Konfiguration des Adapters die folgenden Schritte aus:

  1. Öffnen Sie Ihren Azure Sentinel Workspace im Azure-Portal.

  2. Wählen Sie im Abschnitt Konfiguration die Option Datenconnectors aus.

  3. Wählen Sie Citrix Analytics Data Connector, und wählen Sie Connector öffnen . Folgen Sie den Anweisungen, um die Ereignisse mit Azure Sentinel zu verbinden.

  4. Wählen Sie die Registerkarte Nächste Schritte aus, und wählen Sie die empfohlene Arbeitsmappe aus, um die Beispielabfragen anzuzeigen.

Integration von Microsoft Azure Sentinel