Citrix Analytics für Sicherheit

Splunk-Integration

Integrieren Sie Citrix Analytics for Security in Splunk, um die Benutzerdaten aus Ihrer Citrix IT-Umgebung zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Informationen zu einem umfassenden Verständnis der Splunk-Bereitstellungsmethodik und zur Umsetzung der Strategien für eine effektive Planung finden Sie in der Splunk-Dokumentation zur Splunk-Architektur mit Citrix Analytics-Anwendungen, die in der Splunk-Dokumentation gehostet werden .

Integrieren Sie Citrix Analytics for Security mit Splunk

Folgen Sie den Anweisungen zur Integration von Citrix Analytics for Security in Splunk:

  • Datenexport. Citrix Analytics for Security erstellt einen Kafka-Kanal und exportiert Risk Insights und Datenquellenereignisse. Splunk ruft diese Risikointelligenz aus dem Kanal ab.

  • Holen Sie sich die Konfiguration auf Citrix Analytics. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto zur Authentifizierung. Citrix Analytics for Security bereitet eine Konfigurationsdatei vor, die Sie zum Konfigurieren des Citrix Analytics-Add-Ons für Splunk benötigen.

  • Laden Sie das Citrix Analytics Add-On für Splunk herunter und installierenSie es. Laden Sie das Citrix Analytics-Add-on für Splunk entweder mithilfe von Splunkbase oder Splunk Cloud herunter, um den Installationsvorgang abzuschließen.

  • Konfigurieren Sie das Citrix Analytics-Add-On für Splunk. Richten Sie eine Dateneingabe mithilfe der von Citrix Analytics for Security bereitgestellten Konfigurationsdetails ein und konfigurieren Sie das Citrix Analytics-Add-On für Splunk.

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

Nachdem das Citrix Analytics-Add-On für Splunk konfiguriert wurde, siehe:

Datenexport

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Datenexport

  3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  4. Wählen Sie Konfigurieren.

    Citrix Analytics for Security bereitet die für die Splunk-Integration erforderlichen Konfigurationsdetails vor.

    Konfigurieren SIEM

  5. Wählen Sie Splunkaus.

  6. Kopieren Sie die Konfigurationsdetails, darunter den Benutzernamen, die Hosts, den Kafka-Themennamen und den Gruppennamen.

    Sie benötigen diese Details, um das Citrix Analytics Add-on für Splunk in den folgenden Schritten zu konfigurieren.

    WICHTIG

    Diese Daten sind sensibel und Sie müssen sie an einem sicheren Ort aufbewahren.

    Konfigurationsdetails

Um Kandidatendaten für die Splunk-Integration zu generieren, aktivieren Sie entweder die Datenverarbeitung für mindestens eine Datenquelle oder verwenden Sie die Funktion zur Generierung von Testereignissen. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu starten.

Funktion zum Zurücksetzen des Kennworts

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf der Seite Konto einrichten auf Kennwort zurücksetzen.

    SIEM Kennwort zurücksetzen

  2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEUES KENNWORT und NEUES KENNWORT BESTÄTIGEN an. Folgen Sie den angezeigten Kennwortregeln.

    Anforderungen für SIEM-Kennwörter

  3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird eingeleitet.

    SIEM Kennwort zurücksetzen

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Aktivieren oder Deaktivieren der Datenübertragung

Die Datenübertragung für den Splunk-Datenexport aus Citrix Analytics ist standardmäßig aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren.

    SIEM-Übertragungen ausschalten

Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.

Citrix Analytics-Add-On für Splunk

Sie können wählen, ob Sie die Zusatzanwendung auf einer der folgenden Plattformen installieren möchten:

Citrix Analytics-Zusatzmodul für Splunk (lokal/unternehmensweit)

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

  • CentOS Linux 7 und höher
  • Debian GNU/Linux 10.0 und höher
  • Red Hat Enterprise Linux Server 7.0 und höher
  • Ubuntu 18.04 LTS und höher

Hinweis

  • Citrix empfiehlt, die neueste Version der vorherigen Betriebssysteme oder die Versionen zu verwenden, die noch von den jeweiligen Anbietern unterstützt werden.

  • Verwenden Sie für die Linux-Kernel-Betriebssysteme (64-Bit) eine Kernelversion, die von Splunk unterstützt wird. Weitere Informationen finden Sie in der Splunk-Dokumentation.

Sie können unsere Splunk-Integration auf der folgenden Splunk-Version konfigurieren: Splunk 8.1 (64-Bit) und höher.

Voraussetzungen

  • Das Citrix Analytics-Add-On für Splunk stellt eine Verbindung zu den folgenden Endpunkten in Citrix Analytics for Security her. Stellen Sie sicher, dass sich die Endpunkte in der Zulassungsliste Ihres Netzwerks befinden.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Hinweis

Versuchen Sie, die Endpunktnamen und nicht die IP-Adressen zu verwenden. Die öffentlichen IP-Adressen der Endpunkte können sich ändern.

Citrix Analytics-Add-On für Splunk herunterladen und installieren

Sie können wählen, ob Sie das Add-on mithilfe von App aus Datei installieren oder aus der Splunk-Umgebung heraus installieren möchten.

App aus Datei installieren

  1. Geh zu Splunkbase.

  2. Laden Sie das Citrix Analytics-Add-on für Splunk-Datei herunter.

  3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

  4. Klicken Sie auf App aus Datei installieren.

  5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

    Hinweise

    • Wenn Sie eine ältere Version des Add-Ons haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

    • Wenn Sie das Citrix Analytics Add-on für Splunk von einer Version vor 2.0.0 aktualisieren, müssen Sie die folgenden Dateien und Ordner im Ordner /bin des Add-On-Installationsordners löschen und Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu starten:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

  1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

  2. Suchen Sie auf der Seite “Weitere Apps durchsuchen” im Citrix Analytics Add-on nach Splunk.

  3. Klicken Sie neben der App auf Installieren .

  4. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

  1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

    Splunk-Konfiguration

  2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

    Splunk-Konfiguration

  3. Klicken Sie auf New.

    Splunk-Konfiguration

  4. Geben Sie auf der Seite Daten hinzufügen die Details ein, die in der Citrix Analytics-Konfigurationsdatei enthalten sind.

    Splunk-Konfiguration

  5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk-Index, Hostnamen und Quelltyp definieren.

    Splunk-Konfiguration

  6. Klicken Sie auf Weiter. Ihre Citrix Analytics-Dateneingabe wird erstellt und das Citrix Analytics-Add-On für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics-Zusatzmodul für Splunk (Cloud)

Sie können unsere Splunk-Integration auf der folgenden Splunk-Version konfigurieren: Splunk 8.1 und höher.

Voraussetzungen

Das Citrix Analytics-Add-on für Splunk stellt eine Verbindung zu den folgenden IPs und ausgehenden Ports her, um eine Verbindung zu Citrix Analytics for Security herzustellen. Stellen Sie sicher, dass die folgenden IPs und ausgehenden Ports (abhängig von Ihrer Citrix Cloud-Region) in der Zulassungsliste in Ihrem Netzwerk enthalten sind. Informationen zur Konfiguration dieser IPs und ausgehenden Ports finden Sie im Abschnitt Hinzufügen von Citrix Analytics-IPs und ausgehenden Ports zur Splunk Cloud-Zulassungsliste mithilfe des Admin Configuration Service ( ACS).

Region der Vereinigten Staaten IP Ausgehender Port Region der Europäischen Union IP Ausgehender Port Asien-Pazifik Süd IP Ausgehender Port
casnb-0 citrix.com 20.242.21.84 9094 casnb-de-0 citrix.com 20.229.150.41 9094 casnb-aps-0 citrix.com 20.211.0.214 9094
casnb-1.citrix.com 20.98.232.61 9094 casnb-eu-1.citrix.com 20.107.97.59 9094 casnb-aps-1 | citrix.com 20.211.38.102 9094
casnb-2.citrix.com 20.242.21.108 9094 casnb-eu-2.citrix.com 51.124.223.162 9094 casnb-aps-2 citrix.com 20.211.36.180 9094
casnb-3.citrix.com 20.242.57.140 9094            

Hinweis:

Diese IPs können rotiert werden. Stellen Sie sicher, dass Ihre Liste der zugelassenen IP-Adressen mit den neuesten IPs aktualisiert wird, wie oben gezeigt.

Fügen Sie Citrix Analytics-IPs und ausgehende Ports mithilfe des Admin Configuration Service (ACS) zur Splunk Cloud-Zulassungsliste hinzu

  1. Abhängig von Ihrer Citrix Cloud-Region müssen keine IP-Adressen zur Zulassungsliste hinzugefügt werden.
  2. Aktivieren Sie den Admin Configuration Service (ACS) auf der Splunk Cloud Platform.
  3. Erstellen Sie ein Token für die Zulassungsliste mit einem lokalen Konto mit Administratorrechten.
  4. Führen Sie die Befehle cURL GET und POST aus, um Subnetze zur Zulassungsliste der jeweiligen Ports hinzuzufügen und zu überprüfen, ob sie erfolgreich hinzugefügt wurden.
  5. Führen Sie die cURL-Befehle GET und POST aus, um ausgehende Ports zur Zulassungsliste hinzuzufügen und zu überprüfen, ob sie erfolgreich hinzugefügt wurden.

Citrix Analytics-Add-On für Splunk herunterladen und installieren

  1. Gehen Sie zu Apps > Weitere Apps finden > Suchen Sie nach dem Citrix Analytics-Add-on für Splunk.

    Add-on für Splunk

  2. Installiere die App.
  3. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

  1. Gehen Sie zu Einstellungen > Dateneingaben > Citrix Analytics-Add-on.

    Citrix Analytics-Add-on

  2. Fügen Sie die Eingabe hinzu: Splunk-Integration Citrix Analytics für Sicherheit. Klicken Sie auf Neu hinzufügen.

    Splunk-Integrationseingang

  3. Konfigurieren Sie die Dateneingabe, indem Sie die auf der Seite Citrix Analytics-Datenexporte konfigurierten Details eingeben.

    Details Splunk-Dateneingabe

  4. Überprüfen Sie, ob Ihre Dateneingabe erfolgreich hinzugefügt wurde.

    Splunk-Dateneingabe wurde erfolgreich hinzugefügt

So nutzen Sie Ereignisse in Ihrer Splunk-Umgebung

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können mit der Suche nach den Ereignissen Ihrer Organisation im Splunk -Suchkopf basierend auf der konfigurierten Dateneingabe beginnen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Format "Ereignisse konsumieren"

Eine Beispielausgabe:

Beispielausgabe für Ereignisse konsumieren

Verwenden Sie die folgende Suchanfrage, um Probleme mit dem Add-On zu suchen und zu beheben:

Suchabfrage "Ereignisse konsumieren"

Die Ergebnisse werden im folgenden Format angezeigt:

Suchergebnis "Ereignisse konsumieren"

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenformat für SIEM.

Problembehandlung beim Citrix Analytics-Add-On für Splunk

Wenn Sie keine Daten in Ihren Splunk-Dashboards sehen oder beim Konfigurieren des Citrix Analytics-Add-ons für Splunk Probleme auftreten, führen Sie die Debugging-Schritte aus, um das Problem zu beheben. Weitere Informationen finden Sie unter Konfigurationsprobleme mit dem Citrix Analytics-Add-on für Splunk.

Hinweis

Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die Splunk-Integration, den Export von Daten nach Splunk anzufordern oder Feedback zu geben.

Citrix Analytics App für Splunk

Hinweis

Diese App befindet sich in der Vorschau.

Citrix Analytics App für Splunk ermöglicht es Splunk Enterprise-Administratoren, die von Citrix Analytics for Security gesammelten Benutzerdaten in Form von aufschlussreichen und umsetzbaren Dashboards auf Splunk anzuzeigen. Mithilfe dieser Dashboards erhalten Sie einen detaillierten Überblick über das riskante Verhalten der Benutzer in Ihrem Unternehmen und können rechtzeitig Maßnahmen ergreifen, um Insider-Bedrohungen abzuwehren. Sie können die von Citrix Analytics for Security gesammelten Daten auch mit anderen auf Ihrem Splunk konfigurierten Datenquellen korrelieren. Diese Korrelation gibt Ihnen Einblick in die riskanten Aktivitäten der Benutzer aus verschiedenen Quellen und ergreift Maßnahmen zum Schutz Ihrer IT-Umgebung.

Unterstützte Splunk-Version

Die Citrix Analytics App für Splunk läuft auf den folgenden Splunk-Versionen:

  • Splunk 9.0 64-Bit

  • Splunk 8.2 64-Bit

  • Splunk 8.1 64-Bit

Voraussetzungen für Citrix Analytics App für Splunk

  • Installieren Sie das Citrix Analytics-Add-On für Splunk.

  • Stellen Sie sicher, dass die für das Citrix Analytics-Add-On für Splunk genannten Voraussetzungen bereits erfüllt sind.

  • Stellen Sie sicher, dass die Daten von Citrix Analytics for Security zu Splunk fließen.

Installation und Konfiguration

Wo installiere ich die App?

Splunk Suchkopf

Wie installiere und konfiguriere ich die App?

Sie können die Citrix Analytics App für Splunk installieren, indem Sie sie von Splunkbase herunterladen oder von Splunk aus installieren.

App aus Datei installieren
  1. Geh zu Splunkbase.

  2. Laden Sie die Datei Citrix Analytics App für Splunk herunter.

  3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

  4. Klicken Sie auf App aus Datei installieren.

  5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

    Hinweis

    Wenn Sie eine ältere Version der App haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

  6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus
  1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

  2. Suchen Sie auf der Seite Weitere Apps durchsuchen die Citrix Analytics App nach Splunk.

  3. Klicken Sie neben der App auf Installieren .

Konfigurieren Sie Ihren Index und Ihren Quelltyp, um Daten zu korrelieren
  1. Nachdem Sie die App installiert haben, klicken Sie auf Jetzt einrichten.

    App einrichten

  2. Geben Sie die folgenden Abfragen ein:

    • Index und Quelltyp, in dem die Daten von Citrix Analytics for Security gespeichert werden.

      Hinweis

      Diese Abfragewerte müssen mit den im Citrix Analytics-Add-On für Splunk angegebenen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

    • Index, von dem aus Sie Ihre Daten mit Citrix Analytics for Security korrelieren möchten.

      Quelle und Index

  3. Klicken Sie auf App-Setup beenden, um die Konfiguration abzuschließen.

Nachdem Sie die Citrix Analytics App für Splunk konfiguriert und eingerichtet haben, verwenden Sie die Citrix Analytics-Dashboards, um die Benutzerereignisse auf Ihrem Splunk anzuzeigen.

Weitere Informationen zur Splunk-Integration finden Sie unter den folgenden Links: