Citrix Analytics für Sicherheit

Splunk Integration

Zuvor konnten Benutzer keine Informationen über die Sicherheitsrisikofunktionen ihrer Organisation wie Risikoindikatoren, Benutzerprofile und Risikobewertungen korrelieren. Daher konnten Benutzer keine umsetzbaren Einblicke in diese Informationen erhalten. Um diese Anforderung zu erfüllen, ermöglicht Citrix Analytics Benutzern die Integration in Splunk.

Mit der Splunk Integration können Sie Daten, die für riskante Ereignisse analysiert wurden, aus Citrix Analytics in Ihre Splunk Umgebung exportieren. Sie können Daten aus mehreren Datenquellen auf einer einzigen Plattform durchsuchen, sammeln und analysieren. Mithilfe dieser Daten können Sie die Ereignisse beheben und überwachen.

Citrix Analytics sendet keine Rohdaten an Splunk. Stattdessen sendet es verarbeitete Daten. Zu den verarbeiteten Daten, die an Splunk gesendet werden, gehören:

  • Änderung der Risikobewertung — Dies ist die Änderung der Risikobewertung eines Benutzers. Wenn die Risikobewertung eines Nutzers auf jeden Fall um mehr als 10% erhöht oder sinkt, wird die Änderung an Splunk gesendet.

  • Risikoindikatorzusammenfassung — Alle mit dem Benutzer verbundenen Risikoindikatoren, wenn ein neuer Risikoindikator generiert wird.

  • Benutzerrisikobewertung — Aktuelle Risikobewertung eines Benutzers. Citrix Analytics sendet diese Daten alle 12 Stunden an Splunk.

  • Benutzeranwendungen — Anwendung, die der Benutzer gestartet und verwendet hat. Citrix Analytics ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzergerät — Geräte, denen der Benutzer zugeordnet ist. Citrix Analytics ruft diese Daten aus Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzerstandort — Ort, in dem der Benutzer zuletzt erkannt wurde. Citrix Analytics ruft diese Daten aus der Citrix Content Collaboration ab und sendet sie alle 12 Stunden an Splunk.

  • Datennutzung— Daten, die vom Benutzer über Citrix Content Collaboration hochgeladen und heruntergeladen werden. Citrix Analytics sendet diese Daten alle 12 Stunden an Splunk.

Vorteile der Splunk Integration

  • Größere Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risk Intelligence-Informationen eines Benutzerkontos mit externen Datenquellen in Splunk zu kombinieren und zu korrelieren.

Voraussetzungen

Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics, den Splunk Integrationsprozess zu starten.

Integration von Citrix Analytics in Splunk

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics in Splunk:

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

Nachdem das Citrix Analytics Add-On für Splunk konfiguriert wurde, finden Sie weitere Informationen unter:

Datenexport

  1. Wählen Sie Einstellungen > Datenquellen > Sicherheit >DATENEXPORT.

  2. Wählen Sie auf der Splunk-Sitekarte Erste Schritte aus. Sie werden auf die Seite Splunk Integration konfigurieren umgeleitet.

    Datenexport

  3. Navigieren Sie auf der Seite Splunk Integration konfigurieren zum Abschnitt Konfiguration in Citrix Analytics.

Konfiguration in Citrix Analytics abrufen

  1. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto, indem Sie die Felder PASSWORD und CONFIRM PASSWORD

    Citrix Analytics Konfiguration

    Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics Konfiguration

  2. Klicken Sie auf Konfigurieren. Citrix Analytics beginnt mit der Vorbereitung einer Konfigurationsdatei, die für die Splunk Integration erforderlich ist. Sie erhalten eine Benachrichtigung, wenn die Datei vorbereitet ist. Details wie Benutzername, Host, Themenname und Gruppenname finden Sie im Abschnitt CONFIGURATION DETAILS.

    Citrix Analytics Konfiguration

Citrix Analytics Add-on für Splunk herunterladen

  1. Wechseln Sie zur Seite Download für Citrix Analytics Add-on für Splunk (Anmeldung ist erforderlich).

  2. Klicken Sie auf Datei herunterladen.

    Citrix Analytics Konfiguration

  3. Lesen Sie im Fenster Endbenutzer-Lizenzvereinbarung die Allgemeinen Geschäftsbedingungen, und wählen Sie dann Ja, ich akzeptiere. Der Download-Prozess wird initiiert.

    Citrix Analytics Konfiguration

  4. Lesen Sie auf dem Bildschirm Download-Vereinbarung die Allgemeinen Geschäftsbedingungen. Aktivieren Sie zum Bestätigen das Kontrollkästchen Ich habe gelesen und bestätige, dass ich die oben genannten Exportkontrollgesetze einhalte.

  5. Klicken Sie auf Akzeptieren.

    Citrix Analytics Konfiguration

Installieren des Citrix Analytics Add-Ons für Splunk

  1. Melden Sie sich bei Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung an.

    Splunk Installation

  2. Navigieren Sie zu Apps.

    Splunk Installation

  3. Klicken Sie auf das Symbol Apps verwalten, das neben Apps angezeigt wird.

    Splunk Installation

  4. Klicken Sie auf der Seite Apps auf App aus Datei installieren.

    Splunk Installation

  5. Wählen Sie im Abschnitt App hochladen die App Ta_ctxs_as.tar.gz aus. Wenn es ein App-Upgrade gibt, klicken Sie auf App aktualisieren. Wenn Sie dies aktivieren, wird die App überschrieben, wenn sie bereits existiert.

    Splunk Installation

  6. Klicken Sie auf Upload. Sie erhalten eine Benachrichtigung auf der Apps-Seite, dass das Add-on installiert ist. Das Citrix Analytics Add-on für Splunk App wird in der Apps-Liste angezeigt.

    Splunk Installation

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen aus Citrix Analytics.

  1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

    Splunk Konfiguration

  2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

    Splunk Konfiguration

  3. Klicken Sie auf New.

    Splunk Konfiguration

  4. Geben Sie auf der Seite Daten hinzufügen die Details in der Citrix Analytics Konfigurationsdatei ein.

    Splunk Konfiguration

  5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen, und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk Index, Hostnamen und Quelltyp definieren.

    Splunk Konfiguration

  6. Klicken Sie auf Weiter. Ihre Citrix Analytics Dateneingabe wird erstellt, und das Citrix Analytics Add-on für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics Konfigurationskennwort zurücksetzen

Wenn Sie Ihr Konfigurationskennwort in Citrix Analytics zurücksetzen möchten, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Seite Konfiguration in Citrix Analytics auf Kennwort zurücksetzen.

    Kennwort zurücksetzen

  2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEW PASSWORD und CONFIRM NEW PASSWORD an. Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics Konfiguration

  3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird initiiert.

    Kennwort zurücksetzen

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics, weiterhin Daten an Splunk zu übertragen.

Ein- oder Ausschalten der Datenübertragung

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, wird die Datenübertragung für Splunk aktiviert. Citrix Analytics kann Risikointelligenzinformationen an Splunk übertragen.

So beenden Sie die Übertragung von Daten aus Citrix Analytics:

  1. Wählen Sie Einstellungen > Datenquellen > Sicherheit >DATENEXPORT.

  2. Wählen Sie auf der Splunk-Sitekarte die vertikalen Auslassungspunkte (⋮) aus, und klicken Sie dann auf Datenübertragung deaktivieren.

    Datenübertragung

  3. Klicken Sie zum Bestätigen auf Datenübertragung deaktivieren.

    Datenübertragung

Wie man Ereignisse in Splunk konsumiert

Nachdem Sie das Add-On konfiguriert haben, beginnt Splunk mit dem Abrufen von Risikoinformationen aus Citrix Analytics. Sie können mit der Suche nach den Ereignissen Ihrer Organisation im Splunk -Suchkopf basierend auf der konfigurierten Dateneingabe beginnen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Nachstehend finden Sie eine Beispielausgabe:

Verbrauch von Splunk Ereignissen

Verwenden Sie die folgende Suchabfrage, um Probleme mit dem Add-on zu suchen und zu debuggen:

Verbrauch von Splunk Ereignissen

Die Ergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Unterstützte Versionen

Citrix Analytics unterstützt Splunk Integration auf den Betriebssystemen Ubuntu 18.04.1, Red Hat Enterprise Linux Server 7.x, Debian GNU/Linux 9, CentOS Linux 7.x und SUSE Linux Enterprise Server 12.

Sie können die Splunk Integration auf den folgenden Splunk-Versionen konfigurieren:

  • Splunk 8.0 64-Bit
  • Splunk 7.3 64-Bit
  • Splunk 7.2 64-Bit
  • Splunk 7.1 64-Bit
  • Splunk 7.0 64-Bit
  • Splunk 6.6 64-Bit
  • Splunk 6.5 64-Bit

Splunk Integration