Citrix Analytics für Sicherheit

Splunk-Integration

Integrieren Sie Citrix Analytics for Security in Splunk, um die Daten der Benutzer aus Ihrer Citrix IT-Umgebung zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Diese Integration erhöht den Wert Ihrer Citrix Analytics for Security- und Splunk-Bereitstellungen. Es ermöglicht den Security Operations-Teams, Daten aus unterschiedlichen Protokollen zu korrelieren, zu analysieren und zu durchsuchen, um die Sicherheitsrisiken zu identifizieren und schnell zu beheben. Außerdem können aufschlussreiche Dashboards, die nur Citrix Analytics for Security bieten, in Ihrer Splunk-Umgebung angezeigt werden. Sie können basierend auf Ihren Sicherheitsanforderungen benutzerdefinierte Ansichten erstellen.

Citrix Analytics for Security verarbeitet die Daten der Benutzer aus mehreren Produkten in Ihrer Citrix IT-Umgebung. Citrix Analytics for Security sendet keine Rohdaten an Splunk. Stattdessen sendet es verarbeitete Daten, darunter:

  • Änderung des Risiko-Scores — Die Änderung des Risiko-Scores eines Benutzers. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.

  • Zusammenfassung des Risikoindikators — Alle Risikoindikatoren, die mit einem Benutzer verbunden sind.

  • Benutzerrisikobewertung — Aktuelle Risikobewertung eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an Splunk.

  • Benutzer-Apps — Anwendungen, die ein Benutzer gestartet und verwendet hat. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzergerät — Geräte, die mit einem Benutzer verknüpft sind. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzerstandort — Die Stadt, in der ein Benutzer zuletzt erkannt wurde. Citrix Analytics for Security ruft diese Daten von Citrix Content Collaboration ab. Diese Daten werden alle 12 Stunden an Splunk gesendet.

  • Datennutzung— Daten, die von einem Benutzer über Citrix Content Collaboration hochgeladen und heruntergeladen wurden. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an Splunk.

Informationen zum Schema der verarbeiteten Daten finden Sie unter Citrix Analytics data format for SIEM.

Vorteile der Splunk Integration

  • Bessere Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risk Intelligence-Informationen eines Benutzerkontos mit externen Datenquellen in Splunk zu kombinieren und zu korrelieren.

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

  • CentOS Linux 7 und höher
  • Debian GNU/Linux 10.0 und höher
  • Red Hat Enterprise Linux Server 7.0 und höher
  • Ubuntu 18.04 LTS und höher

WICHTIG

  • Citrix empfiehlt die Verwendung der neuesten Version der vorhergehenden Betriebssysteme oder der Versionen, die weiterhin von den jeweiligen Anbietern unterstützt werden.

  • Verwenden Sie für die Linux-Kernel-Betriebssysteme (64-Bit) eine Kernelversion, die von Splunk unterstützt wird. Weitere Informationen finden Sie in der Splunk-Dokumentation.

Sie können die Splunk-Integration für die folgenden Splunk-Versionen konfigurieren:

  • Splunk Cloud Inputs Datenmanager (IDM)

  • Splunk 7.3 (64-Bit) und höher

Voraussetzungen

  • Das Citrix Analytics-Add-On für Splunk stellt eine Verbindung zu den folgenden Endpunkten in Citrix Analytics for Security her. Stellen Sie sicher, dass sich die Endpunkte in der Zulassungsliste Ihres Netzwerks befinden.

    Endpunkt US-Region EU-Region
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094
  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu beginnen.

So integrieren Sie Citrix Analytics for Security in Splunk

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics for Security in Splunk:

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

Nachdem das Citrix Analytics-Add-On für Splunk konfiguriert wurde, siehe:

Datenexport

  1. Gehen Sie zu Einstellungen > Datenquellen >Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der Splunk-Site-KarteErste Schritteaus. Sie werden auf die SeiteSplunk-Integration konfigurieren weitergeleitet.

    Datenexport

  3. Navigieren Sie auf der Seite Splunk Integration konfigurieren zum Abschnitt Konfiguration in Citrix Analytics.

Holen Sie sich die Konfiguration auf Citrix Analytics for Security

  1. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto, indem Sie die Felder PASSWORD und CONFIRM PASSWORD

    Citrix Analytics-Konfiguration

    Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics-Konfiguration

  2. Klicken Sie auf Konfigurieren. Citrix Analytics for Security beginnt mit der Vorbereitung einer Konfigurationsdatei, die für die Splunk-Integration erforderlich ist. Sie erhalten eine Benachrichtigung, wenn die Datei vorbereitet ist. Details wie Benutzername, Host, Themenname und Gruppenname finden Sie im Abschnitt KONFIGURATIONSDETAILS .

    Citrix Analytics-Konfiguration

Laden Sie das Citrix Analytics-Add-On für Splunk herunter

  1. Wechseln Sie zur Seite Citrix Analytics Add-on für Splunk Download (Anmeldung ist erforderlich).

  2. Klicken Sie auf Datei herunterladen.

    Citrix Analytics-Konfiguration

  3. Lesen Sie auf dem Bildschirm Endbenutzer-Lizenzvereinbarung die Allgemeinen Geschäftsbedingungen und wählen Sie dann Ja, ich stimmezu. Der Download-Prozess wird eingeleitet.

    Citrix Analytics-Konfiguration

  4. Lesen Sie auf dem Bildschirm Download-Vereinbarung die Allgemeinen Geschäftsbedingungen. Um dies zu bestätigen, aktivieren Sie das Kontrollkästchen Ich habe gelesen und bescheinige, dass ich die obigen Exportkontrollgesetze einhalte .

  5. Klicken Sie auf Akzeptieren.

    Citrix Analytics-Konfiguration

Installieren Sie das Citrix Analytics-Add-On für Splunk

  1. Melden Sie sich bei Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung an.

    Splunk-Installation

  2. Navigiere zu Apps.

    Splunk-Installation

  3. Klicken Sie auf das Symbol Apps verwalten, das neben Appsangezeigt wird.

    Splunk-Installation

  4. Klicken Sie auf der Seite Apps auf App aus Datei installieren.

    Splunk-Installation

  5. Wählen Sie im Abschnitt Eine App hochladen die App TA_CTXS_AS.tar.gz aus. Wenn es ein App-Upgrade gibt, klicken Sie auf App aktualisieren. Wenn Sie dies überprüfen, wird die App überschrieben, falls sie bereits existiert.

    Splunk-Installation

  6. Klicken Sie auf Upload. Auf der Seite Apps erhalten Sie eine Benachrichtigung, dass das Add-On installiert ist. Das Citrix Analytics Add-on für Splunk App wird in der Liste Apps angezeigt.

    Splunk-Installation

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

  1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

    Splunk-Konfiguration

  2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

    Splunk-Konfiguration

  3. Klicken Sie auf New.

    Splunk-Konfiguration

  4. Geben Sie auf der Seite Daten hinzufügen die Details ein, die in der Citrix Analytics-Konfigurationsdatei enthalten sind.

    Splunk-Konfiguration

  5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk-Index, Hostnamen und Quelltyp definieren.

    Splunk-Konfiguration

  6. Klicken Sie auf Weiter. Ihre Citrix Analytics-Dateneingabe wird erstellt und das Citrix Analytics-Add-On für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics Konfigurationskennwort zurücksetzen

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf der Seite Konfiguration in Citrix Analytics auf Kennwort zurücksetzen.

    Kennwort zurücksetzen

  2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEUES KENNWORT und NEUES KENNWORT BESTÄTIGEN an. Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics-Konfiguration

  3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird eingeleitet.

    Kennwort zurücksetzen

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, wird die Datenübertragung für Splunk aktiviert. Citrix Analytics for Security kann Informationen zu Risikoinformationen an Splunk übertragen.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Wählen Sie Einstellungen > Datenquellen > Sicherheit >DATENEXPORT.

  2. Wählen Sie auf der Splunk-Site-Karte die vertikale Ellipse (⋮) aus und klicken Sie dann auf Datenübertragung ausschalten.

    Datenübertragung

  3. Klicken Sie zur Bestätigung auf Datenübertragung ausschalten.

    Datenübertragung

Wie man Ereignisse in Splunk konsumiert

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können die Ereignisse Ihrer Organisation basierend auf der konfigurierten Dateneingabe im Splunk-Suchkopf durchsuchen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Eine Beispielausgabe:

Verbrauch von Splunk Ereignissen

Verwenden Sie die folgende Suchanfrage, um Probleme mit dem Add-On zu suchen und zu beheben:

Verbrauch von Splunk Ereignissen

Die Ergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenformat für SIEM.

Citrix Analytics App für Splunk

Hinweis

Diese App befindet sich in der Vorschau.

Citrix Analytics App für Splunk ermöglicht es Splunk Enterprise-Administratoren, die von Citrix Analytics for Security gesammelten Benutzerdaten in Form von aufschlussreichen und umsetzbaren Dashboards auf Splunk anzuzeigen. Mithilfe dieser Dashboards erhalten Sie einen detaillierten Überblick über das riskante Verhalten der Benutzer in Ihrem Unternehmen und ergreifen rechtzeitig Maßnahmen, um Insider-Bedrohungen zu mindern. Sie können die von Citrix Analytics for Security gesammelten Daten auch mit anderen auf Ihrem Splunk konfigurierten Datenquellen korrelieren. Diese Korrelation bietet Ihnen einen Einblick in die riskanten Aktivitäten der Benutzer aus mehreren Quellen und ergreift Maßnahmen zum Schutz Ihrer IT-Umgebung.

Unterstützte Splunk-Version

Die Citrix Analytics App für Splunk läuft auf den folgenden Splunk-Versionen:

  • Splunk 8.2 64-Bit

  • Splunk 8.1 64-Bit

  • Splunk 8.0 64-Bit

  • Splunk 7.3 64-Bit

Voraussetzungen für Citrix Analytics App für Splunk

  • Installieren Sie das Citrix Analytics-Add-On für Splunk.

  • Stellen Sie sicher, dass die für das Citrix Analytics-Add-On für Splunk genannten Voraussetzungen bereits erfüllt sind.

  • Stellen Sie sicher, dass die Daten von Citrix Analytics for Security zu Splunk fließen.

Installation und Konfiguration

Wo installiere ich die App?

Splunk Suchkopf

Wie installiere und konfiguriere ich die App?

Sie können die Citrix Analytics App für Splunk installieren, indem Sie sie von Splunkbase herunterladen oder von Splunk aus installieren.

App aus Datei installieren
  1. Geh zu Splunkbase.

  2. Laden Sie die Datei Citrix Analytics App für Splunk herunter.

  3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

  4. Klicken Sie auf App aus Datei installieren.

  5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

    Hinweis

    Wenn Sie eine ältere Version der App haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

  6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus
  1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

  2. Suchen Sie auf der Seite Weitere Apps durchsuchen die Citrix Analytics App nach Splunk.

  3. Klicken Sie neben der App auf Installieren .

Konfigurieren Sie Ihren Index und Ihren Quelltyp, um Daten zu korrelieren
  1. Nachdem Sie die App installiert haben, klicken Sie auf Jetzt einrichten.

    App einrichten

  2. Geben Sie die folgenden Abfragen ein:

    • Index und Quelltyp, in dem die Daten von Citrix Analytics for Security gespeichert werden.

      Hinweis

      Diese Abfragewerte müssen mit den im Citrix Analytics-Add-On für Splunk angegebenen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

    • Index, von dem aus Sie Ihre Daten mit Citrix Analytics for Security korrelieren möchten.

      Quelle und Index

  3. Klicken Sie auf App-Setup beenden, um die Konfiguration abzuschließen.

Nachdem Sie die Citrix Analytics App für Splunk konfiguriert und eingerichtet haben, verwenden Sie die Citrix Analytics-Dashboards, um die Benutzerereignisse auf Ihrem Splunk anzuzeigen.

Splunk-Integration