Citrix Analytics für Sicherheit

Splunk Integration

Zuvor konnten Benutzer keine Informationen über die Sicherheitsrisikofunktionen ihrer Organisation wie Risikoindikatoren, Benutzerprofile und Risikobewertungen korrelieren. Daher konnten Benutzer keine umsetzbaren Einblicke in diese Informationen erhalten. Um diese Anforderung zu erfüllen, ermöglicht Citrix Analytics for Security Benutzern die Integration in Splunk.

Die Splunk-Integration hilft Ihnen, auf riskante Ereignisse analysierte Daten aus Citrix Analytics for Security in Ihre Splunk-Umgebung zu exportieren. Sie können Daten aus mehreren Datenquellen auf einer einzigen Plattform durchsuchen, sammeln und analysieren. Mithilfe dieser Daten können Sie die Ereignisse beheben und überwachen.

Citrix Analytics for Security sendet keine Rohdaten an Splunk. Stattdessen sendet es verarbeitete Daten. Zu den verarbeiteten Daten, die an Splunk gesendet werden, gehören:

  • Änderung der Risikobewertung — Die Änderung der Risikobewertung eines Benutzers. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung um mehr als 10% zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.

  • Zusammenfassung des Risikoindikators — Alle Risikoindikatoren, die mit einem Benutzer verbunden sind.

  • Benutzerrisikobewertung — Aktuelle Risikobewertung eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an Splunk.

  • Benutzer-Apps — Anwendungen, die ein Benutzer gestartet und verwendet hat. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzergerät — Geräte, die mit einem Benutzer verknüpft sind. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an Splunk.

  • Benutzerstandort — Die Stadt, in der ein Benutzer zuletzt erkannt wurde. Citrix Analytics for Security ruft diese Daten von Citrix Content Collaboration und Citrix Virtual Apps and Desktops ab. Diese Daten werden alle 12 Stunden an Splunk gesendet.

  • Datennutzung— Daten, die von einem Benutzer über Citrix Content Collaboration hochgeladen und heruntergeladen wurden. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an Splunk.

Informationen zum Schema der verarbeiteten Daten finden Sie unter Citrix Analytics-Datenformat für SIEM.

Vorteile der Splunk Integration

  • Größere Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risk Intelligence-Informationen eines Benutzerkontos mit externen Datenquellen in Splunk zu kombinieren und zu korrelieren.

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

  • Ubuntu 18.04.1
  • Red Hat Enterprise Linux Server 7.x
  • Debian GNU/Linux 9
  • CentOS Linux 7.x
  • SUSE Linux-Unternehmensserver 12

Sie können die Splunk Integration auf den folgenden Splunk-Versionen konfigurieren:

  • Splunk Cloud Input-Datenmanager (IDM)
  • Splunk 8.1 64-Bit
  • Splunk 8.0 64-Bit
  • Splunk 7.3 64-Bit
  • Splunk 7.2 64-Bit

Voraussetzungen

Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu beginnen.

So integrieren Sie Citrix Analytics for Security in Splunk

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics for Security in Splunk:

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

Nachdem das Citrix Analytics Add-On für Splunk konfiguriert wurde, finden Sie weitere Informationen unter:

Datenexport

  1. Wählen Sie Einstellungen > Datenquellen > Sicherheit >DATENEXPORT.

  2. Wählen Sie auf der Splunk-Sitekarte Erste Schritte aus. Sie werden auf die Seite Splunk Integration konfigurieren umgeleitet.

    Datenexport

  3. Navigieren Sie auf der Seite Splunk Integration konfigurieren zum Abschnitt Konfiguration in Citrix Analytics.

Holen Sie sich die Konfiguration auf Citrix Analytics for Security

  1. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto, indem Sie die Felder PASSWORD und CONFIRM PASSWORD

    Citrix Analytics Konfiguration

    Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics Konfiguration

  2. Klicken Sie auf Konfigurieren. Citrix Analytics for Security beginnt mit der Vorbereitung einer Konfigurationsdatei, die für die Splunk-Integration erforderlich ist. Sie erhalten eine Benachrichtigung, wenn die Datei vorbereitet ist. Details wie Benutzername, Host, Themenname und Gruppenname finden Sie im Abschnitt CONFIGURATION DETAILS.

    Citrix Analytics Konfiguration

Citrix Analytics Add-on für Splunk herunterladen

  1. Wechseln Sie zur Seite Download für Citrix Analytics Add-on für Splunk (Anmeldung ist erforderlich).

  2. Klicken Sie auf Datei herunterladen.

    Citrix Analytics Konfiguration

  3. Lesen Sie im Fenster Endbenutzer-Lizenzvereinbarung die Allgemeinen Geschäftsbedingungen, und wählen Sie dann Ja, ich akzeptiere. Der Download-Prozess wird initiiert.

    Citrix Analytics Konfiguration

  4. Lesen Sie auf dem Bildschirm Download-Vereinbarung die Allgemeinen Geschäftsbedingungen. Aktivieren Sie zum Bestätigen das Kontrollkästchen Ich habe gelesen und bestätige, dass ich die oben genannten Exportkontrollgesetze einhalte.

  5. Klicken Sie auf Akzeptieren.

    Citrix Analytics Konfiguration

Installieren des Citrix Analytics Add-Ons für Splunk

  1. Melden Sie sich bei Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung an.

    Splunk Installation

  2. Navigieren Sie zu Apps.

    Splunk Installation

  3. Klicken Sie auf das Symbol Apps verwalten, das neben Apps angezeigt wird.

    Splunk Installation

  4. Klicken Sie auf der Seite Apps auf App aus Datei installieren.

    Splunk Installation

  5. Wählen Sie im Abschnitt App hochladen die App Ta_ctxs_as.tar.gz aus. Wenn es ein App-Upgrade gibt, klicken Sie auf App aktualisieren. Wenn Sie dies aktivieren, wird die App überschrieben, wenn sie bereits existiert.

    Splunk Installation

  6. Klicken Sie auf Upload. Sie erhalten eine Benachrichtigung auf der Apps-Seite, dass das Add-on installiert ist. Das Citrix Analytics Add-on für Splunk App wird in der Apps-Liste angezeigt.

    Splunk Installation

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

  1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

    Splunk Konfiguration

  2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

    Splunk Konfiguration

  3. Klicken Sie auf New.

    Splunk Konfiguration

  4. Geben Sie auf der Seite Daten hinzufügen die Details in der Citrix Analytics Konfigurationsdatei ein.

    Splunk Konfiguration

  5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen, und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk Index, Hostnamen und Quelltyp definieren.

    Splunk Konfiguration

  6. Klicken Sie auf Weiter. Ihre Citrix Analytics Dateneingabe wird erstellt, und das Citrix Analytics Add-on für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics Konfigurationskennwort zurücksetzen

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf der Seite Konfiguration in Citrix Analytics auf Kennwort zurücksetzen.

    Kennwort zurücksetzen

  2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEW PASSWORD und CONFIRM NEW PASSWORD an. Befolgen Sie die angezeigten Kennwortregeln.

    Citrix Analytics Konfiguration

  3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird initiiert.

    Kennwort zurücksetzen

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, wird die Datenübertragung für Splunk aktiviert. Citrix Analytics for Security kann Informationen zu Risikoinformationen an Splunk übertragen.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Wählen Sie Einstellungen > Datenquellen > Sicherheit >DATENEXPORT.

  2. Wählen Sie auf der Splunk-Sitekarte die vertikalen Auslassungspunkte (⋮) aus, und klicken Sie dann auf Datenübertragung deaktivieren.

    Datenübertragung

  3. Klicken Sie zum Bestätigen auf Datenübertragung deaktivieren.

    Datenübertragung

Wie man Ereignisse in Splunk konsumiert

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können mit der Suche nach den Ereignissen Ihrer Organisation im Splunk -Suchkopf basierend auf der konfigurierten Dateneingabe beginnen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Ein Beispiel für eine Ausgabe:

Verbrauch von Splunk Ereignissen

Verwenden Sie die folgende Suchabfrage, um Probleme mit dem Add-on zu suchen und zu debuggen:

Verbrauch von Splunk Ereignissen

Die Ergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Splunk Integration