Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Integration von Security Information and Event Management (SIEM)

September 16, 2025
Beitrag von: 
C C

Hinweis

Kontaktieren Sie CAS-PM-Ext@cloud.com, um Unterstützung bei der SIEM-Integration, dem Export von Daten an SIEM und für Feedback anzufordern.

Integrieren Sie Citrix Analytics for Security™ in Ihre SIEM-Dienste und exportieren Sie die Benutzerdaten aus der Citrix IT-Umgebung in Ihr SIEM. Korrelieren Sie die exportierten Daten mit den in Ihrem SIEM verfügbaren Daten, um tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Diese Integration erhöht den Wert sowohl von Citrix Analytics for Security als auch von Ihrem SIEM.

Vorteile

  • Ermöglicht Ihren Security Operations Teams, Daten aus unterschiedlichen Protokollen zu korrelieren, zu analysieren und zu durchsuchen.

  • Unterstützt Ihre Security Operations Teams dabei, Sicherheitsrisiken zu identifizieren und schnell zu beheben.

  • Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort.

  • Zentralisierter Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Risiko-Intelligenzinformationen von Citrix Analytics eines Benutzerkontos mit externen Datenquellen zu kombinieren und zu korrelieren, die in Ihrem SIEM verbunden sind.

SIEM-Integrationsarchitektur

Ihre SIEM-Integration verbindet sich mit dem nordwärts gerichteten Kafka, der in der Citrix Analytics for Security Cloud bereitgestellt wird. Dies kann auf zwei Arten erreicht werden:

  • Kafka-Endpunkte: Wenn Ihr SIEM Kafka-Endpunkte unterstützt, verwenden Sie die in der Logstash-Konfigurationsdatei bereitgestellten Parameter und die Zertifikatsdetails in der JKS- oder PEM-Datei, um Ihr SIEM in Citrix Analytics for Security zu integrieren. Mithilfe der Kafka-Endpunkte können Sie die Daten mit dem SIEM Ihrer Wahl verbinden und abrufen.

  • Logstash-Engine: Wenn Ihr SIEM keine Kafka-Endpunkte unterstützt, können Sie die Logstash-Datenerfassungs-Engine verwenden. Sie können die Risiko-Einblicksdaten von Citrix Analytics for Security an eines der von Logstash unterstützten Ausgabe-Plug-ins senden.

Beachten Sie das folgende Architekturdiagramm der SIEM-Lösung, um zu verstehen, wie Daten von Citrix Analytics for Security zu Ihrem SIEM-Dienst fließen:

SIEM-Lösungsarchitektur

Datenübertragung ein- oder ausschalten

So beenden Sie die Datenübertragung von Citrix Analytics for Security:

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Deaktivieren Sie den Umschalter, um die Datenübertragung zu deaktivieren.

    Hinweis Standardmäßig ist die Datenübertragung für SIEM immer aktiviert.

    Datenübertragung aktiviert

Um die Datenübertragung wieder zu aktivieren, schalten Sie den Umschalter ein.

SIEM-Umgebung einrichten

Um Daten an SIEM zu exportieren, müssen Sie die folgenden Aktionen ausführen:

  • Richten Sie Ihr Kafka-Konto und Ihre Authentifizierungsdaten ein
  • Laden Sie die vorkonfigurierte Konfiguration herunter und richten Sie die SIEM-Umgebung ein
  • Datenereignisse für den Export

SIEM-Exportkontoeinrichtung

  1. Um Ihr Konto einzurichten, navigieren Sie zu Einstellungen > Datenexporte > Konto einrichten erweitern. Erstellen Sie ein Konto, indem Sie den Benutzernamen und das Kennwort angeben. Sobald Sie Ihr Konto eingerichtet haben, werden Ihre Kafka-Details generiert. Diese Details werden beim Generieren der Konfigurationsdatei automatisch eingebettet.

    Kontoeinrichtung

  2. Klicken Sie auf Konfigurieren, um die Konfigurationsdatei zu generieren. Die Konfigurationsdatei enthält Details wie Kafka-Endpunkte, Ihre spezifischen Abonnementthemen und Gruppen-IDs. Außerdem werden die Kafka- und SSL-Attribute vorkonfiguriert, die für die Authentifizierung und den Datenfluss erforderlich sind.

SIEM-Konfiguration und Umgebungseinrichtung

Wählen Sie die SIEM-Umgebung nach Bedarf aus. Sie können Citrix Analytics for Security mit den folgenden Diensten integrieren. Beachten Sie die folgenden Links, um detaillierte Informationen und SIEM-spezifische Konfigurationen zu erhalten:

SIEM-Umgebung

Datenereignisse, die von Citrix Analytics for Security an Ihren SIEM-Dienst exportiert werden

Im Rahmen der SIEM-Exporte gibt es zwei Arten von Datensätzen:

  1. Risiko-Einblicksereignisse (Standardexporte) – Sobald Sie die Kontokonfiguration und die SIEM-Einrichtung abgeschlossen haben, beginnen Standarddaten (Risiko-Einblicksereignisse) in Ihre SIEM-Bereitstellung zu fließen. Risiko-Einblicksdaten enthalten Benutzer-Risikobewertung, Benutzerprofil und Risikoindikatorwarnungen. Diese werden durch den Citrix Analytics-Algorithmus für maschinelles Lernen, die Benutzerverhaltensanalyse und basierend auf Benutzerereignissen generiert. Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemata finden Sie unter Risiko-Einblicksdaten für SIEM.

  2. Datenquellenereignisse (Optionale Exporte) – Zusätzlich können Sie die Datenexportfunktion konfigurieren, um Benutzerereignisse aus Ihren für Citrix Analytics for Security aktivierten Produktdatenquellen zu exportieren. Wenn Sie eine Aktivität in der Citrix-Umgebung ausführen, werden die Datenquellenereignisse generiert. Die exportierten Ereignisse sind unverarbeitete Echtzeit-Benutzer- und Produktnutzungsdaten, wie sie in der Self-Service-Ansicht verfügbar sind. Die in diesen Ereignissen enthaltenen Metadaten können weiter für eine tiefere Bedrohungsanalyse, die Erstellung neuer Dashboards und die Korrelation mit anderen Nicht-Citrix-Datenquellenereignissen in Ihrer Sicherheits- und IT-Infrastruktur verwendet werden.

    Derzeit sendet Citrix Analytics for Security Benutzerereignisse für diese Datenquellen an Ihr SIEM: Citrix Virtual Apps and Desktops™, Secure Private Access und Device Posture Service.

    Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemata finden Sie unter Datenquellenereignisse.

    Hinweis

    Kunden, die einen Logstash-Datenbroker verwenden, wird empfohlen, die neueste Konfigurationsdatei vom Citrix Analytics for Security-Portal herunterzuladen und in der Logstash-Dienstbereitstellung zu aktualisieren. Dadurch wird sichergestellt, dass die korrekten Datenquellenereignistabellen erstellt werden und die Ereignisse nun in den SIEM-Indizes verfügbar sind.

    Datenexporte

Fehlerbehebung bei der SIEM-Integration

Die Ansicht „Datenexporte für Sicherheit“ enthält eine Registerkarte Zusammenfassung, die Administratoren bei der Fehlerbehebung ihrer SIEM-Integration mit Citrix Analytics hilft. Das Zusammenfassungs-Dashboard bietet Einblick in den Zustand und den Datenfluss, indem es sie durch die Prüfpunkte führt, die den Fehlerbehebungsprozess unterstützen.

Fehlerbehebung bei Datenexporten

Weitere Informationen zu dieser Funktion finden Sie unter Fehlerbehebung bei Datenexporten.

Integration von Security Information and Event Management (SIEM)
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.