Citrix Analytics für Sicherheit

Integration von Sicherheitsinformationen und Ereignismanagement (SIEM)

Hinweis

Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die SIEM-Integration, den Export von Daten nach SIEM anzufordern und Feedback zu geben.

Integrieren Sie Citrix Analytics for Security in Ihre SIEM-Dienste und exportieren Sie die Benutzerdaten aus der Citrix IT-Umgebung in Ihr SIEM. Korrelieren Sie die exportierten Daten mit den in Ihrem SIEM verfügbaren Daten, um tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Diese Integration erhöht den Wert sowohl Ihres Citrix Analytics for Security als auch Ihres SIEM.

Vorteile

  • Ermöglicht es Ihren Security Operations-Teams, Daten aus unterschiedlichen Protokollen zu korrelieren, zu analysieren und zu durchsuchen.

  • Hilft Ihren Security Operations-Teams, die Sicherheitsrisiken zu identifizieren und schnell zu beheben.

  • Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort.

  • Zentraler Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.

  • Möglichkeit, die Citrix Analytics Risk Intelligence-Informationen eines Benutzerkontos mit den externen Datenquellen zu kombinieren und zu korrelieren, die in Ihrem SIEM verbunden sind.

SIEM-Integrationsarchitektur

Ihre SIEM-Integration stellt eine Verbindung zu dem nach Norden führenden Kafka her, das in der Citrix Analytics for Security Cloud bereitgestellt wird. Dies kann auf zwei Arten erreicht werden:

  • Kafka-Endpunkte: Wenn Ihr SIEM Kafka-Endpunkte unterstützt, verwenden Sie die in der Logstash-Konfigurationsdatei angegebenen Parameter und die Zertifikatsdetails in der JKS-Datei oder der PEM-Datei, um Ihr SIEM in Citrix Analytics for Security zu integrieren. Mit den Kafka-Endpunkten können Sie eine Verbindung herstellen und die Daten zum SIEM Ihrer Wahl abrufen.

  • Logstash-Engine: Wenn Ihr SIEM keine Kafka-Endpunkte unterstützt, können Sie die Logstash-Datenerfassungs-Engine verwenden. Sie können die Risk Insights-Daten von Citrix Analytics for Security an eines der Ausgabe-Plug-Ins senden, die von Logstash unterstützt werden.

Sehen Sie sich das folgende Architekturdiagramm der SIEM-Lösung an, um zu verstehen, wie Daten von Citrix Analytics for Security zu Ihrem SIEM-Service fließen:

SIEM-Lösungsarchitektur

Aktivieren oder Deaktivieren der Datenübertragung

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren.

    Hinweis Standardmäßig ist die Datenübertragung für SIEM immer aktiviert/aktiviert.

    Datenübertragung aktiviert

Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.

SIEM-Umgebung einrichten

Um Daten nach SIEM zu exportieren, müssen Sie die folgenden Aktionen ausführen:

  • Richten Sie Ihr Kafka-Konto und Ihre Authentifizierungsdaten ein
  • Laden Sie die vorausgefüllte Konfiguration herunter und richten Sie die SIEM-Umgebung ein
  • Datenereignisse für den Export

Einrichtung des SIEM-Exportkontos

  1. Um Ihr Konto einzurichten, navigieren Sie zu Einstellungen > Datenexporte > erweitern Sie Kontoeinrichtung. Erstellen Sie ein Konto, indem Sie den Benutzernamen und das Kennwort angeben. Sobald Sie Ihr Konto eingerichtet haben, werden Ihre Kafka-Daten generiert. Diese Details werden beim Generieren der Konfigurationsdatei automatisch eingebettet.

    Konto einrichten

  2. Klicken Sie auf Konfigurieren, um die Konfigurationsdatei zu generieren. Die Konfigurationsdatei enthält Details wie Kafka-Endpoints, Ihre spezifischen Abonnementthemen und Gruppen-IDs. Außerdem werden die Kafka- und SSL-Attribute vorkonfiguriert, die für den Abschluss der Authentifizierung und des Datenflusses erforderlich sind.

SIEM-Konfiguration und Umgebungs-Setup

Wählen Sie die SIEM-Umgebung nach Bedarf aus. Sie können Citrix Analytics for Security mit den folgenden Diensten integrieren. Unter den folgenden Links erhalten Sie detaillierte Informationen und SIEM-spezifische Konfigurationen:

SIEM-Umgebung

Datenereignisse, die aus Citrix Analytics for Security in Ihren SIEM-Dienst exportiert wurden

Im Rahmen von SIEM-Exporten gibt es zwei Arten von Datensätzen:

  1. Risikoeinblicksereignisse (Standardexporte) — Nachdem Sie die Kontokonfiguration und SIEM-Einrichtung abgeschlossen haben, fließen Standarddaten (Risk Insights-Ereignisse) in Ihre SIEM-Bereitstellung. Risk Insights-Daten enthalten Benutzerrisikobewertungen, Benutzerprofile und Risikoindikatorwarnungen. Diese werden vom Citrix Analytics-Algorithmus für maschinelles Lernen, Benutzerverhaltensanalyse und basierend auf Benutzerereignissen generiert. Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemas finden Sie unter Risk Insights-Daten für SIEM.

  2. Datenquellenereignisse (optionale Exporte) — Zusätzlich können Sie die Datenexportfunktion so konfigurieren, dass Benutzerereignisse aus den Datenquellen Ihrer Citrix Analytics for Security-fähigen Produkte exportiert werden. Wenn Sie eine Aktivität in der Citrix-Umgebung ausführen, werden die Datenquellenereignisse generiert. Die exportierten Ereignisse sind unverarbeitete Benutzer- und Produktnutzungsdaten in Echtzeit, wie sie in der Self-Service-Ansicht verfügbar sind Die in diesen Ereignissen enthaltenen Metadaten können außerdem für eine tiefere Bedrohungsanalyse, das Erstellen neuer Dashboards und die Zusammenarbeit mit anderen Nicht-Citrix-Datenquellenereignissen in Ihrer Sicherheits- und IT-Infrastruktur verwendet werden.

    Derzeit sendet Citrix Analytics for Security Benutzerereignisse für die Citrix Virtual Apps and Desktops-Datenquelle an Ihr SIEM.

    Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemas finden Sie unter Datenquellenereignisse.

    Hinweis

    Kunden, die einen Logstash-Datenbroker verwenden, wird empfohlen, die neueste Konfigurationsdatei vom Citrix Analytics for Security-Portal herunterzuladen und im Logstash-Dienstbereitstellung zu aktualisieren. Dadurch wird sichergestellt, dass die richtigen Datenquellen-Ereignistabellen erstellt werden und die Ereignisse nun in SIEM-Indizes verfügbar sind.

    Datenexporte

Problembehandlung bei der SIEM-Integration

Die Ansicht “Datenexporte für Sicherheit” enthält eine Registerkarte Zusammenfassung, die Administratoren bei der Behebung von Problemen bei der SIEM-Integration mit Citrix Analytics unterstützt. Das Übersichts-Dashboard bietet einen Überblick über den Zustand und den Datenfluss, indem es die Prüfpunkte durchläuft, die den Fehlerbehebungsprozess unterstützen.

Problembehandlung bei Datenexporten

Weitere Informationen zu dieser Funktion finden Sie unter Problembehandlung bei Datenexporten.

Integration von Sicherheitsinformationen und Ereignismanagement (SIEM)