Citrix Analytics für Sicherheit

Microsoft Sentinel-Integration

Hinweise

  • Wenden Sie sich an, < CAS-PM-Ext@citrix.com > um Unterstützung für die Microsoft Sentinel-Integration anzufordern, Daten nach Microsoft Sentinel zu exportieren oder Feedback zu geben.

  • Der Datenexport nach Microsoft Sentinel mithilfe der Logstash-Engine befindet sich in der Vorschau. Diese Funktion wird ohne Service Level Agreement bereitgestellt und wird nicht für Produktionsarbeitslasten empfohlen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation .

Integrieren Sie Citrix Analytics for Security mithilfe der Logstash-Engine in Ihren Microsoft Sentinel.

Diese Integration ermöglicht es Ihnen, die Benutzerdaten aus Ihrer Citrix IT-Umgebung zu Microsoft Sentinel zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Zeigen Sie in Ihrer Splunk-Umgebung die aufschlussreichen Dashboards an, die nur für Citrix Analytics for Security gelten. Sie können auch benutzerdefinierte Ansichten basierend auf Ihren Sicherheitsanforderungen erstellen.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Microsoft Sentinel-Integrationsprozess zu beginnen.

  • Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Stellen Sie sicher, dass Sie Logstash-Versionen von 7.0 bis 7.9 mit dem Microsoft Sentinel-Ausgabe-Plug-in für Logstash verwenden.

Integrieren Sie mit Microsoft Sentinel

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Site-KarteErste Schritteaus.

    SIEM-Datenexport

  3. Erstellen Sie auf der Seite SIEM-Integration konfigurieren ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Konfigurationsseite

  4. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  5. Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen

    Konfigurieren

  6. Wählen Sie die Registerkarte Microsoft Sentinel, um die Konfigurationsdateien herunterzuladen:

    • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Microsoft Sentinel mithilfe des Logstash-Datenerfassungsmoduls.

      Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .

    • JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

    Hinweis

    Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

    Wählen Sie Microsoft Sentinel

  7. Bereiten Sie Ihre Microsoft Sentinel-Integration vor:

    1. Aktivieren Sie auf Ihrem Azure-Portal Microsoft Sentinel. Sie können einen Workspace erstellen oder Ihren vorhandenen Workspace verwenden, um Microsoft Sentinel auszuführen.

    2. Wählen Sie im Hauptmenü Datenkonnektoren aus, um die Datenkonnektoren-Galerie zu öffnen.

    3. Suchen Sie nach Citrix Analytics (Sicherheit).

    4. Wählen Sie Citrix Analytics (Sicherheit) und wählen Sie Connector-Seite öffnen.

      Seite des Sentinel-Datenkonnektors

    5. Kopieren Sie auf der Seite Citrix Analytics (Sicherheit) die Workspace-ID und den Primärschlüssel. Sie müssen diese Informationen in den nachfolgenden Schritten in die Logstash-Konfigurationsdatei eingeben.

      Seite Datenkonnektor-Konfiguration

    6. Konfiguriere Logstash auf deinem Host-Computer:

      1. Installieren Sie auf Ihrem Linux- oder Windows-Host-Computer Logstash und das Microsoft Sentinel-Ausgabe-Plug-in für Logstash.

      2. Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:

        Host-Maschinentyp Dateiname Pfad für das Verzeichnis
        Linux CAS_AzureSentinel_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
            Für .zip- und .tar.gz-Archive: {extract.path}/config
          kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
            Für .zip- und .tar.gz-Archive: {extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation.

      3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

        1. Geben Sie im Eingabebereich der Datei Folgendes ein:

          • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.

          • SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.

          Input-Bereich

        2. Geben Sie im Ausgabeabschnitt der Datei die Workspace-ID und den Primärschlüssel (den Sie von Microsoft Sentinel kopiert haben) im Ausgabeabschnitt der Datei ein.

          Abschnitt "Ausgabe"

      4. Starten Sie den Logstash-Hostcomputer neu, um die verarbeiteten Daten von Citrix Analytics for Security an Microsoft Sentinel zu senden.

    7. Gehen Sie zu Ihrem Microsoft Sentinel Workspace und zeigen Sie die Daten in der Citrix Analytics Analytics-Arbeitsmappean.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Microsoft Sentinel aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Standortkarte die vertikale Ellipse () aus, und klicken Sie dann auf Datenübertragung ausschalten.

    SIEM-Übertragung ausschalten

Um die Datenübertragung wieder zu aktivieren, klicken Sie auf der SIEM-Site-Karteauf Datenübertragung einschalten.

SIEM-Übertragung einschalten

Microsoft Sentinel-Integration