Citrix Analytics für Sicherheit

Elasticsearch-Integration

Hinweis

Wenden Sie sich an CAS-PM-Ext@citrix.com, um Unterstützung bei der Elasticsearch-Integration anzufordern, Daten nach Elasticsearch zu exportieren oder Feedback zu geben.

Integrieren Sie Citrix Analytics for Security mit Elasticsearch mithilfe der Logstash-Engine. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Sie können Elasticsearch auch mit den Visualisierungsdiensten und SIEMs wie Kibana und LogRhythm verwenden.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Integrationsprozess von Elasticsearch zu starten.

  • Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integrieren Sie mit Elasticsearch

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Site-KarteErste Schritteaus.

    SIEM-Datenexport

  3. Erstellen Sie auf der Seite SIEM-Integration konfigurieren ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Konfigurationsseite

  4. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  5. Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen

    Elasticsearch konfigurieren

  6. Wählen Sie den Tab Elastic Search, um die Konfigurationsdateien herunterzuladen:

    • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Elasticsearch mithilfe der Logstash-Datenerfassungsmaschine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .

    • JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

      Hinweis

      Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

      Elasticsearch wählen

  7. Konfigurieren Sie Logstash:

    1. Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

    2. Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:

      Host-Maschinentyp Dateiname Pfad für das Verzeichnis
      Linux CAS_Elasticsearch_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
          Für .zip- und .tar.gz-Archive: {extract.path}/config
        kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
          Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation.

    3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

      1. Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:

        • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.

        • SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.

        Elasticsearch-Eingabebereich

      2. Geben Sie im Ausgabebereich der Datei die Adresse Ihres Host-Computers oder des Clusters ein, in dem Elasticsearch ausgeführt wird.

        Elasticsearch-Ausgabebereich

    4. Starten Sie Ihren Host-Computer neu, um verarbeitete Daten von Citrix Analytics for Security an Elasticsearch zu senden.

Stellen Sie nach Abschluss der Konfiguration sicher, dass Sie die Citrix Analytics-Daten in Ihrer Elasticsearch anzeigen können.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Elasticsearch aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Standortkarte die vertikale Ellipse () aus, und klicken Sie dann auf Datenübertragung ausschalten.

    SIEM-Übertragung ausschalten

Um die Datenübertragung wieder zu aktivieren, klicken Sie auf der SIEM-Site-Karteauf Datenübertragung einschalten.

SIEM-Übertragung einschalten

Elasticsearch-Integration