Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Elasticsearch-Integration

September 16, 2025
Beitrag von: 
C C

Hinweis

Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung bei der Elasticsearch-Integration, dem Export von Daten nach Elasticsearch oder Feedback zu erhalten.

Integrieren Sie Citrix Analytics for Security mit Elasticsearch mithilfe der Logstash-Engine. Diese Integration ermöglicht es Ihnen, Benutzerdaten aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren, um tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Sie können Elasticsearch auch mit Visualisierungsdiensten und SIEMs wie Kibana und LogRhythm verwenden.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement (SIEM).

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Dies hilft Citrix Analytics for Security™, den Elasticsearch-Integrationsprozess zu starten.

  • Stellen Sie sicher, dass der folgende Endpunkt in der Zulassungsliste Ihres Netzwerks enthalten ist.

    Endpunkt Region Vereinigte Staaten Region Europäische Union Region Asien-Pazifik Süd
    Kafka-Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integration mit Elasticsearch

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Datenexport

  3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    SIEM-Kennwortanforderungen

  4. Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu generieren.

    Elasticsearch konfigurieren

  5. Wählen Sie die Registerkarte Elastic Search im Abschnitt “SIEM-Umgebung” aus, um die Konfigurationsdateien herunterzuladen:

    • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Elasticsearch mithilfe der Logstash-Datenerfassungs-Engine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation.

    • JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

      Hinweis

      Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

      Elasticsearch auswählen

  6. Logstash konfigurieren:

    1. Installieren Sie Logstash auf Ihrer Linux- oder Windows-Hostmaschine. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

    2. Platzieren Sie auf der Hostmaschine, auf der Sie Logstash installiert haben, die folgenden Dateien im angegebenen Verzeichnis:

      Hostmaschinentyp Dateiname Verzeichnispfad
      Linux CAS_Elasticsearch_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
          Für .zip- und .tar.gz-Archive: {extract.path}/config
        kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
          Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation.

    3. Öffnen Sie die Logstash-Konfigurationsdatei und führen Sie die folgenden Schritte aus:

      1. Geben Sie im Eingabeabschnitt der Datei die folgenden Informationen ein:

        • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security erstellt haben, um die Konfigurationsdatei vorzubereiten.

        • SSL-Truststore-Speicherort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrer Hostmaschine.

        Elasticsearch-Eingabeabschnitt

      2. Geben Sie im Ausgabeabschnitt der Datei die Adresse Ihrer Hostmaschine oder des Clusters ein, auf dem Elasticsearch ausgeführt wird.

        Elasticsearch-Ausgabeabschnitt

    4. Starten Sie Ihre Hostmaschine neu, um verarbeitete Daten von Citrix Analytics for Security an Elasticsearch zu senden.

Nach Abschluss der Konfiguration überprüfen Sie, ob Sie die Citrix Analytics-Daten in Ihrem Elasticsearch anzeigen können.

Datenübertragung aktivieren oder deaktivieren

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Elasticsearch aktiviert.

So beenden Sie die Datenübertragung von Citrix Analytics for Security:

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Deaktivieren Sie den Umschalter, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert.

    SIEM-Übertragung deaktivieren

    Ein Warnfenster wird zur Bestätigung angezeigt. Klicken Sie auf die Schaltfläche Datenübertragung deaktivieren, um die Übertragungsaktivität zu beenden.

    Warnung zur Deaktivierung der SIEM-Übertragung

Um die Datenübertragung wieder zu aktivieren, schalten Sie den Umschalter ein.

Elasticsearch-Integration
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.