Produktdokumentation
Citrix Analytics für Sicherheit
PDF anzeigen

Elasticsearch-Integration

November 16, 2023
Beitrag von: 
C

Hinweis

Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die Elasticsearch-Integration, den Export von Daten nach Elasticsearch anzufordern oder Feedback zu geben.

Integrieren Sie Citrix Analytics for Security mit Elasticsearch mithilfe der Logstash-Engine. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Sie können Elasticsearch auch mit den Visualisierungsdiensten und SIEMs wie Kibana und LogRhythm verwenden.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Integrationsprozess von Elasticsearch zu starten.

  • Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integrieren Sie mit Elasticsearch

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Datenexport

  3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  4. Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen

    Elasticsearch konfigurieren

  5. Wählen Sie im Abschnitt SIEM-Umgebung die Registerkarte Elastic Search, um die Konfigurationsdateien herunterzuladen:

    • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Elasticsearch mithilfe der Logstash-Datenerfassungsmaschine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .

    • JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

      Hinweis

      Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

      Elasticsearch wählen

  6. Konfigurieren Sie Logstash:

    1. Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

    2. Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:

      Host-Maschinentyp Dateiname Pfad für das Verzeichnis
      Linux CAS_Elasticsearch_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
          Für .zip- und .tar.gz-Archive: {extract.path}/config
        kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
          Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation .

    3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

      1. Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:

        • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.

        • SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.

        Elasticsearch-Eingabebereich

      2. Geben Sie im Ausgabebereich der Datei die Adresse Ihres Host-Computers oder des Clusters ein, in dem Elasticsearch ausgeführt wird.

        Elasticsearch-Ausgabebereich

    4. Starten Sie Ihren Host-Computer neu, um verarbeitete Daten von Citrix Analytics for Security an Elasticsearch zu senden.

Stellen Sie nach Abschluss der Konfiguration sicher, dass Sie die Citrix Analytics-Daten in Ihrer Elasticsearch anzeigen können.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Elasticsearch aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehen Sie zu Einstellungen > Datenexporte.

  2. Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert..

    SIEM-Übertragung ausschalten

    Zur Bestätigung wird ein Warnfenster angezeigt. Klicken Sie auf die Schaltfläche Datenübertragung ausschalten, um die Übertragungsaktivität zu beenden.

    Warnung beim Ausschalten der SIEM-Übertragung

Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.

Elasticsearch-Integration
November 16, 2023
Beitrag von: 
C
November 16, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.