Citrix Analytics für Sicherheit

SIEM-Integration mit Kafka oder Logstash-basiertem Datenkonnektor

Hinweis

Wenden Sie sich an CAS-PM-Ext@citrix.com, um Unterstützung für Ihre SIEM-Integration anzufordern, Daten in Ihr SIEM zu exportieren oder Feedback zu geben.

Sie können Citrix Analytics for Security in Ihre SIEM-Lösungen integrieren, die die Kafka-Endpunkte oder die Logstash-Engine unterstützen. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus der Citrix IT-Umgebung in Ihre SIEM-Umgebung zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Wenn Ihr SIEM Kafka-Endpoints unterstützt, verwenden Sie die in der Logstash-Konfigurationsdatei angegebenen Parameter und die Zertifikatsdetails in der JKS-Datei oder der PEM-Datei, um Ihr SIEM in Citrix Analytics for Security zu integrieren.

Die folgenden Parameter sind für die Integration mit Kafka erforderlich:

  • Benutzername

  • Host

  • Name des Themas

  • Sicherheitsprotokoll

  • SASL-Mechanismen

  • SSL Truststore-Standort

  • Sitzungstimeout

  • Autom. Offset

Wenn Ihr SIEM keine Kafka-Endpunkte unterstützt, können Sie die Logstash-Datenerfassungs-Engine verwenden. Sie können die verarbeiteten Daten von Citrix Analytics for Security an eines der Ausgabe-Plug-Ins senden, die von Logstash unterstützt werden.

In diesem Artikel werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr SIEM mithilfe von Logstash in Citrix Analytics for Security zu integrieren.

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, mit der Integration mit Ihrem SIEM-Tool zu beginnen.

  • Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Mit Logstash in einen SIEM-Dienst integrieren

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Site-KarteErste Schritteaus.

    SIEM-Datenexport

  3. Erstellen Sie auf der Seite SIEM-Integration konfigurieren ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Konfigurationsseite

  4. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  5. Wählen Sie Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen.

    Konfigurieren Sie andere SIEMs

  6. Wählen Sie die Registerkarte Andere, um die Konfigurationsdateien herunterzuladen.

    • Logstash-Konfigurationsdatei: Diese Datei enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security mithilfe der Logstash-Datenerfassungs-Engine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .

    • JKS-Datei: Diese Datei enthält die für die SSL-Verbindung erforderlichen Zertifikate. Diese Datei ist erforderlich, wenn Sie Ihr SIEM mit Logstash integrieren.

    • PEM-Datei: Diese Datei enthält die für die SSL-Verbindung erforderlichen Zertifikate. Diese Datei ist erforderlich, wenn Sie Ihr SIEM mit Kafka integrieren.

      Hinweis

      Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

    Wählen Sie die Registerkarte Andere

  7. Konfigurieren Sie Logstash:

    1. Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

    2. Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:

      Host-Maschinentyp Dateiname Pfad für das Verzeichnis
      Linux CAS_Others_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
          Für .zip- und .tar.gz-Archive: {extract.path}/config
        kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
          Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  
    3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

      Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:

      • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.

      • SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.

      Anderer SIEM-Eingangsbereich

      Geben Sie im Ausgabebereich der Datei den Zielpfad oder die Details ein, an die Sie die Daten senden möchten. Informationen zu den Ausgabe-Plug-Ins finden Sie in der Logstash-Dokumentation .

      Das folgende Snippet zeigt, dass die Ausgabe in eine lokale Protokolldatei geschrieben wird.

      Anderer SIEM-Ausgabebereich

    4. Starten Sie Ihren Hostcomputer neu, um verarbeitete Daten von Citrix Analytics for Security an Ihren SIEM-Dienst zu senden.

Melden Sie sich nach Abschluss der Konfiguration bei Ihrem SIEM-Dienst an und überprüfen Sie die Citrix Analytics-Daten in Ihrem SIEM.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Ihr SIEM aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Standortkarte die vertikale Ellipse () aus, und klicken Sie dann auf Datenübertragung ausschalten.

    SIEM-Übertragung ausschalten

Um die Datenübertragung wieder zu aktivieren, klicken Sie auf der SIEM-Site-Karteauf Datenübertragung einschalten.

SIEM-Übertragung einschalten

SIEM-Integration mit Kafka oder Logstash-basiertem Datenkonnektor