Splunk-Integration

Integrieren Sie Citrix Analytics for Security in Splunk, um die Benutzerdaten aus Ihrer Citrix IT-Umgebung zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Informationen zu einem umfassenden Verständnis der Splunk-Bereitstellungsmethodik und zur Umsetzung der Strategien für eine effektive Planung finden Sie in der Splunk-Dokumentation zur Splunk-Architektur mit Citrix Analytics-Anwendungen, die in der Splunk-Dokumentation gehostet werden .

Integrieren Sie Citrix Analytics for Security mit Splunk

Folgen Sie den Anweisungen zur Integration von Citrix Analytics for Security in Splunk:

• Datenexport. Citrix Analytics for Security erstellt einen Kafka-Kanal und exportiert Risk Insights und Datenquellenereignisse. Splunk ruft diese Risikointelligenz aus dem Kanal ab.

• Holen Sie sich die Konfiguration auf Citrix Analytics. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto zur Authentifizierung. Citrix Analytics for Security bereitet eine Konfigurationsdatei vor, die Sie zum Konfigurieren des Citrix Analytics-Add-Ons für Splunk benötigen.

• Laden Sie das Citrix Analytics Add-On für Splunk herunter und installierenSie es. Laden Sie das Citrix Analytics-Add-on für Splunk entweder mithilfe von Splunkbase oder Splunk Cloud herunter, um den Installationsvorgang abzuschließen.

• Konfigurieren Sie das Citrix Analytics-Add-On für Splunk. Richten Sie eine Dateneingabe mithilfe der von Citrix Analytics for Security bereitgestellten Konfigurationsdetails ein und konfigurieren Sie das Citrix Analytics-Add-On für Splunk.

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

• Funktion zum Zurücksetzen des Kennworts
• Aktivieren oder Deaktivieren der Datenübertragung

Nachdem das Citrix Analytics-Add-On für Splunk konfiguriert wurde, siehe:

• So nutzen Sie Ereignisse in Splunk Environment
• So konfigurieren Sie Citrix Analytics App für Splunk

Datenexport

1. Gehen Sie zu Einstellungen > Datenexporte.

2. Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

   

3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

   

4. Wählen Sie Konfigurieren.

   Citrix Analytics for Security bereitet die für die Splunk-Integration erforderlichen Konfigurationsdetails vor.

   

5. Wählen Sie Splunkaus.

6. Kopieren Sie die Konfigurationsdetails, darunter den Benutzernamen, die Hosts, den Kafka-Themennamen und den Gruppennamen.

   Sie benötigen diese Details, um das Citrix Analytics Add-on für Splunk in den folgenden Schritten zu konfigurieren.

   WICHTIG

   Diese Daten sind sensibel und Sie müssen sie an einem sicheren Ort aufbewahren.

   

Um Kandidatendaten für die Splunk-Integration zu generieren, aktivieren Sie entweder die Datenverarbeitung für mindestens eine Datenquelle oder verwenden Sie die Funktion zur Generierung von Testereignissen. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu starten.

Funktion zum Zurücksetzen des Kennworts

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf der Seite Konto einrichten auf Kennwort zurücksetzen.

   

2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEUES KENNWORT und NEUES KENNWORT BESTÄTIGEN an. Folgen Sie den angezeigten Kennwortregeln.

   

3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird eingeleitet.

   

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Aktivieren oder Deaktivieren der Datenübertragung

Die Datenübertragung für den Splunk-Datenexport aus Citrix Analytics ist standardmäßig aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

1. Gehe zu Einstellungen > Datenexporte.

2. Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren.

   

Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.

Citrix Analytics-Add-On für Splunk

Sie können wählen, ob Sie die Zusatzanwendung auf einer der folgenden Plattformen installieren möchten:

• Splunk Enterprise (Schwerer Spediteur)
• Splunk-Cloud

Citrix Analytics-Zusatzmodul für Splunk (lokal/unternehmensweit)

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

• CentOS Linux 7 und höher
• Debian GNU/Linux 10.0 und höher
• Red Hat Enterprise Linux Server 7.0 und höher
• Ubuntu 18.04 LTS und höher

Hinweis

• Citrix empfiehlt, die neueste Version der vorherigen Betriebssysteme oder die Versionen zu verwenden, die noch von den jeweiligen Anbietern unterstützt werden.

• Verwenden Sie für die Linux-Kernel-Betriebssysteme (64-Bit) eine Kernelversion, die von Splunk unterstützt wird. Weitere Informationen finden Sie in der Splunk-Dokumentation.

Sie können unsere Splunk-Integration auf der folgenden Splunk-Version konfigurieren: Splunk 8.1 (64-Bit) und höher.

Voraussetzungen

• Das Citrix Analytics-Add-On für Splunk stellt eine Verbindung zu den folgenden Endpunkten in Citrix Analytics for Security her. Stellen Sie sicher, dass sich die Endpunkte in der Zulassungsliste Ihres Netzwerks befinden.

  Endpunkt	Region der Vereinigten Staaten	Region der Europäischen Union	Asien-Pazifik Süd
  Kafka Broker	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Hinweis

Versuchen Sie, die Endpunktnamen und nicht die IP-Adressen zu verwenden. Die öffentlichen IP-Adressen der Endpunkte können sich ändern.

Citrix Analytics-Add-On für Splunk herunterladen und installieren

Sie können wählen, ob Sie das Add-on mithilfe von App aus Datei installieren oder aus der Splunk-Umgebung heraus installieren möchten.

App aus Datei installieren

1. Geh zu Splunkbase.

2. Laden Sie das Citrix Analytics-Add-on für Splunk-Datei herunter.

3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

4. Klicken Sie auf App aus Datei installieren.

5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

   Hinweise

   • Wenn Sie eine ältere Version des Add-Ons haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

   • Wenn Sie das Citrix Analytics Add-on für Splunk von einer Version vor 2.0.0 aktualisieren, müssen Sie die folgenden Dateien und Ordner im Ordner /bin des Add-On-Installationsordners löschen und Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu starten:

     • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
     • rm -rf splunklib
     • rm -rf mac
     • rm -rf linux_x64
     • rm CARoot.pem
     • rm certificate.pem

6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

2. Suchen Sie auf der Seite “Weitere Apps durchsuchen” im Citrix Analytics Add-on nach Splunk.

3. Klicken Sie neben der App auf Installieren .

4. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

   

2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

   

3. Klicken Sie auf New.

   

4. Geben Sie auf der Seite Daten hinzufügen die Details ein, die in der Citrix Analytics-Konfigurationsdatei enthalten sind.

   

5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk-Index, Hostnamen und Quelltyp definieren.

   

6. Klicken Sie auf Weiter. Ihre Citrix Analytics-Dateneingabe wird erstellt und das Citrix Analytics-Add-On für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics-Zusatzmodul für Splunk (Cloud)

Sie können unsere Splunk-Integration auf der folgenden Splunk-Version konfigurieren: Splunk 8.1 und höher.

Voraussetzungen

Das Citrix Analytics-Add-on für Splunk stellt eine Verbindung zu den folgenden IPs und ausgehenden Ports her, um eine Verbindung zu Citrix Analytics for Security herzustellen. Stellen Sie sicher, dass die folgenden IPs und ausgehenden Ports (abhängig von Ihrer Citrix Cloud-Region) in der Zulassungsliste in Ihrem Netzwerk enthalten sind. Informationen zur Konfiguration dieser IPs und ausgehenden Ports finden Sie im Abschnitt Hinzufügen von Citrix Analytics-IPs und ausgehenden Ports zur Splunk Cloud-Zulassungsliste mithilfe des Admin Configuration Service ( ACS).

Region der Vereinigten Staaten	IP	Ausgehender Port	Region der Europäischen Union	IP	Ausgehender Port	Asien-Pazifik Süd	IP	Ausgehender Port
casnb-0 citrix.com	20.242.21.84	9094	casnb-de-0 citrix.com	20.229.150.41	9094	casnb-aps-0 citrix.com	20.211.0.214	9094
casnb-1.citrix.com	20.98.232.61	9094	casnb-eu-1.citrix.com	20.107.97.59	9094	casnb-aps-1 | citrix.com	20.211.38.102	9094
casnb-2.citrix.com	20.242.21.108	9094	casnb-eu-2.citrix.com	51.124.223.162	9094	casnb-aps-2 citrix.com	20.211.36.180	9094
casnb-3.citrix.com	20.242.57.140	9094

Hinweis:

Diese IPs können rotiert werden. Stellen Sie sicher, dass Ihre Liste der zugelassenen IP-Adressen mit den neuesten IPs aktualisiert wird, wie oben gezeigt.

Fügen Sie Citrix Analytics-IPs und ausgehende Ports mithilfe des Admin Configuration Service (ACS) zur Splunk Cloud-Zulassungsliste hinzu

1. Abhängig von Ihrer Citrix Cloud-Region müssen keine IP-Adressen zur Zulassungsliste hinzugefügt werden.
2. Aktivieren Sie den Admin Configuration Service (ACS) auf der Splunk Cloud Platform.
3. Erstellen Sie ein Token für die Zulassungsliste mit einem lokalen Konto mit Administratorrechten.
4. Führen Sie die Befehle cURL GET und POST aus, um Subnetze zur Zulassungsliste der jeweiligen Ports hinzuzufügen und zu überprüfen, ob sie erfolgreich hinzugefügt wurden.
5. Führen Sie die cURL-Befehle GET und POST aus, um ausgehende Ports zur Zulassungsliste hinzuzufügen und zu überprüfen, ob sie erfolgreich hinzugefügt wurden.

Citrix Analytics-Add-On für Splunk herunterladen und installieren

1. Gehen Sie zu Apps > Weitere Apps finden > Suchen Sie nach dem Citrix Analytics-Add-on für Splunk.

   

2. Installiere die App.
3. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

1. Gehen Sie zu Einstellungen > Dateneingaben > Citrix Analytics-Add-on.

   

2. Fügen Sie die Eingabe hinzu: Splunk-Integration

   Citrix Analytics für Sicherheit. Klicken Sie auf Neu hinzufügen.

   

3. Konfigurieren Sie die Dateneingabe, indem Sie die auf der Seite Citrix Analytics-Datenexporte konfigurierten Details eingeben.

   

4. Überprüfen Sie, ob Ihre Dateneingabe erfolgreich hinzugefügt wurde.

   

So nutzen Sie Ereignisse in Ihrer Splunk-Umgebung

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können mit der Suche nach den Ereignissen Ihrer Organisation im Splunk -Suchkopf basierend auf der konfigurierten Dateneingabe beginnen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Eine Beispielausgabe:

Verwenden Sie die folgende Suchanfrage, um Probleme mit dem Add-On zu suchen und zu beheben:

Die Ergebnisse werden im folgenden Format angezeigt:

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenformat für SIEM.

Problembehandlung beim Citrix Analytics-Add-On für Splunk

Wenn Sie keine Daten in Ihren Splunk-Dashboards sehen oder beim Konfigurieren des Citrix Analytics-Add-ons für Splunk Probleme auftreten, führen Sie die Debugging-Schritte aus, um das Problem zu beheben. Weitere Informationen finden Sie unter Konfigurationsprobleme mit dem Citrix Analytics-Add-on für Splunk.

Hinweis

Wenden Sie sich an CAS-PM-Ext@citrix.com, um Unterstützung bei der Splunk-Integration anzufordern, Daten nach Splunk zu exportieren oder Feedback zu geben.

Citrix Analytics App für Splunk

Hinweis

Diese App befindet sich in der Vorschau.

Citrix Analytics App für Splunk ermöglicht es Splunk Enterprise-Administratoren, die von Citrix Analytics for Security gesammelten Benutzerdaten in Form von aufschlussreichen und umsetzbaren Dashboards auf Splunk anzuzeigen. Mithilfe dieser Dashboards erhalten Sie einen detaillierten Überblick über das riskante Verhalten der Benutzer in Ihrem Unternehmen und können rechtzeitig Maßnahmen ergreifen, um Insider-Bedrohungen abzuwehren. Sie können die von Citrix Analytics for Security gesammelten Daten auch mit anderen auf Ihrem Splunk konfigurierten Datenquellen korrelieren. Diese Korrelation gibt Ihnen Einblick in die riskanten Aktivitäten der Benutzer aus verschiedenen Quellen und ergreift Maßnahmen zum Schutz Ihrer IT-Umgebung.

Unterstützte Splunk-Version

Die Citrix Analytics App für Splunk läuft auf den folgenden Splunk-Versionen:

• Splunk 9.0 64-Bit

• Splunk 8.2 64-Bit

• Splunk 8.1 64-Bit

Voraussetzungen für Citrix Analytics App für Splunk

• Installieren Sie das Citrix Analytics-Add-On für Splunk.

• Stellen Sie sicher, dass die für das Citrix Analytics-Add-On für Splunk genannten Voraussetzungen bereits erfüllt sind.

• Stellen Sie sicher, dass die Daten von Citrix Analytics for Security zu Splunk fließen.

Installation und Konfiguration

Wo installiere ich die App?

Splunk Suchkopf

Wie installiere und konfiguriere ich die App?

Sie können die Citrix Analytics App für Splunk installieren, indem Sie sie von Splunkbase herunterladen oder von Splunk aus installieren.

App aus Datei installieren

1. Geh zu Splunkbase.

2. Laden Sie die Datei Citrix Analytics App für Splunk herunter.

3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

4. Klicken Sie auf App aus Datei installieren.

5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

   Hinweis

   Wenn Sie eine ältere Version der App haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

2. Suchen Sie auf der Seite Weitere Apps durchsuchen die Citrix Analytics App nach Splunk.

3. Klicken Sie neben der App auf Installieren .

Konfigurieren Sie Ihren Index und Ihren Quelltyp, um Daten zu korrelieren

1. Nachdem Sie die App installiert haben, klicken Sie auf Jetzt einrichten.

   

2. Geben Sie die folgenden Abfragen ein:

   • Index und Quelltyp, in dem die Daten von Citrix Analytics for Security gespeichert werden.

     Hinweis

     Diese Abfragewerte müssen mit den im Citrix Analytics-Add-On für Splunk angegebenen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

   • Index, von dem aus Sie Ihre Daten mit Citrix Analytics for Security korrelieren möchten.

     

3. Klicken Sie auf App-Setup beenden, um die Konfiguration abzuschließen.

Nachdem Sie die Citrix Analytics App für Splunk konfiguriert und eingerichtet haben, verwenden Sie die Citrix Analytics-Dashboards, um die Benutzerereignisse auf Ihrem Splunk anzuzeigen.

Weitere Informationen zur Splunk-Integration finden Sie unter den folgenden Links:

• Citrix Analytics-Integration mit Splunk
• Die Citrix Analytics-App für Splunk, jetzt in Splunkbase