Citrix Analytics für Sicherheit

Splunk-Integration

Hinweis

Wenden Sie sich an CAS-PM-Ext@citrix.com, um Unterstützung bei der Splunk-Integration anzufordern, Daten nach Splunk zu exportieren oder Feedback zu geben.

Integrieren Sie Citrix Analytics for Security mit Splunk, um die Daten der Benutzer aus Ihrer Citrix IT-Umgebung zu Splunk zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

  • CentOS Linux 7 und höher
  • Debian GNU/Linux 10.0 und höher
  • Red Hat Enterprise Linux Server 7.0 und höher
  • Ubuntu 18.04 LTS und höher

WICHTIG

  • Citrix empfiehlt die Verwendung der neuesten Version der vorhergehenden Betriebssysteme oder der Versionen, die weiterhin von den jeweiligen Anbietern unterstützt werden.

  • Verwenden Sie für die Linux-Kernel-Betriebssysteme (64-Bit) eine Kernelversion, die von Splunk unterstützt wird. Weitere Informationen finden Sie in der Splunk-Dokumentation.

Sie können die Splunk-Integration für die folgenden Splunk-Versionen konfigurieren:

  • Splunk Cloud Inputs Datenmanager (IDM)

  • Splunk 8.1 (64-bit) und höher

Voraussetzungen

  • Das Citrix Analytics-Add-On für Splunk stellt eine Verbindung zu den folgenden Endpunkten in Citrix Analytics for Security her. Stellen Sie sicher, dass sich die Endpunkte in der Zulassungsliste Ihres Netzwerks befinden.

    Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd
    Kafka Broker casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu beginnen.

Integrieren Sie Citrix Analytics for Security mit Splunk

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics for Security in Splunk:

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

Nachdem das Citrix Analytics-Add-On für Splunk konfiguriert wurde, siehe:

Datenexport

  1. Gehen Sie zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Site-KarteErste Schritteaus.

    SIEM-Datenexport

Holen Sie sich die Konfiguration auf Citrix Analytics for Security

  1. Erstellen Sie im Abschnitt Konfiguration in Citrix Analytics ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    Abschnitt konfigurieren

  2. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    Anforderungen für SIEM-Kennwörter

  3. Wählen Sie Konfigurieren.

    Citrix Analytics for Security bereitet die für die Splunk-Integration erforderlichen Konfigurationsdetails vor.

    Konfigurieren SIEM

  4. Wählen Sie Splunkaus.

  5. Kopieren Sie die Konfigurationsdetails, darunter den Benutzernamen, die Hosts, den Kafka-Themennamen und den Gruppennamen.

    Sie benötigen diese Details, um das Citrix Analytics Add-on für Splunk in den folgenden Schritten zu konfigurieren.

    WICHTIG

    Diese Daten sind sensibel und Sie müssen sie an einem sicheren Ort aufbewahren.

    Konfigurationsdetails

Citrix Analytics Analytics-Add-On für Splunk herunterladen und installieren

  1. Melden Sie sich bei Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung an.

  2. Installieren Sie das Citrix Analytics Analytics-Add-On für Splunk, indem Sie es entweder von Splunkbase herunterladen oder indem Sie es in Splunk installieren.

App aus Datei installieren

  1. Geh zu Splunkbase.

  2. Laden Sie das Citrix Analytics Analytics-Add-on für Splunk-Datei herunter.

  3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

  4. Klicken Sie auf App aus Datei installieren.

  5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

    Hinweise

    • Wenn Sie eine ältere Version des Add-Ons haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

    • Wenn Sie das Citrix Analytics Add-on für Splunk von einer Version vor 2.0.0 aktualisieren, müssen Sie die folgenden Dateien und Ordner im Ordner /bin des Add-On-Installationsordners löschen und Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu starten:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

  1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

  2. Suchen Sie auf der Seite “Weitere Apps durchsuchen” im Citrix Analytics Add-on nach Splunk.

  3. Klicken Sie neben der App auf Installieren .

  4. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

  1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

    Splunk-Konfiguration

  2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

    Splunk-Konfiguration

  3. Klicken Sie auf New.

    Splunk-Konfiguration

  4. Geben Sie auf der Seite Daten hinzufügen die Details ein, die in der Citrix Analytics-Konfigurationsdatei enthalten sind.

    Splunk-Konfiguration

  5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk-Index, Hostnamen und Quelltyp definieren.

    Splunk-Konfiguration

  6. Klicken Sie auf Weiter. Ihre Citrix Analytics-Dateneingabe wird erstellt und das Citrix Analytics-Add-On für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics Konfigurationskennwort zurücksetzen

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf der Seite Konfiguration in Citrix Analytics auf Kennwort zurücksetzen.

    SIEM Kennwort zurücksetzen

  2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEUES KENNWORT und NEUES KENNWORT BESTÄTIGEN an. Befolgen Sie die angezeigten Kennwortregeln.

    Anforderungen für SIEM-Kennwörter

  3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird eingeleitet.

    SIEM Kennwort zurücksetzen

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Wie man Ereignisse in Splunk konsumiert

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können die Ereignisse Ihrer Organisation basierend auf der konfigurierten Dateneingabe im Splunk-Suchkopf durchsuchen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Eine Beispielausgabe:

Verbrauch von Splunk Ereignissen

Verwenden Sie die folgende Suchanfrage, um Probleme mit dem Add-On zu suchen und zu beheben:

Verbrauch von Splunk Ereignissen

Die Ergebnisse werden im folgenden Format angezeigt:

Verbrauch von Splunk Ereignissen

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenformat für SIEM.

Citrix Analytics App für Splunk

Hinweis

Diese App befindet sich in der Vorschau.

Citrix Analytics App für Splunk ermöglicht es Splunk Enterprise-Administratoren, die von Citrix Analytics for Security gesammelten Benutzerdaten in Form von aufschlussreichen und umsetzbaren Dashboards auf Splunk anzuzeigen. Mithilfe dieser Dashboards erhalten Sie einen detaillierten Überblick über das riskante Verhalten der Benutzer in Ihrem Unternehmen und ergreifen rechtzeitig Maßnahmen, um Insider-Bedrohungen zu mindern. Sie können die von Citrix Analytics for Security gesammelten Daten auch mit anderen auf Ihrem Splunk konfigurierten Datenquellen korrelieren. Diese Korrelation bietet Ihnen einen Einblick in die riskanten Aktivitäten der Benutzer aus mehreren Quellen und ergreift Maßnahmen zum Schutz Ihrer IT-Umgebung.

Unterstützte Splunk-Version

Die Citrix Analytics App für Splunk läuft auf den folgenden Splunk-Versionen:

  • Splunk 8.2 64-Bit

  • Splunk 8.1 64-Bit

  • Splunk 8.0 64-Bit

  • Splunk 7.3 64-Bit

Voraussetzungen für Citrix Analytics App für Splunk

  • Installieren Sie das Citrix Analytics-Add-On für Splunk.

  • Stellen Sie sicher, dass die für das Citrix Analytics-Add-On für Splunk genannten Voraussetzungen bereits erfüllt sind.

  • Stellen Sie sicher, dass die Daten von Citrix Analytics for Security zu Splunk fließen.

Installation und Konfiguration

Wo installiere ich die App?

Splunk Suchkopf

Wie installiere und konfiguriere ich die App?

Sie können die Citrix Analytics App für Splunk installieren, indem Sie sie von Splunkbase herunterladen oder von Splunk aus installieren.

App aus Datei installieren
  1. Geh zu Splunkbase.

  2. Laden Sie die Datei Citrix Analytics App für Splunk herunter.

  3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

  4. Klicken Sie auf App aus Datei installieren.

  5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

    Hinweis

    Wenn Sie eine ältere Version der App haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

  6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus
  1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

  2. Suchen Sie auf der Seite Weitere Apps durchsuchen die Citrix Analytics App nach Splunk.

  3. Klicken Sie neben der App auf Installieren .

Konfigurieren Sie Ihren Index und Ihren Quelltyp, um Daten zu korrelieren
  1. Nachdem Sie die App installiert haben, klicken Sie auf Jetzt einrichten.

    App einrichten

  2. Geben Sie die folgenden Abfragen ein:

    • Index und Quelltyp, in dem die Daten von Citrix Analytics for Security gespeichert werden.

      Hinweis

      Diese Abfragewerte müssen mit den im Citrix Analytics-Add-On für Splunk angegebenen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

    • Index, von dem aus Sie Ihre Daten mit Citrix Analytics for Security korrelieren möchten.

      Quelle und Index

  3. Klicken Sie auf App-Setup beenden, um die Konfiguration abzuschließen.

Nachdem Sie die Citrix Analytics App für Splunk konfiguriert und eingerichtet haben, verwenden Sie die Citrix Analytics-Dashboards, um die Benutzerereignisse auf Ihrem Splunk anzuzeigen.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Splunk aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

  1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

  2. Wählen Sie auf der SIEM-Standortkarte die vertikale Ellipse () aus, und klicken Sie dann auf Datenübertragung ausschalten.

    SIEM-Übertragung ausschalten

Um die Datenübertragung wieder zu aktivieren, klicken Sie auf der SIEM-Site-Karteauf Datenübertragung einschalten.

SIEM-Übertragung einschalten

Problembehandlung beim Citrix Analytics Analytics-Add-On für Splunk

Wenn Sie keine Daten in Ihren Splunk-Dashboards sehen oder beim Konfigurieren des Citrix Analytics Analytics-Add-ons für Splunk Probleme auftreten, führen Sie die Debugging-Schritte aus, um das Problem zu beheben. Weitere Informationen finden Sie unter Konfigurationsprobleme mit dem Citrix Analytics Analytics-Add-on für Splunk.

Splunk-Integration