Splunk-Integration

Hinweis

Wenden Sie sich an CAS-PM-Ext@citrix.com, um Unterstützung bei der Splunk-Integration anzufordern, Daten nach Splunk zu exportieren oder Feedback zu geben.

Integrieren Sie Citrix Analytics for Security mit Splunk, um die Daten der Benutzer aus Ihrer Citrix IT-Umgebung zu Splunk zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.

Unterstützte Versionen

Citrix Analytics for Security unterstützt die Splunk-Integration auf den folgenden Betriebssystemen:

• CentOS Linux 7 und höher
• Debian GNU/Linux 10.0 und höher
• Red Hat Enterprise Linux Server 7.0 und höher
• Ubuntu 18.04 LTS und höher

WICHTIG

• Citrix empfiehlt die Verwendung der neuesten Version der vorhergehenden Betriebssysteme oder der Versionen, die weiterhin von den jeweiligen Anbietern unterstützt werden.

• Verwenden Sie für die Linux-Kernel-Betriebssysteme (64-Bit) eine Kernelversion, die von Splunk unterstützt wird. Weitere Informationen finden Sie in der Splunk-Dokumentation.

Sie können die Splunk-Integration für die folgenden Splunk-Versionen konfigurieren:

• Splunk Cloud Inputs Datenmanager (IDM)

• Splunk 8.1 (64-bit) und höher

Voraussetzungen

• Das Citrix Analytics-Add-On für Splunk stellt eine Verbindung zu den folgenden Endpunkten in Citrix Analytics for Security her. Stellen Sie sicher, dass sich die Endpunkte in der Zulassungsliste Ihres Netzwerks befinden.

  Endpunkt	Region der Vereinigten Staaten	Region der Europäischen Union	Asien-Pazifik Süd
  Kafka Broker	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

• Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Splunk-Integrationsprozess zu beginnen.

Integrieren Sie Citrix Analytics for Security mit Splunk

Befolgen Sie die genannten Richtlinien zur Integration von Citrix Analytics for Security in Splunk:

• Datenexport. Citrix Analytics for Security erstellt einen Kanal und exportiert Risikoinformationen. Splunk ruft diese Risikointelligenz aus dem Kanal ab.

• Holen Sie sich die Konfiguration auf Citrix Analytics. Erstellen Sie ein Kennwort für Ihr vordefiniertes Konto zur Authentifizierung. Citrix Analytics for Security bereitet eine Konfigurationsdatei vor, die Sie zum Konfigurieren des Citrix Analytics-Add-Ons für Splunk benötigen.

• Laden Sie das Citrix Analytics Add-On für Splunk herunter und installierenSie es. Laden Sie das Citrix Analytics Analytics-Add-on für Splunk herunter und laden Sie das Add-On in Ihren Splunk hoch, um den Installationsvorgang abzuschließen.

• Konfigurieren Sie das Citrix Analytics-Add-On für Splunk. Richten Sie eine Dateneingabe mithilfe der von Citrix Analytics for Security bereitgestellten Konfigurationsdetails ein und konfigurieren Sie das Citrix Analytics-Add-On für Splunk.

Nachdem die Citrix Analytics Konfigurationsdatei vorbereitet wurde, finden Sie unter:

• Citrix Analytics Konfigurationskennwort zurücksetzen
• Aktivieren oder Deaktivieren der Datenübertragung

Nachdem das Citrix Analytics-Add-On für Splunk konfiguriert wurde, siehe:

• Wie man Ereignisse in Splunk konsumiert
• So konfigurieren Sie Citrix Analytics App für Splunk

Datenexport

1. Gehen Sie zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

2. Wählen Sie auf der SIEM-Site-KarteErste Schritteaus.

   

Holen Sie sich die Konfiguration auf Citrix Analytics for Security

1. Erstellen Sie im Abschnitt Konfiguration in Citrix Analytics ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

   

2. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

   

3. Wählen Sie Konfigurieren.

   Citrix Analytics for Security bereitet die für die Splunk-Integration erforderlichen Konfigurationsdetails vor.

   

4. Wählen Sie Splunkaus.

5. Kopieren Sie die Konfigurationsdetails, darunter den Benutzernamen, die Hosts, den Kafka-Themennamen und den Gruppennamen.

   Sie benötigen diese Details, um das Citrix Analytics Add-on für Splunk in den folgenden Schritten zu konfigurieren.

   WICHTIG

   Diese Daten sind sensibel und Sie müssen sie an einem sicheren Ort aufbewahren.

   

Citrix Analytics Analytics-Add-On für Splunk herunterladen und installieren

1. Melden Sie sich bei Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung an.

2. Installieren Sie das Citrix Analytics Analytics-Add-On für Splunk, indem Sie es entweder von Splunkbase herunterladen oder indem Sie es in Splunk installieren.

App aus Datei installieren

1. Geh zu Splunkbase.

2. Laden Sie das Citrix Analytics Analytics-Add-on für Splunk-Datei herunter.

3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

4. Klicken Sie auf App aus Datei installieren.

5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

   Hinweise

   • Wenn Sie eine ältere Version des Add-Ons haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

   • Wenn Sie das Citrix Analytics Add-on für Splunk von einer Version vor 2.0.0 aktualisieren, müssen Sie die folgenden Dateien und Ordner im Ordner /bin des Add-On-Installationsordners löschen und Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu starten:

     • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
     • rm -rf splunklib
     • rm -rf mac
     • rm -rf linux_x64
     • rm CARoot.pem
     • rm certificate.pem

6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

2. Suchen Sie auf der Seite “Weitere Apps durchsuchen” im Citrix Analytics Add-on nach Splunk.

3. Klicken Sie neben der App auf Installieren .

4. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Konfigurieren des Citrix Analytics Add-Ons für Splunk

Konfigurieren Sie das Citrix Analytics-Add-On für Splunk mithilfe der Konfigurationsdetails von Citrix Analytics for Security. Nachdem das Add-On erfolgreich konfiguriert wurde, beginnt Splunk mit der Verwendung von Ereignissen von Citrix Analytics for Security.

1. Gehen Sie auf der Splunk Homepage zu Einstellungen > Dateneingaben.

   

2. Klicken Sie im Abschnitt Lokale Eingaben auf Citrix Analytics Add-on.

   

3. Klicken Sie auf New.

   

4. Geben Sie auf der Seite Daten hinzufügen die Details ein, die in der Citrix Analytics-Konfigurationsdatei enthalten sind.

   

5. Um Ihre Standardeinstellungen anzupassen, klicken Sie auf Weitere Einstellungen und richten Sie die Dateneingabe ein. Sie können Ihren eigenen Splunk-Index, Hostnamen und Quelltyp definieren.

   

6. Klicken Sie auf Weiter. Ihre Citrix Analytics-Dateneingabe wird erstellt und das Citrix Analytics-Add-On für Splunk wurde erfolgreich konfiguriert.

Citrix Analytics Konfigurationskennwort zurücksetzen

Wenn Sie Ihr Konfigurationskennwort für Citrix Analytics for Security zurücksetzen möchten, führen Sie die folgenden Schritte aus:

1. Klicken Sie auf der Seite Konfiguration in Citrix Analytics auf Kennwort zurücksetzen.

   

2. Geben Sie im Fenster Kennwort zurücksetzen das aktualisierte Kennwort in den Feldern NEUES KENNWORT und NEUES KENNWORT BESTÄTIGEN an. Befolgen Sie die angezeigten Kennwortregeln.

   

3. Klicken Sie auf Zurücksetzen. Die Vorbereitung der Konfigurationsdatei wird eingeleitet.

   

Hinweis:

Nachdem Sie das Konfigurationskennwort zurückgesetzt haben, müssen Sie das neue Kennwort aktualisieren, wenn Sie die Dateneingabe auf der Seite Daten hinzufügen Ihrer Splunk Umgebung einrichten. Es hilft Citrix Analytics for Security, weiterhin Daten an Splunk zu übertragen.

Wie man Ereignisse in Splunk konsumiert

Nachdem Sie das Add-On konfiguriert haben, ruft Splunk Risk Intelligence von Citrix Analytics for Security ab. Sie können die Ereignisse Ihrer Organisation basierend auf der konfigurierten Dateneingabe im Splunk-Suchkopf durchsuchen.

Die Suchergebnisse werden im folgenden Format angezeigt:

Eine Beispielausgabe:

Verwenden Sie die folgende Suchanfrage, um Probleme mit dem Add-On zu suchen und zu beheben:

Die Ergebnisse werden im folgenden Format angezeigt:

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenformat für SIEM.

Citrix Analytics App für Splunk

Hinweis

Diese App befindet sich in der Vorschau.

Citrix Analytics App für Splunk ermöglicht es Splunk Enterprise-Administratoren, die von Citrix Analytics for Security gesammelten Benutzerdaten in Form von aufschlussreichen und umsetzbaren Dashboards auf Splunk anzuzeigen. Mithilfe dieser Dashboards erhalten Sie einen detaillierten Überblick über das riskante Verhalten der Benutzer in Ihrem Unternehmen und ergreifen rechtzeitig Maßnahmen, um Insider-Bedrohungen zu mindern. Sie können die von Citrix Analytics for Security gesammelten Daten auch mit anderen auf Ihrem Splunk konfigurierten Datenquellen korrelieren. Diese Korrelation bietet Ihnen einen Einblick in die riskanten Aktivitäten der Benutzer aus mehreren Quellen und ergreift Maßnahmen zum Schutz Ihrer IT-Umgebung.

Unterstützte Splunk-Version

Die Citrix Analytics App für Splunk läuft auf den folgenden Splunk-Versionen:

• Splunk 8.2 64-Bit

• Splunk 8.1 64-Bit

• Splunk 8.0 64-Bit

• Splunk 7.3 64-Bit

Voraussetzungen für Citrix Analytics App für Splunk

• Installieren Sie das Citrix Analytics-Add-On für Splunk.

• Stellen Sie sicher, dass die für das Citrix Analytics-Add-On für Splunk genannten Voraussetzungen bereits erfüllt sind.

• Stellen Sie sicher, dass die Daten von Citrix Analytics for Security zu Splunk fließen.

Installation und Konfiguration

Wo installiere ich die App?

Splunk Suchkopf

Wie installiere und konfiguriere ich die App?

Sie können die Citrix Analytics App für Splunk installieren, indem Sie sie von Splunkbase herunterladen oder von Splunk aus installieren.

App aus Datei installieren

1. Geh zu Splunkbase.

2. Laden Sie die Datei Citrix Analytics App für Splunk herunter.

3. Klicken Sie auf der Splunk-Web-Homepage neben Appsauf das Zahnradsymbol.

4. Klicken Sie auf App aus Datei installieren.

5. Suchen Sie die heruntergeladene Datei und klicken Sie auf Hoch

   Hinweis

   Wenn Sie eine ältere Version der App haben, wählen Sie App aktualisieren aus, um sie zu überschreiben.

6. Stellen Sie sicher, dass die App in der Apps-Liste angezeigt wird.

Installieren Sie die App von Splunk aus

1. Klicken Sie auf der Splunk-Web-Homepage auf+Weitere Apps suchen.

2. Suchen Sie auf der Seite Weitere Apps durchsuchen die Citrix Analytics App nach Splunk.

3. Klicken Sie neben der App auf Installieren .

Konfigurieren Sie Ihren Index und Ihren Quelltyp, um Daten zu korrelieren

1. Nachdem Sie die App installiert haben, klicken Sie auf Jetzt einrichten.

   

2. Geben Sie die folgenden Abfragen ein:

   • Index und Quelltyp, in dem die Daten von Citrix Analytics for Security gespeichert werden.

     Hinweis

     Diese Abfragewerte müssen mit den im Citrix Analytics-Add-On für Splunk angegebenen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

   • Index, von dem aus Sie Ihre Daten mit Citrix Analytics for Security korrelieren möchten.

     

3. Klicken Sie auf App-Setup beenden, um die Konfiguration abzuschließen.

Nachdem Sie die Citrix Analytics App für Splunk konfiguriert und eingerichtet haben, verwenden Sie die Citrix Analytics-Dashboards, um die Benutzerereignisse auf Ihrem Splunk anzuzeigen.

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Splunk aktiviert.

So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:

1. Gehe zu Einstellungen > Datenquellen > Sicherheit > DATENEXPORTE.

2. Wählen Sie auf der SIEM-Standortkarte die vertikale Ellipse () aus, und klicken Sie dann auf Datenübertragung ausschalten.

   

Um die Datenübertragung wieder zu aktivieren, klicken Sie auf der SIEM-Site-Karteauf Datenübertragung einschalten.

Problembehandlung beim Citrix Analytics Analytics-Add-On für Splunk

Wenn Sie keine Daten in Ihren Splunk-Dashboards sehen oder beim Konfigurieren des Citrix Analytics Analytics-Add-ons für Splunk Probleme auftreten, führen Sie die Debugging-Schritte aus, um das Problem zu beheben. Weitere Informationen finden Sie unter Konfigurationsprobleme mit dem Citrix Analytics Analytics-Add-on für Splunk.