Problembehandlung bei Datenexporten
Die Ansicht “Datenexporte für Sicherheit” enthält eine Registerkarte Zusammenfassung, die Administratoren bei der Behebung von Problemen bei der SIEM-Integration mit Citrix Analytics unterstützt. Das Übersichts-Dashboard bietet einen Überblick über den Zustand und den Datenfluss, indem es die Prüfpunkte durchläuft, die den Fehlerbehebungsprozess unterstützen.
Registerkarte “Zusammenfassung”
Die Registerkarte Zusammenfassung bildet die Grundlage für den Self-Service-Problembehebungsworkflow in der Ansicht “Datenexporte”. Es beschreibt Ihr SIEM-Setup mithilfe dieser drei Karten:
- Verfügbare Daten in Citrix Analytics: Diese Karte zeigt den Status Ihrer Datenquellenkonfigurationen.
- Verfügbare Ereignisse für die SIEM-Nutzung: Diese Karte zeigt die Anzahl der Ereignisse an, die bereit sind, von Ihrer SIEM-Umgebung genutzt zu werden.
- Datenverbrauch durch SIEM: Diese Karte zeigt den Status des Datenflusses in Ihrer SIEM-Umgebung an.
Verfügbare Daten in Citrix Analytics
Die Karte Verfügbare Daten in Citrix Analytics zeigt die Anzahl der Datenquellen, die letztendlich zu SIEM-Erkenntnissen beitragen können, die in Citrix Analytics for Security integriert wurden. Derzeit werden vier Datenquellen für Datenexporte unterstützt: Apps and Desktops, Content Collaboration, Gateway und Secure Private Access. Selbst wenn diese Datenquellen integriert wurden, funktioniert der Datenexport für die Datenquellen, deren Datenverarbeitung deaktiviert ist, nicht. Eine entsprechende Warnmeldung, wie sie in der Abbildung oben dargestellt ist, wird angezeigt, wenn solche Datenquellen erkannt werden.
Über die Schaltfläche Ereignisse der letzten 7 Tage anzeigen wird der Administrator zur Ansicht Self-Service Search weitergeleitet, über die Administratoren überprüfen können, ob Ereignisse in Citrix Analytics for Security eingeflossen sind. Die Schaltfläche Datenquellen einbinden leitet zur Datenquellenansicht weiter, in der Sie den Onboarding-Prozess eingehend durchgehen können.
Wenn keine integrierten Datenquellen vorhanden sind, wird eine entsprechende Warnmeldung angezeigt, wie im folgenden Screenshot dargestellt:
Verfügbare Ereignisse für die SIEM-Nutzung
Auf der Karte Verfügbare Ereignisse für die SIEM-Nutzung wird die Anzahl der Insight- und Datenquellenereignisse sowie deren individuelle Aufschlüsselung angezeigt, die voraussichtlich in Ihre SIEM-Umgebung einfließen werden. Nach der Erweiterung ist auch eine weitere Aufschlüsselung der einzelnen Arten von Datenereignissen für den Export verfügbar.
Datenverbrauch durch SIEM
Die Karte Data Consumption by SIEM zeigt den Zustand des von Citrix Analytics vorbereiteten Datenflusses in Ihre SIEM-Umgebung. Der Status des Datenverbrauchs basiert auf der Offset-Bewegung innerhalb Ihres Kafka-Themas . Sofern verfügbar, zeigt die Karte auch den Zeitstempel an, an dem der letzte erfolgreiche Datenverbrauch festgestellt wurde. Sowohl der Status des Datenverbrauchs als auch der Zeitstempel werden alle 10 Minuten aktualisiert. Klicken Sie hier, um mehr über Kafka Consumer Group/Offset Management zu erfahren.
Der Status des Datenverbrauchs kann die folgenden Zustände annehmen:
-
Inaktiver Konsum
-
Keine Historie des Datenexports: Dieser Status wird durch einen orangefarbenen Punkt dargestellt, der darauf hinweist, dass keine von Citrix Analytics vorbereiteten Daten jemals erfolgreich in Ihre SIEM-Umgebung geflogen sind.
Das kann daran liegen -
-
Fehlerhafte/unvollständige Datenquellenkonfiguration. Die Karte Verfügbare Daten in Citrix Analytics kann verwendet werden, um zu überprüfen, ob genügend Datenquellen vorhanden sind und ob deren Datenverarbeitung aktiviert ist, um den Export zu ermöglichen.
-
Mangelnde Benutzeraktivität. Mit der Schaltfläche Ereignisse der letzten 7 Tage anzeigen auf der Karte Verfügbare Daten in Citrix Analytics können Sie überprüfen, ob keine Benutzeraktivitäten stattgefunden haben. Darüber hinaus kann die Karte Verfügbare Ereignisse für den SIEM-Verbrauch verwendet werden, um zu überprüfen, ob Insight- oder Datenquellenereignisse von Citrix Analytics für die Übertragung in Ihr SIEM vorbereitet wurden.
-
Falsches/unvollständiges SIEM-Setup. Stellen Sie sicher, dass die Phase der Kontoeinrichtung auf der Registerkarte Konfiguration erfolgreich abgeschlossen wurde. Wenn die Einrichtung abgeschlossen ist, ist in der Phase der Kontoeinrichtung ein grünes Häkchen sichtbar.
Wenn sich der Status auch nach einer erfolgreichen Kontoeinrichtung nicht ändert, überprüfen Sie die weitere Problembehandlung, indem Sie Folgendes überprüfen:
-
Firewallprobleme oder falsch konfigurierte SIEM-Einstellungen — siehe SIEM-Umgebung einrichten.
-
Probleme mit Anmeldeinformationen bei der Einrichtung eines Kafka-Kontos oder Ihrer SIEM-Umgebung — siehe SIEM-Integrationmit Kafka.
-
-
-
Kein aktiver Verbrauch festgestellt: Dieser Status weist darauf hin, dass mindestens in den letzten 10 Minuten keine Daten erfolgreich in Ihre SIEM-Umgebung übertragen wurden. Auf der Karte wird auch der Zeitstempel der letzten erfolgreichen Übertragung von Daten angezeigt. Wie bei Keine Historie des Datenexportskann dies mithilfe der Karten Verfügbare Daten in Citrix Analytics und VerfügbareEreignisse für SIEM-Verbrauch behoben werden. Wenn die Benutzeraktivität ausreichend ist und die Anzahl der verfügbaren Ereignisse steigt, ist es eine gute Idee, sich auf den letzten erfolgreichen Zeitstempel zu konzentrieren, um zu überprüfen, ob nach diesem Zeitstempel Firewalländerungen oder Kennwortrotationen stattgefunden haben.
-
Vor mehr als 7 Tagen exportiert: Dieser Status gibt an, dass der aktive Verbrauch auf Ihrem SIEM zuletzt vor über einer Woche festgestellt wurde. Ähnlich wie bei den beiden oben genannten Zuständen verwenden Sie die Karten Verfügbare Daten in Citrix Analytics und Verfügbare Ereignisse für den SIEM-Verbrauch, um Probleme mit Ihrem SIEM-Setup zu beheben, wenn dies der erkannte Datenverbrauchsstatus ist.
Hinweis
Kafka-Aufbewahrungsrichtlinie: In den Kafka-Themen von Citrix Analytics werden Ereignisse nur für maximal 7 Tage gespeichert. Um einen möglichen Datenverlust zu vermeiden oder zu verhindern, wird empfohlen, ein Datenabfrageintervall einzurichten, das 7 Tage nicht überschreitet.
Im Falle eines inaktiven Verbrauchs erhalten Sie die folgenden Warnmeldungen, die Ihnen bei der Problembehebung helfen.
Wie im Fall Keine Historie des Datenexports hervorgehoben, fließen keine Daten in die SIEM-Umgebung, wenn das SIEM-Setup nicht abgeschlossen ist. Daher wird der Benutzer zur Registerkarte Konfiguration weitergeleitet, um die Kontoeinrichtung abzuschließen, wie im folgenden Screenshot dargestellt:
Wenn das SIEM-Setup abgeschlossen ist, kann es immer noch vorkommen, dass die Daten nicht aktiv fließen, wie im Status Kein aktiver Verbrauch erkannt oder vor mehr als 7 Tagen exportiert dargestellt wird. Daher wird dem Benutzer dringend empfohlen, zum Abschnitt Testereignisgenerierung zu gehen, um die SIEM-Verbindung zu testen, wie in der folgenden Warnmeldung hervorgehoben.
-
-
Aktiver Konsum
-
Aktiver Verbrauch erkannt: Dieser Status zeigt an, dass auf Ihrem SIEM ein aktiver Verbrauch festgestellt wurde.
-
Kurzanleitung zum Datenexport
Die Registerkarte Zusammenfassung wird durch die Kurzanleitung zum Datenexport ergänzt, um die Bereitstellung, Verwaltung und Fehlerbehebung Ihrer SIEM-Setups zu vereinfachen. Die Kurzanleitung bietet nicht nur eine umfassende Anleitung zur Ansicht “Datenexport für Sicherheit”, sondern enthält auch nützliche Tipps zur Einrichtung und Verwaltung Ihrer SIEM-Umgebung, indem sie Links zu der entsprechenden Dokumentation enthält.
In der Kurzanleitung gibt es auch einen Abschnitt SIEM-Verbindung testen, der den Benutzer innerhalb der Einrichtungsphase der SIEM-Umgebung zur Phase “SIEM-Verbindung testen” weiterleitet. Auf diese Weise kann der Benutzer untersuchen, ob die SIEM-Integration selbst defekt ist, wodurch die Möglichkeit von Problemen mit der Verarbeitung der Ereignisse durch Citrix Analytics for Security ausgeschlossen wird. Der Benutzer kann dann die SIEM-Verbindung reparieren, um den Datenfluss zu aktivieren.
Die Registerkarte Konfiguration führt zwar durch die Einrichtung der Bereitstellung, unterstützt Administratoren aber auch mit nützlichen Tipps, Warnmeldungen und häufigen Fallstricken bei der Einrichtung ihres SIEMs. Entsprechende Warnungen werden angezeigt, wenn:
-
Citrix Analytics stellt fest, dass keine Datenquellen integriert wurden. Es wird empfohlen, Apps und Desktops zu integrieren, um Telemetrie auf der Grundlage der Benutzeraktivitäten zu erfassen. In Ermangelung der integrierten Datenquelle wird kein Datenfluss beobachtet, obwohl Ihr SIEM-Setup möglicherweise erfolgreich durchgeführt wurde.
-
Wie in der folgenden Abbildung dargestellt, werden die Phasen “Einrichtung der SIEM-Umgebung” und “Datenereignisse für den Export” deaktiviert, bis die Kontoeinrichtung erfolgreich abgeschlossen ist.
-
Datenexporte wurden deaktiviert. Die Warnung in der Phase “Datenereignisse für den Export” dient als Erinnerung daran, dass Datenexporte alle Änderungen vornehmen können.
-
Wenn in der Phase “Datenereignisse für den Export” der Datenexport für eine bestimmte Datenquelle deaktiviert ist, werden keine Datenquellenereignisse an SIEM weitergegeben. Sie müssen dies aktivieren, indem Sie die Typen der gewünschten Datenquellenereignisse konfigurieren und auswählen. Stellen Sie außerdem sicher, dass die Datenverarbeitung für die jeweilige Datenquelle aktiviert ist, um sicherzustellen, dass die Daten Citrix Analytics erreichen.
Generierung von Testereignissen
Die Generierung von Testereignissen ist Teil der Einrichtungsphase der SIEM-Umgebung, um die Problembehebung zu verbessern. Sobald ein Benutzer das SIEM-Setup abgeschlossen hat, bietet die Generierung von Testereignissen eine Möglichkeit, die SIEM-Verbindung schnell zu testen, indem ein Testereignis direkt an das Kafka-Thema des Kunden für den SIEM-Datenexport gesendet wird.
Außerdem können neue Benutzer ihre SIEM-Integration mit Citrix Analytics schnell testen, ohne explizit eine neue Datenquelle integrieren und anschließend Benutzeraktivitäten generieren zu müssen.
Um diese Funktion zu testen, muss der Benutzer auf die Schaltfläche Testdaten senden klicken. Dadurch wird ein Dummy-Test-Event generiert und an das Kafka-Thema des Kunden für den SIEM-Datenexport gesendet. Dieser Prozess zur Generierung von Testereignissen kann bis zu 1 Minute dauern, wie im folgenden Screenshot gezeigt:
Wenn die Testereignisdaten erfolgreich in das Kunden-Kafka-Thema geschrieben wurden, wird eine Erfolgsmeldung angezeigt, die darauf hinweist, dass die SIEM-Verbindung erfolgreich ist. Abhängig von Ihrer ausgewählten Umgebung (Splunk und Sentinel) können Administratoren die Abfrage kopieren und ihre SIEM-Umgebungen auf das Testereignis überprüfen.
Für Elasticsearch und andere Umgebungen wird die folgende Erfolgsmeldung angezeigt.
Hinweis
Sobald ein Testereignis generiert wurde, ist die Schaltfläche Testdaten senden für die nächsten 24 Stunden deaktiviert, und den Benutzern wird das folgende Popup angezeigt, wenn sie mit der Maus über die Schaltfläche fahren. 24 Stunden nach dem letzten Erfolgszeitstempel wird die Schaltfläche aktiviert, sodass die Benutzer die Funktionalität erneut testen können.
Wenn die Testereignisdaten nicht erfolgreich in das Kunden-Kafka-Thema geschrieben wurden, wird eine Fehlermeldung angezeigt, wie im folgenden Screenshot dargestellt. Der Benutzer hat die Möglichkeit, die Daten erneut zu senden, um die Verbindung zu testen.
SIEM-E-Mail-Warnung
Citrix Analytics sendet E-Mail-Benachrichtigungen, um die Administratoren über Szenarien zu informieren, die zu einer Unterbrechung des Datenflusses in ihrer SIEM-Umgebung führen könnten. Es enthält situationsbezogene Informationen über Aktivitäten, die zu vorübergehenden/permanenten sicherheitsbedingten Datenverlusten führen können. Es hilft auch dabei, sich im Self-Service-Prozess zur Fehlerbehebung für den SIEM-Datenexport zurechtzufinden.
Einige wichtige Eigenschaften dieser Reihe von E-Mail-Benachrichtigungen, die Ihnen helfen, sie in Ihrem Posteingang zu finden:
-
Die E-Mail wird an Citrix Cloud-Administratoren, vollständige Sicherheitsadministratoren, Sicherheitsadministratoren mit Lesezugriff und Administratoren für Sicherheit und Leistung mit Lesezugriff verteilt.
-
Der Absender ist Citrix Cloud donotreplynotifications@citrix.com.
-
Die Betreffzeile lautet:
- SIEM-Datenexport-Warnung — Das Kennwort wurde für E-Mail-Benachrichtigungen zum Zurücksetzen des Kennworts zurückgesetzt.
- SIEM-Datenexport-Warnung — Der Datenfluss wurde aufgrund von E-Mail-Benachrichtigungen aufgrund von Datenflussunterbrechungen gestoppt .
Wie aktiviere ich E-Mail-Benachrichtigungen?
Wenn Sie ein Citrix Cloud-Administrator mit vollen Zugriffsberechtigungen sind, sind die E-Mail-Benachrichtigungen standardmäßig für Ihr Citrix Cloud-Konto deaktiviert. Um E-Mail-Benachrichtigungen von Citrix Analytics zu erhalten, aktivieren Sie sie in Ihrem Citrix Cloud-Konto. Weitere Informationen finden Sie unter Empfangen von Benachrichtigungen per E-Mail.
Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (Security Full Admin, Security Read Only Admin, Security und Performance Read Only) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto immer aktiviert.
Arten von SIEM-E-Mail-Benachrichtigungen
-
E-Mail-Benachrichtigung zum Zurücksetzen des SIEM-Kennworts
Wenn das Kontopasswort über die Seite “Datenexporte” zurückgesetzt wird, wird eine E-Mail mit einer Warnmeldung zum Zurücksetzen des SIEM-Kennworts empfangen. Das Zurücksetzen des SIEM-Kennworts auf der Citrix Analytics-Benutzeroberfläche allein kann dazu führen, dass das Kennwort nicht mit dem in Ihrem SIEM konfigurierten Kennwort übereinstimmt. Dies führt zu einer Unterbrechung des Datenflusses. Diese E-Mail-Benachrichtigung enthält den Zeitpunkt, zu dem das Kennwort zurückgesetzt wurde. Wenn der Datenfluss unterbrochen wird, können Sie zur Registerkarte Zusammenfassung wechseln und überprüfen, ob der Zeitstempel “Zuletzt exportiert am” nahe am Zeitstempel zum Zurücksetzen des Kennworts liegt, und so die erforderlichen Kennwortänderungen weiterleiten. Dies verkürzt den Debugging-Prozess und hilft Ihnen, in kürzester Zeit zu einem erfolgreichen Datenfluss in Ihre SIEM-Umgebung zurückzukehren.
-
Unterbrechung des Datenflusses für 24 Stunden E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 24 Stunden unterbrochen ist. Die E-Mail enthält den Zeitpunkt, zu dem das letzte Ereignis exportiert wurde, sowie hilfreiche Tipps zur Fehlerbehebung, mit denen der Datenfluss wiederhergestellt werden kann. Dies wäre der richtige Zeitpunkt, um den Datenfluss schnell wieder aufzunehmen, damit keine sicherheitsrelevanten Daten verloren gehen.
-
Unterbrechung des Datenflusses für 7 Tage E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 7 Tage unterbrochen ist. Da die Aufbewahrungsfrist für das Kafka-Thema des Kunden 7 Tage beträgt, ist es wichtig, die Tipps zur Fehlerbehebung zu befolgen und die Kurzanleitung auf der Seite Datenexporte zu nutzen, um keine weiteren Daten zu verlieren, da in dieser E-Mail vor einem dauerhaften Verlust sicherheitsrelevanter Informationen gewarnt wird.
-
Unterbrechung des Datenflusses für 30 Tage E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 30 Tage unterbrochen ist. Inzwischen hat der Kunde die sicherheitsrelevanten Daten verloren, und es ist unerlässlich, die Funktionen zur Fehlerbehebung zu nutzen, um den Datenfluss so schnell wie möglich wiederherzustellen.