Ejemplos de firmas Sigma para obtener información sobre seguridad
Esta página contiene ejemplos de consultas para ayudar a los administradores a lograr resultados significativos con Citrix Security Analytics.
Estos ejemplos cubren los riesgos de las siguientes categorías:
- Endpoints comprometidos
- Amenazas internas
- Exfiltración de datos
Cómo utilizar estos ejemplos
Ver la fuente de datos y activar el procesamiento de datos
Para ver la fuente de datos, haga clic en Configuración > Fuentes de datos > Seguridad en la GUI de Citrix Analytics. La tarjeta del sitio Aplicaciones y escritorios: Aplicación Workspace aparece en la página Orígenes de datos. Haga clic en Activar procesamiento de datos para permitir que Citrix Analytics comience a procesar los datos de esta fuente de datos.
Citrix Analytics for Security envía los dos tipos siguientes de datos de información sobre riesgos a su servicio SIEM:
- Eventos de información sobre riesgos (exportaciones predeterminadas)
- Eventos de fuentes de datos (exportaciones opcionales)
Como parte de su entorno SIEM, las fuentes de datos de eventos de Risk Insight están disponibles y siempre están activadas de forma predeterminada. Para obtener más información, consulte Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM.
Puede usar firmas CAS o Sigma para verificar cualquier evento de usuario en particular en sus fuentes de datos. Se puede acceder a las consultas de CAS a través de la página de búsqueda de autoservicio de la GUI de Citrix Analytics. Las firmas Sigma están escritas en un formato simple o fácil de usar, lo que las hace compatibles con varios entornos SIEM.
Uso de consultas CAS
Puede usar la consulta CAS de la página de búsqueda de autoservicio para buscar y filtrar los eventos de usuario recibidos de varias fuentes de datos. Haga clic en Buscar desde la GUI de Citrix Analytics e introduzca la consulta en el cuadro de búsqueda. Para obtener más información, consulta Cómo utilizar la búsqueda de autoservicio.
También puede crear indicadores de riesgo personalizados con las plantillas existentes. Para crear un indicador de riesgo personalizado, vaya a Seguridad > Indicadores de riesgo personalizados > Crear indicador. Para obtener más información, consulte Creación de un indicador de riesgo personalizado.
Uso de firmas Sigma
Sigma es un formato de firma abierto y fácil de usar para crear consultas basadas en texto que los analistas pueden usar para describir eventos de registro, lo que facilita la escritura de las detecciones. Hay varias formas de convertir una firma Sigma al lenguaje de consulta de la herramienta SIEM.
-
Puede utilizar las herramientas de CLI y los SDK de Python que ofrece Sigma. Para obtener más información sobre la firma Sigma, consulte Uso de reglas.
-
Puedes usar herramientas públicas como el motor de traducción Sigma de uncoder.io, que ofrece un nivel gratuito.
Consulte los siguientes casos de uso de indicadores personalizados para obtener información sobre los diferentes riesgos:
- Navegador no autorizado
- Sistema operativo no autorizado
- Versiones no autorizadas de la aplicación Workspace
- Sistemas operativos no autorizados fuera de la lista de permitidos
- Dirección IP o subredes no autorizadas
- Aplicaciones virtuales no autorizadas
- Nombres de escritorio inusuales
- Supervise una aplicación específica
- Impresión desde aplicaciones SaaS
- Uso del portapapeles en aplicaciones SaaS