Citrix Analytics para seguridad

Integración de Microsoft Azure Sentinel

Nota

  • La integración de Azure Sentinel con Citrix Analytics for Security no está disponible actualmente de forma general. Por lo tanto, la siguiente información está sujeta a cambios.

  • Póngase en contacto CAS-PM-Ext@citrix.com para obtener acceso al adaptador Citrix Analytics para Azure Sentinel y para obtener ayuda al incorporar sus datos a Azure Sentinel.

Citrix Analytics for Security permite a los usuarios exportar los datos analizados para detectar eventos de riesgo a su entorno Microsoft Azure Sentinel. Con esto, puede recopilar, buscar y analizar datos de múltiples fuentes de datos en una sola plataforma. Con estos datos, puede supervisar los eventos, solucionar problemas y automatizar las acciones de mitigación.

Citrix Analytics for Security no envía datos sin procesar a Azure Sentinel. En su lugar, envía datos procesados. Los datos procesados enviados a Azure Sentinel incluyen:

  • Puntuación de riesgo del usuario: Puntuación de riesgo actual de un usuario. Citrix Analytics for Security envía estos datos a Azure Sentinel cada 12 horas.

  • Cambio de puntuación de riesgo: Este es el cambio en la puntuación de riesgo de un usuario. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a tres y este cambio aumenta a cualquier ritmo o disminuye en más de un 10%, los datos se envían al servicio SIEM.

  • Resumen de indicadores de riesgo: todos los indicadores de riesgo asociados a un usuario.

Para obtener información sobre el esquema de los datos procesados, consulte Formato de datos de Citrix Analytics para SIEM.

Ventajas de la integración de Azure Sentinel

  • Mayor visibilidad de las alertas de seguridad en un lugar centralizado.

  • Enfoque centralizado para detectar posibles amenazas de seguridad para capacidades de análisis de riesgos organizacionales, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.

  • Capacidad para combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con orígenes de datos externos, dentro de Azure Sentinel.

Requisitos previos

Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Azure Sentinel.

Cómo integrar Citrix Analytics con Azure Sentinel

Siga las pautas mencionadas para integrar Citrix Analytics for Security con Azure Sentinel:

  • Exportación de datos. Citrix Analytics for Security crea un canal y exporta inteligencia de riesgos. Azure Sentinel recupera esta inteligencia de riesgos del canal.

  • Obtenga configuración en Citrix Analytics for Security. Cree una cuenta con Citrix Analytics for Security para autenticar la integración de Azure Sentinel. Citrix Analytics for Security utiliza la cuenta para preparar un archivo de configuración necesario para la integración. El archivo de configuración se utiliza para configurar Citrix Analytics Adapter para Azure Sentinel.

  • Descargar Citrix Analytics Adapter para Azure Sentinel. Descargue la aplicación Citrix Analytics Adapter para Azure Sentinel desde GitHub. El adaptador es un programa Python que consume alertas de un tema de Kafka específico del arrendatario alojado en Citrix Analytics. Puede ejecutar el adaptador en cualquier máquina física o virtual con Python 2.7 o superior. Las alertas consumidas se publican en Azure Sentinel mediante la API REST.

  • Instale Citrix Analytics Adapter para Azure Sentinel. Instale la aplicación Citrix Analytics Adapter para Azure Sentinel en un equipo para que pueda recibir los datos de Kafka. El adaptador contiene variables de marcador de posición para conectarse a Azure Sentinel y a la interfaz de Kafka en Citrix Analytics for Security. Después de instalar el adaptador, haga lo siguiente:

    • Sustituya las variables de marcador de posición relacionadas con la interfaz de Kafka por los valores obtenidos del archivo de configuración que Citrix Analytics for Security ha preparado.

    • Reemplace las variables de marcador de posición relacionadas con Centinela de Azure (para ID de espacio de trabajo y clave de API) con los valores respectivos de su cuenta de Azure.

Cómo consumir eventos en Azure Sentinel

Después de instalar y configurar el adaptador, haga lo siguiente:

  1. Abra el espacio de trabajo Centinela de Azure en el portal de Azure.

  2. En la sección Configuración, seleccione Conectores de datos.

  3. Seleccione Citrix Analytics Data Connector y seleccione la página Abrir conector. Siga las instrucciones para conectar los eventos a Azure Sentinel.

  4. Seleccione la ficha Pasos siguientes y seleccione el libro recomendado para ver las consultas de ejemplo.

Integración de Microsoft Azure Sentinel