Integración de Azure Sentinel

Citrix Analytics ahora permite a los usuarios exportar datos analizados para eventos arriesgados de Citrix Analytics a su entorno Microsoft Azure Sentinel. Con esto, puede recopilar, buscar y analizar datos de múltiples fuentes de datos en una sola plataforma. Con estos datos, puede supervisar los eventos, solucionar problemas y automatizar las acciones de mitigación.

Citrix Analytics no envía datos sin procesar a Azure Sentinel. En su lugar, envía datos procesados. Los datos procesados enviados a Azure Sentinel incluyen:

  • Puntuación de riesgo del usuario: Puntuación de riesgo actual de un usuario. Citrix Analytics envía estos datos a Azure Sentinel cada 12 horas.

  • Cambio de puntuación de riesgo: Este es el cambio en la puntuación de riesgo de un usuario. Cuando la puntuación de riesgo de un usuario aumenta en cualquier momento o disminuye en más del 10%, el cambio se envía a Azure Sentinel.

  • Resumen del indicador de riesgo — Todos los indicadores de riesgo asociados con el usuario, cuando se genera un nuevo indicador de riesgo.

Ventajas de la integración de Azure Sentinel

  • Mayor visibilidad de las alertas de seguridad en un lugar centralizado.

  • Enfoque centralizado para detectar posibles amenazas de seguridad para capacidades de análisis de riesgos organizacionales, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.

  • Capacidad para combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con orígenes de datos externos, dentro de Azure Sentinel.

Requisitos previos

Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics a iniciar el proceso de integración Sentinel de Azure.

Cómo integrar Citrix Analytics con Azure Sentinel

Siga las directrices mencionadas para integrar Citrix Analytics con Azure Sentinel:

  • Exportación de datos. Citrix Analytics crea un canal y exporta inteligencia de riesgos. Azure Sentinel recupera esta inteligencia de riesgos del canal.

  • Obtenga configuración en Citrix Analytics. Cree una cuenta con Citrix Analytics para autenticar la integración de Azure Sentinel. Citrix Analytics utiliza la cuenta para preparar un archivo de configuración necesario para la integración. El archivo de configuración se utiliza para configurar Citrix Analytics Adapter para Azure Sentinel.

  • Descargar Citrix Analytics Adapter para Azure Sentinel. Descargue la aplicación Citrix Analytics Adapter para Azure Sentinel desde GitHub. El adaptador es un programa Python que consume alertas de un tema de Kafka específico del arrendatario alojado en Citrix Analytics. Puede ejecutar el adaptador en cualquier máquina física o virtual con Python 2.7 o superior. Las alertas consumidas se publican en Azure Sentinel mediante la API REST.

  • Instale Citrix Analytics Adapter para Azure Sentinel. Instale la aplicación Citrix Analytics Adapter para Azure Sentinel en un equipo para que pueda recibir los datos de Kafka. El adaptador contiene variables de marcador de posición para conectarse a Azure Sentinel y a la interfaz Kafka en Citrix Analytics. Después de instalar el adaptador, haga lo siguiente:

    • Reemplace las variables de marcador de posición relacionadas con la interfaz de Kafka por los valores obtenidos del archivo de configuración que Citrix Analytics ha preparado.

    • Reemplace las variables de marcador de posición relacionadas con Centinela de Azure (para ID de espacio de trabajo y clave de API) con los valores respectivos de su cuenta de Azure.

Cómo consumir eventos en Azure Sentinel

Después de instalar y configurar el adaptador, haga lo siguiente:

  1. Abra el espacio de trabajo Centinela de Azure en el portal de Azure.

  2. En la sección Configuración, seleccione Conectores de datos .

  3. Seleccione Citrix Analytics Data Connector y seleccione la página Abrir conector . Siga las instrucciones para conectar los eventos a Azure Sentinel.

  4. Seleccione la ficha Pasos siguientes y seleccione el libro recomendado para ver las consultas de ejemplo.

Nota

  • Actualmente, la integración de Azure Sentinel con Citrix Analytics no está disponible en general. Por lo tanto, la información anterior está sujeta a cambios.

  • Póngase en contacto CAS-PM-Ext@citrix.com para obtener acceso al adaptador Citrix Analytics para Azure Sentinel y para obtener ayuda al incorporar sus datos a Azure Sentinel.