Citrix Analytics para la seguridad

Integración de Microsoft Azure Sentinel

Notas

  • La función de integración de Microsoft Azure Sentinel está en versión preliminar.

  • Póngase en contacto CAS-PM-Ext@citrix.com para solicitar ayuda para la integración de Azure Sentinel, exportar datos a Azure Sentinel o enviar comentarios.

  • La exportación de datos a Azure Sentinel mediante el motor Logstash está en vista previa. Esta función se proporciona sin un acuerdo de nivel de servicio y no se recomienda para cargas de trabajo de producción. Para obtener más información, consulte la documentación de Microsoft Azure Sentinel.

Integre Citrix Analytics for Security con su Microsoft Azure Sentinel mediante el motor Logstash.

Esta integración le permite exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Azure Sentinel y obtener información más profunda sobre la postura de seguridad de su organización. Vea los paneles de control perspicaces que son exclusivos de Citrix Analytics for Security en su entorno Splunk. También puede crear vistas personalizadas en función de sus requisitos de seguridad.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Requisitos previos

  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Azure Sentinel.

  • Asegúrese de que el siguiente punto de enlace esté en la lista de permitidos en su red.

    Dispositivo de punto final Región de EE. UU. Región de la UE
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094
  • Asegúrese de usar las versiones de Logstash de la 7.0 a la 7.9 con el complemento de salida de Azure Sentinel para Logstash.

Integración con Azure Sentinel

  1. Ve a Configuración > Fuentes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio de SIEM, selecciona Comenzar.

  3. En la página Configurar integración de SIEM, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Página de configuración de SIEM

  4. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas

  5. Haga clic en Configurar para generar el archivo de configuración de Logstash.

    Configuración

  6. Seleccione la ficha Azure Sentinel para descargar los archivos de configuración:

    • Archivo de configuración de Logstash: contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos desde Citrix Analytics for Security a Azure Sentinel mediante el motor de recopilación de datos Logstash.

      Para obtener información sobre la estructura de archivos de configuración de Logstash, consulte la documentación de Logstash.

    • Archivo JKS: contiene los certificados necesarios para la conexión SSL.

    Nota

    Estos archivos contienen información confidencial. Manténgalos en un lugar seguro y protegido.

    Seleccione Azure Sentinel

  7. Prepare la integración de Azure Sentinel:

    1. En su portal de Azure, habilite Azure Sentinel. Puede crear un espacio de trabajo o usar su espacio de trabajo existente para ejecutar Azure Sentinel.

    2. En el menú principal, seleccione Conectores de datos para abrir la galería de conectores de datos.

    3. Busque Citrix Analytics (seguridad).

    4. Seleccione Citrix Analytics (seguridad) y seleccione Abrir página de conector.

      Página de conector de datos Sentinel

    5. En la página Citrix Analytics (seguridad), copie el ID del espacio de trabajo y la clave principal. Debe introducir esta información en el archivo de configuración de Logstash en los pasos posteriores.

      Página de configuración del conector de datos

    6. Configure Logstash en su máquina host:

      1. En su máquina host Linux o Windows, instale el complemento de salida Logstash y Azure Sentinel para Logstash.

      2. En la máquina host donde ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:

        Tipo de máquina host Nombre de archivo Ruta del directorio
        Linux CAS_AzureSentinel_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
            Para archivos.zip y.tar.gz: {extract.path}/config
          kafka.client.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
            Para archivos.zip y.tar.gz: {extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        Para obtener información sobre la estructura de directorios predeterminada de los paquetes de instalación de Logstash, consulte la documentación de Logstash.

      3. Abra el archivo de configuración de Logstash y haga lo siguiente:

        1. En la sección de entrada del archivo, introduzca lo siguiente:

          • Contraseña: la contraseña de la cuenta que creó en Citrix Analytics for Security para preparar el archivo de configuración.

          • Ubicación del almacén de confianza SSL: la ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en su máquina host.

          Sección de entrada

        2. En la sección de salida del archivo, introduzca el ID del espacio de trabajo y la clave principal (que ha copiado de Azure Sentinel) en la sección de salida del archivo.

          Sección de salida

      4. Reinicie la máquina host de Logstash para enviar los datos procesados de Citrix Analytics for Security a Azure Sentinel.

    7. Vaya a su espacio de trabajo de Azure Sentinel y vea los datos en el libro de trabajo de Citrix Analytics.

Integración de Microsoft Azure Sentinel