Citrix Analytics para la seguridad

Integración de SIEM mediante Kafka o Logstash

Notas

  • La función de integración de SIEM está en vista previa.

  • Ponte en contacto CAS-PM-Ext@citrix.com para solicitar ayuda para la integración de SIEM, exportar datos a su SIEM o enviar comentarios.

Puede integrar Citrix Analytics for Security con sus soluciones SIEM que admiten los puntos de enlace de Kafka o el motor Logstash. Esta integración le permite exportar y correlacionar los datos de los usuarios del entorno de TI de Citrix a su entorno SIEM y obtener información más profunda sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Si su SIEM admite puntos de enlace de Kafka, utilice los parámetros proporcionados en el archivo de configuración de Logstash y los detalles del certificado en el archivo JKS o el archivo PEM para integrar su SIEM con Citrix Analytics for Security.

Se requieren los siguientes parámetros para integrar Kafka:

  • Nombre de usuario

  • Host

  • Nombre del tema

  • Protocolo de seguridad

  • mecanismos SASL

  • Ubicación de truststore de SSL

  • Tiempo de espera de la sesión

  • Restablecimiento de compensación automática

Si su SIEM no admite puntos finales de Kafka, puede utilizar el motor de recopilación de datos Logstash. Puede enviar los datos procesados desde Citrix Analytics for Security a uno de los plug-ins de salida compatibles con Logstash.

En este artículo se describen los pasos que debe seguir para integrar su SIEM con Citrix Analytics for Security mediante Logstash.

Requisitos previos

  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar la integración con la herramienta SIEM.

  • Asegúrese de que el siguiente punto de enlace esté en la lista de permitidos en su red.

    Dispositivo de punto final Región de EE. UU. Región de la UE
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094

Integración con un servicio SIEM mediante Logstash

  1. Ve a Configuración > Fuentes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio de SIEM, selecciona Comenzar.

  3. En la página Configurar integración de SIEM, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Página de configuración de SIEM

  4. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas

  5. Seleccione Configurar para generar el archivo de configuración de Logstash.

    Configurar otros SIEM

  6. Seleccione la ficha Otros para descargar los archivos de configuración.

    • Archivo de configuración de Logstash: este archivo contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos desde Citrix Analytics for Security mediante el motor de recopilación de datos Logstash. Para obtener información sobre la estructura de archivos de configuración de Logstash, consulte la documentación de Logstash.

    • Archivo JKS: este archivo contiene los certificados necesarios para la conexión SSL. Este archivo es obligatorio cuando integras su SIEM con Logstash.

    • Archivo PEM: este archivo contiene los certificados necesarios para la conexión SSL. Este archivo es obligatorio al integrar su SIEM con Kafka.

      Nota

      Estos archivos contienen información confidencial. Manténgalos en un lugar seguro y protegido.

    Ficha Seleccionar otros

  7. Configurar Logstash:

    1. En su máquina host Linux o Windows, instale Logstash. También puede usar su instancia de Logstash existente.

    2. En la máquina host donde ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:

      Tipo de máquina host Nombre de archivo Ruta del directorio
      Linux CAS_Others_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
          Para archivos.zip y.tar.gz: {extract.path}/config
        kafka.client.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
          Para archivos.zip y.tar.gz: {extract.path}/ssl
      Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  
    3. Abra el archivo de configuración de Logstash y haga lo siguiente:

      En la sección de entrada del archivo, introduzca la siguiente información:

      • Contraseña: la contraseña de la cuenta que creó en Citrix Analytics for Security para preparar el archivo de configuración.

      • Ubicación del almacén de confianza SSL: la ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en su máquina host.

      Otra sección de entrada SIEM

      En la sección de salida del archivo, introduzca la ruta de destino o los detalles a los que quiere enviar los datos. Para obtener información sobre los plug-ins de salida, consulte la documentación de Logstash.

      El siguiente fragmento muestra que la salida se escribe en un archivo de registro local.

      Otra sección de salida SIEM

    4. Reinicie su máquina host para enviar los datos procesados de Citrix Analytics for Security a su servicio SIEM.

Una vez completada la configuración, inicie sesión en el servicio SIEM y verifique los datos de Citrix Analytics en su SIEM.

Integración de SIEM mediante Kafka o Logstash