Citrix Analytics para la seguridad

Integración con Splunk

Notas

  • La función de integración de Splunk está en vista previa.

  • Póngase en contacto CAS-PM-Ext@citrix.com para solicitar ayuda para la integración de Splunk, exportar datos a Splunk o enviar comentarios.

Integre Citrix Analytics for Security con Splunk para exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Splunk y obtener información más profunda sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Versiones compatibles

Citrix Analytics for Security admite la integración de Splunk en los siguientes sistemas operativos:

  • CentOS Linux 7 y versiones posteriores
  • Debian GNU/Linux 10.0 y versiones posteriores
  • Red Hat Enterprise Linux Server 7.0 y versiones posteriores
  • Ubuntu 18.04 LTS y versiones posteriores

IMPORTANTE

  • Citrix recomienda utilizar la versión más reciente de los sistemas operativos anteriores o las versiones que siguen siendo compatibles con los proveedores respectivos.

  • Para los sistemas operativos del kernel Linux (64 bits), utilice una versión de kernel compatible con Splunk. Para obtener más información, consulte la documentación de Splunk.

Puede configurar la integración de Splunk en las siguientes versiones de Splunk:

  • Administrador de datos de entradas de Splunk Cloud (IDM)

  • Splunk 7.3 (64 bits) y versiones posteriores

Requisitos previos

  • El complemento Citrix Analytics para Splunk se conecta a los siguientes puntos finales de Citrix Analytics for Security. Asegúrese de que los dispositivos de punto final se encuentren en la lista de permitidos de su red.

    Dispositivo de punto final Región de EE. UU. Región de la UE
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094
  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Splunk.

Integre Citrix Analytics para la seguridad Splunk

Siga las directrices mencionadas para integrar Citrix Analytics for Security con Splunk:

Después de preparar el archivo de configuración de Citrix Analytics, consulte:

Una vez configurado el complemento de Citrix Analytics para Splunk, consulte:

Exportación de datos

  1. Vaya a Configuración > Orígenes de datos >Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio de SIEM, selecciona Comenzar.

Obtener configuración de Citrix Analytics for Security

  1. En la sección Configuración en Citrix Analytics, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Sección Configurar

  2. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas

  3. Selecciona Configurar.

    Citrix Analytics for Security prepara los detalles de configuración necesarios para la integración de Splunk.

    Configurar SIEM

  4. Selecciona Splunk.

  5. Copie los detalles de configuración, que incluyen el nombre de usuario, los hosts, el nombre del tema de Kafka y el nombre del grupo.

    Necesita estos detalles para configurar el complemento de Citrix Analytics para Splunk en los pasos siguientes.

    IMPORTANTE

    Estos detalles son confidenciales y debe guardarlos en un lugar seguro.

    Detalles de configuración

Descargue el complemento Citrix Analytics para Splunk

  1. Vaya a la página de descargas del complemento de Citrix Analytics para Splunk (es necesario iniciar sesión).

  2. Haga clic en Descargar archivo.

    Configuración de Citrix Analytics

  3. En la pantalla Contrato de licencia de usuario final, lea los términos y condiciones y, a continuación, seleccione Sí, acepto. Se ha iniciado el proceso de descarga.

    Configuración de Citrix Analytics

  4. En la pantalla Acuerdo de descarga, lee los términos y condiciones. Para confirmar, marque la casilla He leído y certifico que cumplo con las leyes de control de exportaciones mencionadas anteriormente.

  5. Haga clic en Aceptar.

    Configuración de Citrix Analytics

Instalar complemento de Citrix Analytics para Splunk

  1. Inicie sesión en su entorno Splunk Forwarder o Splunk Standalone.

    Instalación de Splunk

  2. Navega hasta Apps.

    Instalación de Splunk

  3. Haga clic en el icono Administrar aplicaciones que aparece junto a Aplicaciones.

    Instalación de Splunk

  4. En la página Aplicaciones, haga clic en Instalar aplicación desde archivo.

    Instalación de Splunk

  5. En la sección Cargar una aplicación, selecciona la aplicación TA_CTXS_AS.tar.gz. Si hay una actualización de la aplicación, haga clic en Actualizar aplicación. Al marcar esta opción, se sobrescribirá la aplicación si ya existe.

    Instalación de Splunk

  6. Haga clic en Cargar. Recibirá un mensaje de notificación en la página Aplicaciones que indica que el complemento está instalado. El complemento Citrix Analytics para la aplicación Splunk se muestra en la lista Aplicaciones.

    Instalación de Splunk

Configurar el complemento Citrix Analytics para Splunk

Configure el complemento Citrix Analytics para Splunk mediante los detalles de configuración proporcionados por Citrix Analytics for Security. Una vez configurado correctamente el complemento, Splunk comienza a consumir eventos de Citrix Analytics for Security.

  1. En la página de inicio de Splunk, vaya a Configuración > Entradas de datos.

    Configuración de Splunk

  2. En la sección Entradas locales, haga clic en Complemento de Citrix Analytics.

    Configuración de Splunk

  3. Haga clic en New.

    Configuración de Splunk

  4. En la página Agregar datos, introduzca los detalles proporcionados en el archivo de configuración de Citrix Analytics.

    Configuración de Splunk

  5. Para personalizar la configuración predeterminada, haga clic en Más ajustes y configure la entrada de datos. Puede definir su propio índice de Splunk, nombre de host y tipo de fuente.

    Configuración de Splunk

  6. Haga clic en Siguiente. La entrada de datos de Citrix Analytics se crea y el complemento Citrix Analytics para Splunk se ha configurado correctamente.

Restablecer la contraseña de configuración de Citrix Analytics

Si quiere restablecer la contraseña de configuración en Citrix Analytics for Security, siga los pasos siguientes:

  1. En la página Configuración de Citrix Analytics, haga clic en Restablecer contraseña.

    Restablecer contraseña de SIEM

  2. En la ventana Restablecer contraseña, especifique la contraseña actualizada en los campos NUEVA CONTRASEÑA y CONFIRMAR NUEVA CONTRASEÑA. Siga las reglas de contraseña que se muestran.

    Requisitos para contraseñas

  3. Haga clic en Restablecer. Se ha iniciado la preparación del archivo de configuración.

    Restablecer contraseña de SIEM

Nota

Después de restablecer la contraseña de configuración, asegúrese de actualizar la nueva contraseña cuando configure la entrada de datos en la página Agregar datosdel entorno Splunk. Ayuda a Citrix Analytics for Security a seguir transmitiendo datos a Splunk.

Activar o desactivar la transmisión de datos

Una vez preparado el archivo de configuración de Citrix Analytics, la transmisión de datos se activa para Splunk.

Para dejar de transmitir datos de Citrix Analytics for Security:

  1. Vaya a Configuración > Orígenes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio SIEM, seleccione los puntos suspensivos verticales () y, a continuación, haga clic en Desactivar la transmisión de datos.

<! —Para confirmar, haga clic en Desactivar la transmisión de datos.

![Data transmission](/en-us/citrix-analytics/media/splunk-data-transmission-confirmation.png)-->

Cómo consumir eventos en Splunk

Después de configurar el complemento, Splunk comienza a recuperar información sobre riesgos de Citrix Analytics for Security. Puede empezar a buscar los eventos de su organización en el cabezal de búsqueda de Splunk basándote en la entrada de datos configurada.

Los resultados de la búsqueda se muestran en el siguiente formato:

Consumo de eventos Splunk

Un ejemplo de salida:

Consumo de eventos Splunk

Para buscar y depurar incidencias con el complemento, utilice la siguiente consulta de búsqueda:

Consumo de eventos Splunk

Los resultados se muestran en el siguiente formato:

Consumo de eventos Splunk

Para obtener más información sobre el formato de datos, consulte Formato de datos de Citrix Analytics para SIEM.

Aplicación Citrix Analytics para Splunk

Nota

Esta aplicación está en versión preliminar.

La aplicación Citrix Analytics para Splunk permite a los administradores de Splunk Enterprise ver los datos de usuario recopilados de Citrix Analytics for Security en forma de paneles útiles y útiles en Splunk. Con estos paneles, obtendrá una vista detallada del comportamiento de riesgo de los usuarios en su organización y tomará medidas oportunas para mitigar cualquier amenaza interna. También puede correlacionar los datos recopilados de Citrix Analytics for Security con otros orígenes de datos configurados en su Splunk. Esta correlación le proporciona visibilidad de las actividades riesgosas de los usuarios desde múltiples fuentes y toma medidas para proteger su entorno de TI.

Versión de Splunk compatible

La aplicación Citrix Analytics para Splunk se ejecuta en las siguientes versiones de Splunk:

  • Splunk 8.2 de 64 bits

  • Splunk 8.1 de 64 bits

  • Splunk 8.0 de 64 bits

  • Splunk 7.3 de 64 bits

Requisitos previos para la aplicación Citrix Analytics para Splunk

  • Instale el complemento Citrix Analytics para Splunk.

  • Asegúrese de que se cumplen los requisitos previos mencionados para el complemento Citrix Analytics para Splunk.

  • Asegúrese de que los datos fluyan de Citrix Analytics for Security a Splunk.

Instalación y configuración

¿Dónde instalar la aplicación?

Cabezal de búsqueda Splunk

¿Cómo instalar y configurar la aplicación?

Puede instalar la aplicación Citrix Analytics para Splunk descargándola de Splunk o instalándola desde Splunk.

Instalar app desde un archivo
  1. Vaya a Splunk base.

  2. Descargue el archivo de la aplicación Citrix Analytics para Splunk.

  3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

  4. Haga clic en Instalar aplicación desde archivo.

  5. Localiza el archivo descargado y haga clic en Subir.

    Nota

    Si tienes una versión anterior de la aplicación, selecciona Actualizar aplicación para sobrescribirla.

  6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk
  1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

  2. En la página Examinar más aplicaciones, busque la aplicación Citrix Analytics para Splunk.

  3. Haga clic en Instalar junto a la aplicación.

Configure el índice y el tipo de origen para correlacionar los datos
  1. Después de instalar la aplicación, haga clic en Configurar ahora.

    Configurar app

  2. Introduzca las siguientes consultas:

    • Tipo de índice y origen donde se almacenan los datos de Citrix Analytics for Security.

      Nota

      Estos valores de consulta deben ser los mismos que los especificados en el complemento Citrix Analytics para Splunk. Para obtener más información, consulte Configurar el complemento Citrix Analytics para Splunk.

    • Índice del que quiere correlacionar los datos con Citrix Analytics for Security.

      Fuente e índice

  3. Haga clic en Finalizar configuración de la aplicación para completar la configuración.

Una vez configurada y configurada la aplicación Citrix Analytics para Splunk, utilice los paneles de control de Citrix Analytics para ver los eventos de usuario en su Splunk.

Integración con Splunk