Integración Splunk

Anteriormente, los usuarios no podían correlacionar información sobre las capacidades de riesgo de seguridad de su organización, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo. Por lo tanto, los usuarios no pudieron obtener información útil sobre esta información. Para cumplir con este requisito, Citrix Analytics permite a los usuarios integrarse con Splunk.

La integración Splunk le ayuda a exportar datos analizados para eventos de riesgo desde Citrix Analytics a su entorno Splunk. Puede buscar, recopilar y analizar datos de varias fuentes de datos en una sola plataforma. Con estos datos, puede solucionar problemas y supervisar los eventos.

Citrix Analytics no envía datos sin procesar a Splunk. En su lugar, envía datos procesados. Los datos procesados enviados a Splunk incluyen:

  • Cambio de puntuación de riesgo: Este es el cambio en la puntuación de riesgo de un usuario. Cuando la puntuación de riesgo de un usuario aumenta en cualquier momento o disminuye en más de un 10%, el cambio se envía a Splunk.

  • Resumen del indicador de riesgo — Todos los indicadores de riesgo asociados con el usuario, cuando se genera un nuevo indicador de riesgo.

  • Puntuación de riesgo del usuario: Puntuación de riesgo actual de un usuario. Citrix Analytics envía estos datos a Splunk cada 12 horas.

  • Aplicaciones de usuario: Aplicación que el usuario ha iniciado y utilizado. Citrix Analytics recupera estos datos de Citrix Vitrual Apps y los envía a Splunk cada 12 horas.

  • Dispositivo de usuario: Dispositivos a los que está asociado el usuario. Citrix Analytics recupera estos datos de Citrix Virtual Apps y Citrix Endpoint Management y los envía a Splunk cada 12 horas.

  • Ubicación del usuario: Ciudad en la que se detectó el usuario por última vez. Citrix Analytics recupera estos datos de Citrix Content Collaboration y los envía a Splunk cada 12 horas.

  • Uso de datos: datos cargados y descargados por el usuario a través de Citrix Content Collaboration. Citrix Analytics envía estos datos a Splunk cada 12 horas.

Ventajas de la integración Splunk

  • Mayor visibilidad de las alertas de seguridad en un lugar centralizado

  • Enfoque centralizado para detectar posibles amenazas de seguridad para capacidades de análisis de riesgos organizacionales, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.

  • Capacidad para combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con orígenes de datos externos, dentro de Splunk.

Requisitos previos

Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics a iniciar el proceso de integración Splunk.

Cómo integrar Citrix Analytics con Splunk

Siga las pautas mencionadas para integrar Citrix Analytics con Splunk:

Después de preparar el archivo de configuración de Citrix Analytics, consulte:

Después de configurar el complemento Citrix Analytics para Splunk, consulte:

Exportación de datos

  1. Vaya a Configuración > Orígenes de datos > EXPORTACIONES DE DATOS.

  2. En la tarjeta de sitio Splunk, seleccione Introducción. Se le redirigirá a la página Configurar integración de Splunk.

    Exportación de datos

  3. En la página Configurar integración de Splunk, vaya a la sección Configuración en Citrix Analytics.

Obtener configuración en Citrix Analytics

  1. Cree una contraseña para su cuenta predefinida actualizando los campos CONTRASEÑA y CONFIRMAR CONTRASEÑA. Asegúrese de seguir las reglas de contraseña que se muestran.

    Configuración de Citrix Analytics

  2. Haga clic en Configurar. Citrix Analytics comienza a preparar un archivo de configuración necesario para la integración con Splunk. Recibirá una notificación cuando se prepare el archivo. Detalles como el nombre de usuario, el host, el nombre del tema y el nombre del grupo se proporcionan en la sección DETALLES DE CONFIGURACIÓN.

    Configuración de Citrix Analytics

Descargar el complemento de Citrix Analytics para Splunk

  1. Vaya a la página Descargas del complemento de Citrix Analytics para Splunk (es necesario iniciar sesión).

  2. Haga clic en Descargar archivo.

    Configuración de Citrix Analytics

  3. En la pantalla Contrato de licencia de usuario final, lea los términos y condiciones y, a continuación, seleccione Sí, acepto. Se inicia el proceso de descarga.

    Configuración de Citrix Analytics

  4. En la pantalla Acuerdo de descarga, lea los términos y condiciones. Para confirmar, marque la casilla de verificación He leído y certificado que cumplo con las leyes de control de exportación anteriores.

  5. Haga clic en Aceptar.

    Configuración de Citrix Analytics

Instalar el complemento Citrix Analytics para Splunk

  1. Inicie sesión en su entorno Splunk Forwarder o Splunk Standalone.

    Instalación Splunk

  2. Desplácese hasta Aplicaciones.

    Instalación Splunk

  3. Haz clic en el icono Administrar aplicaciones que aparece junto a Aplicaciones.

    Instalación Splunk

  4. En la página Aplicaciones, haz clic en Instalar aplicación desde archivo.

    Instalación Splunk

  5. En la sección Cargar una aplicación, seleccione la aplicación TA_CTXS_AS.tar.gz. Si hay una actualización de la aplicación, haga clic en Actualizar aplicación. Al marcar esto sobrescribirá la aplicación si ya existe.

    Instalación Splunk

  6. Haga clic en Cargar. Recibirá un mensaje de notificación en la página Aplicaciones que indica que el complemento está instalado. La aplicación Citrix Analytics Add-on for Splunk se muestra en la lista Aplicaciones.

    Instalación Splunk

Configurar el complemento Citrix Analytics para Splunk

Configure el complemento Citrix Analytics para Splunk utilizando los detalles de configuración proporcionados por Citrix Analytics. Una vez configurado correctamente el complemento, Splunk comienza a consumir eventos de Citrix Analytics.

  1. En la página de inicio de Splunk, vaya a Configuración > Entradas de datos.

    Configuración de Splunk

  2. En la sección Entradas locales, haga clic en el complemento de Citrix Analytics.

    Configuración de Splunk

  3. Haga clic en New.

    Configuración de Splunk

  4. En la página Agregar datos, introduzca los detalles proporcionados en el archivo de configuración de Citrix Analytics.

    Configuración de Splunk

  5. Para personalizar la configuración predeterminada, haga clic en Más configuraciones y configure la entrada de datos. Puede definir su propio índice Splunk, nombre de host y tipo de fuente.

    Configuración de Splunk

  6. Haga clic en Siguiente. Se crea la entrada de datos de Citrix Analytics y se configura correctamente el complemento Citrix Analytics para Splunk.

Restablecer la contraseña de configuración de Citrix Analytics

Si quiere restablecer la contraseña de configuración en Citrix Analytics, siga los pasos mencionados a continuación:

  1. En la página Configuración de Citrix Analytics, haga clic en Restablecer contraseña.

    Restablecer contraseña

  2. En la ventana Restablecer contraseña, especifique la contraseña actualizada en los campos NUEVA CONTRASEÑA y CONFIRMAR NUEVA CONTRASEÑA. Siga las reglas de contraseña que se muestran.

  3. Haga clic en Restablecer. Se inicia la preparación del archivo de configuración.

    Restablecer contraseña

Nota

Después de restablecer la contraseña de configuración, asegúrese de actualizar la nueva contraseña cuando configure la entrada de datos en la página Agregar datosdel entorno Splunk. Ayuda a Citrix Analytics a seguir transmitiendo datos a Splunk.

Activar o desactivar la transmisión de datos

Una vez preparado el archivo de configuración de Citrix Analytics, la transmisión de datos se activa para Splunk. Citrix Analytics puede transmitir información de inteligencia de riesgos a Splunk.

Para detener la transmisión de datos desde Citrix Analytics:

  1. Vaya a Configuración > Orígenes de datos > EXPORTACIONES DE DATOS.

  2. En la tarjeta de sitio Splunk, seleccione los puntos suspensivos verticales (⋮) y, a continuación, haga clic en Desactivar la transmisión de datos.

    Transmisión de datos

  3. Para confirmar, haga clic en Desactivar la transmisión de datos.

    Transmisión de datos

Cómo consumir eventos en Splunk

Después de configurar el complemento, Splunk comienza a recuperar inteligencia de riesgos de Citrix Analytics. Puede comenzar a buscar los eventos de su organización en el cabezal de búsqueda Splunk basado en la entrada de datos configurada.

Los resultados de la búsqueda se muestran en el siguiente formato:

Consumo de eventos Splunk

A continuación se proporciona un ejemplo de salida:

Consumo de eventos Splunk

Para buscar y depurar problemas con el complemento, utilice la siguiente consulta de búsqueda:

Consumo de eventos Splunk

Los resultados se muestran en el siguiente formato:

Consumo de eventos Splunk

Versiones compatibles

Citrix Analytics admite la integración de Splunk en los sistemas operativos Ubuntu 18.04.1, Red Hat Enterprise Linux Server 7.x, Debian GNU/Linux 9, CentOS Linux 7.x y SUSE Linux Enterprise Server 12.

Puede configurar la integración de Splunk en las siguientes versiones de Splunk:

  • Splunk 8.0 64 bits
  • Splunk 7.3 64 bits
  • Splunk 7.2 64 bits
  • Splunk 7.1 64 bits
  • Splunk 7.0 64 bits
  • Splunk 6.6 64 bits
  • Splunk 6.5 64 bits