Documentación de productos
Citrix Analytics for Security™
Ver PDF

Integración de la gestión de eventos e información de seguridad (SIEM)

September 16, 2025
Contribución de: 
C C

Nota

Ponte en contacto con CAS-PM-Ext@cloud.com para solicitar asistencia con la integración de SIEM, la exportación de datos a SIEM y para enviar comentarios.

Integra Citrix Analytics for Security™ con tus servicios SIEM y exporta los datos de los usuarios del entorno de TI de Citrix a tu SIEM. Correlaciona los datos exportados con los datos disponibles en tu SIEM para obtener información más detallada sobre la postura de seguridad de tu organización.

Esta integración mejora el valor tanto de tu Citrix Analytics for Security como de tu SIEM.

Ventajas

  • Permite a tus equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares.

  • Ayuda a tus equipos de operaciones de seguridad a identificar y remediar rápidamente los riesgos de seguridad.

  • Visibilidad de las alertas de seguridad en un lugar centralizado.

  • Enfoque centralizado para detectar posibles amenazas de seguridad para las capacidades de análisis de riesgos organizacionales, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.

  • Capacidad de combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con las fuentes de datos externas conectadas dentro de tu SIEM.

Arquitectura de integración de SIEM

Tu integración de SIEM se conecta con Kafka de entrada implementado en la nube de Citrix Analytics for Security. Esto se puede lograr de las dos maneras siguientes:

  • Puntos de conexión de Kafka: Si tu SIEM admite puntos de conexión de Kafka, usa los parámetros proporcionados en el archivo de configuración de Logstash y los detalles del certificado en el archivo JKS o el archivo PEM para integrar tu SIEM con Citrix Analytics for Security. Mediante los puntos de conexión de Kafka, puedes conectarte y extraer los datos al SIEM de tu elección.

  • Motor de Logstash: Si tu SIEM no admite puntos de conexión de Kafka, puedes usar el motor de recopilación de datos de Logstash. Puedes enviar los datos de información de riesgos de Citrix Analytics for Security a uno de los complementos de salida compatibles con Logstash.

Consulta el siguiente diagrama de arquitectura de la solución SIEM para comprender cómo fluyen los datos de Citrix Analytics for Security a tu servicio SIEM:

Arquitectura de la solución SIEM

Activar o desactivar la transmisión de datos

Para dejar de transmitir datos desde Citrix Analytics for Security:

  1. Ve a Configuración > Exportaciones de datos.

  2. Desactiva el botón de alternancia para inhabilitar la transmisión de datos.

    Nota De forma predeterminada, la transmisión de datos siempre está activada/habilitada para SIEM.

    Transmisión de datos activada

Para volver a habilitar la transmisión de datos, activa el botón de alternancia.

Configuración del entorno SIEM

Para exportar datos a SIEM, debes realizar las siguientes acciones:

  • Configurar tu cuenta de Kafka y las credenciales de autenticación
  • Descargar la configuración precargada y configurar el entorno SIEM
  • Eventos de datos para exportar

Configuración de la cuenta de exportación de SIEM

  1. Para configurar tu cuenta, ve a Configuración > Exportaciones de datos > expandir Configuración de cuenta. Crea una cuenta especificando el nombre de usuario y la contraseña. Una vez que configures tu cuenta, se generarán tus detalles de Kafka. Estos detalles se incrustan automáticamente al generar el archivo de configuración.

    Configuración de cuenta

  2. Haz clic en Configurar para generar el archivo de configuración. El archivo de configuración contiene detalles como los puntos de conexión de Kafka, tus temas de suscripción específicos y los ID de grupo. Además, preconfigura los atributos de Kafka y SSL necesarios para completar la autenticación y el flujo de datos.

Configuración del entorno y de SIEM

Elige el entorno SIEM según sea necesario. Puedes integrar Citrix Analytics for Security con los siguientes servicios. Consulta los siguientes enlaces para obtener información detallada y configuraciones específicas de SIEM:

Entorno SIEM

Eventos de datos exportados de Citrix Analytics for Security a tu servicio SIEM

Como parte de las exportaciones de SIEM, hay dos tipos de conjuntos de datos:

  1. Eventos de información de riesgos (exportaciones predeterminadas): Una vez que hayas completado la configuración de la cuenta y la configuración de SIEM, los datos predeterminados (eventos de información de riesgos) comenzarán a fluir a tu implementación de SIEM. Los datos de información de riesgos contienen la puntuación de riesgo del usuario, el perfil del usuario y las alertas de indicadores de riesgo. Estos son generados por el algoritmo de aprendizaje automático de Citrix Analytics, el análisis del comportamiento del usuario y en función de los eventos del usuario. Para obtener información sobre los tipos de eventos, los metadatos y el esquema disponibles, consulta Datos de información de riesgos para SIEM.

  2. Eventos de origen de datos (exportaciones opcionales): Además, puedes configurar la función de exportación de datos para exportar eventos de usuario de tus fuentes de datos de productos habilitados para Citrix Analytics for Security. Cuando realizas cualquier actividad en el entorno de Citrix, se generan los eventos de origen de datos. Los eventos exportados son datos de uso de productos y usuarios en tiempo real sin procesar, tal como están disponibles en la vista de autoservicio. Los metadatos contenidos en estos eventos se pueden usar para un análisis de amenazas más profundo, la creación de nuevos paneles y la correlación con otros eventos de origen de datos que no son de Citrix en toda tu infraestructura de seguridad y TI.

    Actualmente, Citrix Analytics for Security envía eventos de usuario a tu SIEM para estas fuentes de datos: Citrix Virtual Apps and Desktops™, Secure Private Access y el servicio Device Posture.

    Para obtener información sobre los tipos de eventos, los metadatos y el esquema disponibles, consulta Eventos de origen de datos.

    Nota

    Para los clientes que usan un agente de datos de Logstash, se recomienda descargar el archivo de configuración más reciente del portal de Citrix Analytics for Security y actualizarlo en la implementación del servicio Logstash. Esto garantiza que se creen las tablas de eventos de origen de datos correctas y que los eventos estén ahora disponibles en los índices de SIEM.

    Exportaciones de datos

Solución de problemas de integración de SIEM

La vista Exportaciones de datos para seguridad incluye una ficha Resumen para ayudar a los administradores a solucionar problemas de su integración de SIEM con Citrix Analytics. El panel Resumen proporciona visibilidad sobre el estado y el flujo de datos, guiándolos a través de los puntos de control que ayudan en el proceso de solución de problemas.

Solución de problemas de exportación de datos

Para obtener más información sobre esta capacidad, consulta Solución de problemas de exportación de datos.

Integración de la gestión de eventos e información de seguridad (SIEM)
September 16, 2025
Contribución de: 
C C
September 16, 2025
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.