Citrix Analytics for Security

Integración de gestión de información y eventos de seguridad (SIEM)

Nota

Contacte con CAS-PM-Ext@cloud.com para solicitar asistencia para la integración de SIEM, la exportación de datos a SIEM y proporcionar comentarios.

Integre Citrix Analytics for Security con sus servicios de SIEM y exporte los datos de los usuarios del entorno de TI de Citrix a su SIEM. Correlacione los datos exportados con los datos disponibles en su SIEM para obtener información más profunda sobre la postura de seguridad de su organización.

Esta integración mejora el valor tanto de su Citrix Analytics for Security como de su SIEM.

Ventajas

  • Permite a los equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares.

  • Ayuda a sus equipos de operaciones de seguridad a identificar y remediar rápidamente los riesgos de seguridad.

  • Visibilidad de las alertas de seguridad en un lugar centralizado.

  • Enfoque centralizado para detectar posibles amenazas a la seguridad de las capacidades de análisis de riesgos de la organización, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.

  • Capacidad para combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con los orígenes de datos externas conectadas dentro de su SIEM.

Arquitectura de integración de SIEM

Su integración de SIEM se conecta con el Kafka en dirección norte implementado en la nube de Citrix Analytics for Security. Esto se puede lograr de las dos formas siguientes:

  • Dispositivos de punto final de Kafka: Si su SIEM admite los dispositivos de punto final de Kafka, utilice los parámetros proporcionados en el archivo de configuración de Logstash y los detalles del certificado del archivo JKS o el archivo PEM para integrar su SIEM con Citrix Analytics for Security. Con los terminales de Kafka, puede conectar y extraer los datos al SIEM de su elección.

  • Motor Logstash: Si su SIEM no admite los dispositivos de punto final de Kafka, puede utilizar el motor de recopilación de datos de Logstash. Puede enviar los datos de información sobre riesgos de Citrix Analytics for Security a uno de los complementos de salida compatibles con Logstash.

Consulte el siguiente diagrama de arquitectura de soluciones SIEM para comprender cómo fluyen los datos desde Citrix Analytics for Security a su servicio SIEM:

Arquitectura de soluciones SIEM

Activar o desactivar la transmisión de datos

Para dejar de transmitir datos de Citrix Analytics for Security:

  1. Ve a Configuración > Exportaciones de datos.

  2. Apague el botón para desactivar la transmisión de datos.

    Nota De forma predeterminada, la transmisión de datos siempre está activada/habilitada para SIEM.

    Transmisión de datos activada

Para habilitar de nuevo la transmisión de datos, active el botón.

Configuración del entorno SIEM

Para exportar datos a SIEM, debe realizar las siguientes acciones:

  • Configure su cuenta de Kafka y sus credenciales de autenticación
  • Descargue la configuración rellenada previamente y configure el entorno SIEM
  • Eventos de datos para exportar

Configuración de la cuenta de exportación SIEM

  1. Para configurar su cuenta, vaya a Configuración > Exportación de datos > expanda Configuración de cuenta. Cree una cuenta especificando el nombre de usuario y la contraseña. Una vez que haya configurado su cuenta, se generarán sus datos de Kafka. Estos detalles se incrustan automáticamente al generar el archivo de configuración.

    Configuración de cuenta

  2. Haga clic en Configurar para generar el archivo de configuración. El archivo de configuración contiene detalles como los puntos finales de Kafka, los temas de suscripción específicos y los ID de grupo. Además, preconfigura los atributos Kafka y SSL que se requieren para completar la autenticación y el flujo de datos.

Configuración de SIEM y configuración del entorno

Elija el entorno SIEM según sea necesario. Puede integrar Citrix Analytics for Security con los siguientes servicios. Consulte los siguientes enlaces para obtener información detallada y configuraciones específicas de SIEM:

Entorno SIEM

Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM

Como parte de las exportaciones de SIEM, hay dos tipos de conjuntos de datos:

  1. Eventos de información de riesgos (exportaciones predeterminadas): Una vez que haya completado la configuración de la cuenta y la configuración de SIEM, los datos predeterminados (eventos de información de riesgo) comienzan a fluir a su implementación de SIEM. Los datos de información sobre riesgos contienen alertas de puntuación de riesgo, perfil de usuario e indicadores de riesgo del usuario. Se generan mediante el algoritmo de aprendizaje automático de Citrix Analytics, el análisis del comportamiento de los usuarios y se basan en los eventos de los usuarios. Para obtener información sobre los tipos de eventos, los metadatos y los esquemas disponibles, consulte Datos de información sobre riesgos para SIEM.

  2. Eventos de fuentes de datos (exportaciones opcionales): Además, puede configurar la función de exportación de datos para exportar eventos de usuario desde orígenes de datos de productos compatibles con Citrix Analytics for Security. Al realizar cualquier actividad en el entorno Citrix, se generan los eventos del origen de datos. Los eventos exportados son datos de uso de usuarios y productos en tiempo real sin procesar, tal como están disponibles en la vista de autoservicio. Los metadatos contenidos en estos eventos también se pueden utilizar para analizar las amenazas en profundidad, crear nuevos paneles y relacionarlos con otros eventos de fuentes de datos que no son de Citrix en su infraestructura de seguridad y TI.

    Actualmente, Citrix Analytics for Security envía eventos de usuario a su SIEM para la fuente de datos de Citrix Virtual Apps and Desktops.

    Para obtener información sobre los tipos de eventos, los metadatos y el esquema disponibles, consulte Eventos de fuentes de datos.

    Nota

    Para los clientes que utilicen un intermediario de datos Logstash, se recomienda descargar el archivo de configuración más reciente del portal Citrix Analytics for Security y actualizarlo al implementar el servicio Logstash. Esto garantiza que se creen las tablas de eventos del origen de datos correctas y que los eventos ahora estén disponibles en los índices de SIEM.

    Exportaciones de datos

Solución de problemas de integración con SIEM

La vista Exportaciones de datos por motivos de seguridad incluye una ficha de resumen para ayudar a los administradores a solucionar problemas de integración de SIEM con Citrix Analytics. El panel de resumen proporciona visibilidad sobre el estado y el flujo de los datos al guiarlos por los puntos de control que ayudan al proceso de solución de problemas.

Solución de problemas de exportación de datos

Para obtener más información sobre esta función, consulte Solución de problemas de exportación de datos.

Integración de gestión de información y eventos de seguridad (SIEM)