Citrix Analytics para la seguridad

Integración de Microsoft Sentinel

Notas

  • Póngase en contacto < CAS-PM-Ext@citrix.com > para solicitar asistencia para la integración de Microsoft Sentinel, exportar datos a Microsoft Sentinel o proporcionar comentarios.

  • La exportación de datos a Microsoft Sentinel mediante el motor Logstash está en versión preliminar. Esta función se proporciona sin un acuerdo de nivel de servicio y no se recomienda para cargas de trabajo de producción. Para obtener más información, consulte la documentación de Microsoft Sentinel .

Integre Citrix Analytics for Security con su Microsoft Sentinel mediante el motor Logstash.

Esta integración le permite exportar y correlacionar los datos de los usuarios desde su entorno de TI de Citrix a Microsoft Sentinel y obtener información más profunda sobre la postura de seguridad de su organización. Vea los paneles de control perspicaces que son exclusivos de Citrix Analytics for Security en su entorno Splunk. También puede crear vistas personalizadas en función de sus requisitos de seguridad.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Requisitos previos

  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Microsoft Sentinel.

  • Asegúrese de que el siguiente punto de enlace esté en la lista de permitidos en su red.

    Dispositivo de punto final Región de los Estados Unidos Región de la Unión Europea Región Asia-Pacífico Sur
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Asegúrese de utilizar las versiones de Logstash de la 7.0 a la 7.9 con el complemento de salida de Microsoft Sentinel para Logstash.

Integración con Microsoft Sentinel

  1. Vaya a Configuración > Orígenes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio de SIEM, seleccione Comenzar.

    Exportación de datos SIEM

  3. En la página Configurar integración de SIEM, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Página de configuración de SIEM

  4. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas

  5. Haga clic en Configurar para generar el archivo de configuración de Logstash.

    Configuración

  6. Seleccione la pestaña Microsoft Sentinel para descargar los archivos de configuración:

    • Archivo de configuración de Logstash: contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos de Citrix Analytics for Security a Microsoft Sentinel mediante el motor de recopilación de datos Logstash.

      Para obtener información sobre la estructura de archivos de configuración de Logstash, consulte la documentación de Logstash.

    • Archivo JKS: contiene los certificados necesarios para la conexión SSL.

    Nota

    Estos archivos contienen información confidencial. Manténgalos en un lugar seguro y protegido.

    Seleccione Microsoft Sentinel

  7. Prepare la integración de Microsoft Sentinel:

    1. En el portal de Azure, habilite Microsoft Sentinel. Puede crear un espacio de trabajo o usar su espacio de trabajo existente para ejecutar Microsoft Sentinel.

    2. En el menú principal, seleccione Conectores de datos para abrir la galería de conectores de datos.

    3. Busque Citrix Analytics (seguridad).

    4. Seleccione Citrix Analytics (seguridad) y seleccione Abrir página de conector.

      Página de conector de datos Sentinel

    5. En la página Citrix Analytics (seguridad), copie el ID del espacio de trabajo y la clave principal. Debe introducir esta información en el archivo de configuración de Logstash en los pasos posteriores.

      Página de configuración del conector de datos

    6. Configure Logstash en su máquina host:

      1. En su máquina host Linux o Windows, instale el complemento de salida [Logstash](https://www.elastic.co/guide/en/logstash/current/installing-logstash.html) y Microsoft Sentinel para Logstash.

      2. En la máquina host donde ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:

        Tipo de máquina host Nombre de archivo Ruta del directorio
        Linux CAS_AzureSentinel_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
            Para archivos.zip y.tar.gz: {extract.path}/config
          kafka.client.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
            Para archivos.zip y.tar.gz: {extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        Para obtener información sobre la estructura de directorios predeterminada de los paquetes de instalación de Logstash, consulte la documentación de Logstash.

      3. Abra el archivo de configuración de Logstash y haga lo siguiente:

        1. En la sección de entrada del archivo, introduzca lo siguiente:

          • Contraseña: la contraseña de la cuenta que creó en Citrix Analytics for Security para preparar el archivo de configuración.

          • Ubicación del almacén de confianza SSL: la ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en su máquina host.

          Sección de entrada

        2. En la sección de salida del archivo, introduzca el identificador del espacio de trabajo y la clave principal (que ha copiado de Microsoft Sentinel) en la sección de salida del archivo.

          Sección de salida

      4. Reinicie la máquina host Logstash para enviar los datos procesados de Citrix Analytics for Security a Microsoft Sentinel.

    7. Vaya a su Microsoft Sentinel Workspace y vea los datos en el libro de trabajo de Citrix Analytics.

Activar o desactivar la transmisión de datos

Después de que Citrix Analytics for Security prepare el archivo de configuración, se activa la transmisión de datos para Microsoft Sentinel.

Para dejar de transmitir datos de Citrix Analytics for Security:

  1. Vaya a Configuración > Orígenes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio SIEM, seleccione los puntos suspensivos verticales () y, a continuación, haga clic en Desactivar la transmisión de datos.

    Desactivación de la transmisión SIEM

Para volver a habilitar la transmisión de datos, en la tarjeta del sitio SIEM, haga clic en Activar transmisión de datos.

Encendido de la transmisión SIEM

Integración de Microsoft Sentinel