Citrix Analytics for Security

Aprovechar el modelo de datos SIEM de Citrix Analytics para el análisis de amenazas y la correlación de datos

En este artículo se explica la relación entre los datos de la entidad que muestran los eventos enviados al entorno SIEM de un cliente. Para aclarar esto, tomemos un ejemplo de un escenario de búsqueda de amenazas en el que los atributos (la IP del cliente y el sistema operativo) son los puntos focales. Se analizarán las siguientes formas de correlacionar dichos atributos con el usuario:

  • Uso de información personalizada sobre indicadores de riesgo
  • Uso de eventos de fuentes de datos

Splunk es el entorno SIEM elegido para mostrarse en el siguiente ejemplo. También se puede realizar una correlación de datos similar en Sentinel mediante la plantilla de libro de trabajo de Citrix Analytics. Para explorar esto más a fondo, consulte el libro de trabajo de Citrix Analytics para Microsoft Sentinel.

Información sobre indicadores de riesgo personalizados

Como se menciona en el formato de exportación de datos de Citrix Analytics para SIEM, el resumen de los indicadores y los detalles de los eventos forman parte del conjunto de datos de información de riesgo predeterminado. Para el conjunto de datos del indicador Citrix Virtual Apps and Desktops, la IP y el sistema operativo del cliente se exportan de forma predeterminada. Por lo tanto, si un administrador configura un indicador personalizado con o sin la condición que incluya estos campos, dichos puntos de datos fluirán a su entorno de Splunk.

Configuración de un indicador de riesgo personalizado en Citrix Analytics

  1. Vaya al panel de control de Citrix Analytics for Security > Indicadores de riesgo personalizados > Crear indicador. Puede crear un indicador de riesgo personalizado con cualquier condición que le ayude a monitorear el comportamiento del usuario. Después de configurar el indicador personalizado, todos los usuarios que activan la condición asociada estarán visibles en su entorno de Splunk.

    Configuración de un indicador de riesgo personalizado

  2. Para ver las ocurrencias de los indicadores de riesgo creados en Citrix Analytics for Security, vaya a Seguridad > Usuarios. Navega hasta la parte inferior de la página y haz clic en el icono con el signo más (+).

    Ver las ocurrencias de los indicadores de riesgo creados

    Aparece la tarjeta de indicadores de riesgo. Puede ver los detalles del indicador de riesgo, la gravedad y la incidencia.

    Detalles del indicador de riesgo

  3. Haz clic en Ver más. Aparece la página de descripción general del indicador de riesgo.

    Resumen de indicadores de riesgo

    En la página de descripción general del indicador de riesgo, puede ver los detalles del usuario que activó el indicador con una vista cronológica detallada y un resumen del usuario. Para obtener más información sobre el cronograma, consulte Cronología y perfil de riesgo del usuario.

    Cronología y perfil de riesgo del usuario

Apariciones de indicadores de riesgo en Splunk: consultas sin procesar

También puede obtener la información sobre la IP y el sistema operativo del cliente mediante el índice y el tipo de fuente que utilizó el administrador de la infraestructura de Splunk al configurar la entrada de datos en el complemento Splunk Enterprise para Citrix Analytics for Security.

  1. Ve a Splunk > Nueva búsqueda. En la consulta de búsqueda, introduzca y ejecute la siguiente consulta:

    index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>"
    
    <!--NeedCopy-->
    

    Query1a

  2. Recoge el indicator_uuid y ejecuta la siguiente consulta:

    index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>"
    
    <!--NeedCopy-->
    

    Query2a

    El resultado del evento contiene el resumen del evento del indicador y los detalles del evento del indicador (la actividad que desencadena el indicador). El detalle del evento contiene la información del sistema operativo y la IP del cliente (nombre, versión, información adicional).

Para obtener más información sobre el formato de datos, consulte el formato de exportación de datos de Citrix Analytics para SIEM.

Indicadores de riesgo que aparecen en la aplicación Splunk - Dashboarding

Consulte los siguientes artículos para obtener instrucciones sobre cómo instalar la aplicación Citrix Analytics para Splunk:

  1. Haga clic en la pestaña Citrix Analytics — Panel de control y seleccione la opción Detalles del indicador de riesgo en la lista desplegable.

    Opción de detalles del indicador de riesgo

  2. Filtre el contenido de la lista desplegable de forma adecuada y haga clic en Enviar.

    Filtro de opciones de detalles del indicador de riesgo

  3. Haga clic en la instancia de usuario para obtener los detalles.

    Instancia de usuario de indicador de riesgo

  4. Puede ver la información sobre la IP y el sistema operativodel cliente (nombre, versión, información adicional) en la parte inferior de esta página:

    Información de IP y sistema operativo del cliente

Eventos de fuentes de datos

Otro método para obtener la IP del cliente y los detalles del sistema operativo en su entorno de Splunk consiste en configurar los eventos de la fuente de datos para su exportación. Esta función permite que los eventos presentes en la vista de búsqueda automática fluyan directamente a su entorno de Splunk. Para obtener más información sobre cómo configurar los tipos de eventos para que las Virtual Apps and Desktops se exporten a SIEM, consulte los siguientes artículos:

  1. Vaya al panel de control de Citrix Analytic for Security > Buscar. En esta página de búsqueda automática, están disponibles todos los tipos de eventos y su información relacionada. Puede ver el tipo de evento Session.Logon como ejemplo en la siguiente captura de pantalla:

    Inicio de sesión

  2. Configura Session.Logon en los eventos de la fuente de datos para exportarlos y pulsa Guardar para que fluya a tu entorno de Splunk.

    Configurar el inicio de sesión

  3. Ve a Splunk y, a continuación, introduce y ejecuta la siguiente consulta:

    index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon"  AND "<user you’re interested in>"
    
    <!--NeedCopy-->
    

    Los campos relacionados con la IP y el sistema operativo del cliente están resaltados.

    Query3a

Aprovechar el modelo de datos SIEM de Citrix Analytics para el análisis de amenazas y la correlación de datos