Citrix Analytics para la seguridad

Integración con Splunk

Nota

Póngase en contacto CAS-PM-Ext@citrix.com para solicitar ayuda para la integración de Splunk, exportar datos a Splunk o enviar comentarios.

Integre Citrix Analytics for Security con Splunk para exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Splunk y obtener información más profunda sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Versiones compatibles

Citrix Analytics for Security admite la integración de Splunk en los siguientes sistemas operativos:

  • CentOS Linux 7 y versiones posteriores
  • Debian GNU/Linux 10.0 y versiones posteriores
  • Red Hat Enterprise Linux Server 7.0 y versiones posteriores
  • Ubuntu 18.04 LTS y versiones posteriores

IMPORTANTE

  • Citrix recomienda utilizar la versión más reciente de los sistemas operativos anteriores o las versiones que siguen siendo compatibles con los proveedores respectivos.

  • Para los sistemas operativos del kernel Linux (64 bits), utilice una versión de kernel compatible con Splunk. Para obtener más información, consulte la documentación de Splunk.

Puede configurar la integración de Splunk en las siguientes versiones de Splunk:

  • Administrador de datos de entradas de Splunk Cloud (IDM)

  • Splunk 8.1 (64 bits) y posteriores

Requisitos previos

  • El complemento Citrix Analytics para Splunk se conecta a los siguientes puntos finales de Citrix Analytics for Security. Asegúrese de que los dispositivos de punto final se encuentren en la lista de permitidos de su red.

    Dispositivo de punto final Región de los Estados Unidos Región de la Unión Europea Región Asia-Pacífico Sur
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Splunk.

Integre Citrix Analytics para la seguridad Splunk

Siga las directrices mencionadas para integrar Citrix Analytics for Security con Splunk:

Después de preparar el archivo de configuración de Citrix Analytics, consulte:

Una vez configurado el complemento de Citrix Analytics para Splunk, consulte:

Exportación de datos

  1. Vaya a Configuración > Orígenes de datos >Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio de SIEM, seleccione Comenzar.

    Exportación de datos SIEM

Obtener configuración de Citrix Analytics for Security

  1. En la sección Configuración en Citrix Analytics, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Sección Configurar

  2. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas

  3. Selecciona Configurar.

    Citrix Analytics for Security prepara los detalles de configuración necesarios para la integración de Splunk.

    Configurar SIEM

  4. Selecciona Splunk.

  5. Copie los detalles de configuración, que incluyen el nombre de usuario, los hosts, el nombre del tema de Kafka y el nombre del grupo.

    Necesita estos detalles para configurar el complemento de Citrix Analytics para Splunk en los pasos siguientes.

    IMPORTANTE

    Estos detalles son confidenciales y debe guardarlos en un lugar seguro.

    Detalles de configuración

Descargue e instale el complemento Citrix Analytics para Splunk

  1. Inicie sesión en su entorno Splunk Forwarder o Splunk Standalone.

  2. Instale el complemento Citrix Analytics para Splunk descargándolo de Splunkbase o instalándolo desde Splunk.

Instalar app desde un archivo

  1. Vaya a Splunk base.

  2. Descargue el complemento Citrix Analytics para el archivo Splunk.

  3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

  4. Haga clic en Instalar aplicación desde archivo.

  5. Localiza el archivo descargado y haga clic en Subir.

    Notas

    • Si tiene una versión anterior del complemento, seleccione Actualizar aplicación para sobrescribirla.

    • Si actualiza Citrix Analytics Add-on for Splunk desde una versión anterior a la 2.0.0, debe eliminar los siguientes archivos y carpetas ubicados en la carpeta /bin de la carpeta de instalación del complemento y reiniciar el entorno de Splunk Forwarder o Splunk Standalone:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk

  1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

  2. En la página Examinar más aplicaciones, busque Complemento de Citrix Analytics para Splunk.

  3. Haga clic en Instalar junto a la aplicación.

  4. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Configurar el complemento Citrix Analytics para Splunk

Configure el complemento Citrix Analytics para Splunk mediante los detalles de configuración proporcionados por Citrix Analytics for Security. Una vez configurado correctamente el complemento, Splunk comienza a consumir eventos de Citrix Analytics for Security.

  1. En la página de inicio de Splunk, vaya a Configuración > Entradas de datos.

    Configuración de Splunk

  2. En la sección Entradas locales, haga clic en Complemento de Citrix Analytics.

    Configuración de Splunk

  3. Haga clic en New.

    Configuración de Splunk

  4. En la página Agregar datos, introduzca los detalles proporcionados en el archivo de configuración de Citrix Analytics.

    Configuración de Splunk

  5. Para personalizar la configuración predeterminada, haga clic en Más ajustes y configure la entrada de datos. Puede definir su propio índice de Splunk, nombre de host y tipo de fuente.

    Configuración de Splunk

  6. Haga clic en Next. La entrada de datos de Citrix Analytics se crea y el complemento Citrix Analytics para Splunk se ha configurado correctamente.

Restablecer la contraseña de configuración de Citrix Analytics

Si quiere restablecer la contraseña de configuración en Citrix Analytics for Security, siga los pasos siguientes:

  1. En la página Configuración de Citrix Analytics, haga clic en Restablecer contraseña.

    Restablecer contraseña de SIEM

  2. En la ventana Restablecer contraseña, especifique la contraseña actualizada en los campos NUEVA CONTRASEÑA y CONFIRMAR NUEVA CONTRASEÑA. Siga las reglas de contraseña que se muestran.

    Requisitos para contraseñas

  3. Haga clic en Restablecer. Se ha iniciado la preparación del archivo de configuración.

    Restablecer contraseña de SIEM

Nota

Después de restablecer la contraseña de configuración, asegúrese de actualizar la nueva contraseña cuando configure la entrada de datos en la página Agregar datosdel entorno Splunk. Ayuda a Citrix Analytics for Security a seguir transmitiendo datos a Splunk.

Cómo consumir eventos en Splunk

Después de configurar el complemento, Splunk comienza a recuperar información sobre riesgos de Citrix Analytics for Security. Puede empezar a buscar los eventos de su organización en el cabezal de búsqueda de Splunk basándote en la entrada de datos configurada.

Los resultados de la búsqueda se muestran en el siguiente formato:

Consumo de eventos Splunk

Un ejemplo de salida:

Consumo de eventos Splunk

Para buscar y depurar incidencias con el complemento, utilice la siguiente consulta de búsqueda:

Consumo de eventos Splunk

Los resultados se muestran en el siguiente formato:

Consumo de eventos Splunk

Para obtener más información sobre el formato de datos, consulte Formato de datos de Citrix Analytics para SIEM.

Aplicación Citrix Analytics para Splunk

Nota

Esta aplicación está en versión preliminar.

La aplicación Citrix Analytics para Splunk permite a los administradores de Splunk Enterprise ver los datos de usuario recopilados de Citrix Analytics for Security en forma de paneles útiles y útiles en Splunk. Con estos paneles, obtendrá una vista detallada del comportamiento de riesgo de los usuarios en su organización y tomará medidas oportunas para mitigar cualquier amenaza interna. También puede correlacionar los datos recopilados de Citrix Analytics for Security con otros orígenes de datos configurados en su Splunk. Esta correlación le proporciona visibilidad de las actividades riesgosas de los usuarios desde múltiples fuentes y toma medidas para proteger su entorno de TI.

Versión de Splunk compatible

La aplicación Citrix Analytics para Splunk se ejecuta en las siguientes versiones de Splunk:

  • Splunk 8.2 de 64 bits

  • Splunk 8.1 de 64 bits

  • Splunk 8.0 de 64 bits

  • Splunk 7.3 de 64 bits

Requisitos previos para la aplicación Citrix Analytics para Splunk

  • Instale el complemento Citrix Analytics para Splunk.

  • Asegúrese de que se cumplen los requisitos previos mencionados para el complemento Citrix Analytics para Splunk.

  • Asegúrese de que los datos fluyan de Citrix Analytics for Security a Splunk.

Instalación y configuración

¿Dónde instalar la aplicación?

Cabezal de búsqueda Splunk

¿Cómo instalar y configurar la aplicación?

Puede instalar la aplicación Citrix Analytics para Splunk descargándola de Splunk o instalándola desde Splunk.

Instalar app desde un archivo
  1. Vaya a Splunk base.

  2. Descargue el archivo de la aplicación Citrix Analytics para Splunk.

  3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

  4. Haga clic en Instalar aplicación desde archivo.

  5. Localiza el archivo descargado y haga clic en Subir.

    Nota

    Si tiene una versión anterior de la aplicación, seleccione Actualizar aplicación para sobrescribirla.

  6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk
  1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

  2. En la página Examinar más aplicaciones, busque la aplicación Citrix Analytics para Splunk.

  3. Haga clic en Instalar junto a la aplicación.

Configure el índice y el tipo de origen para correlacionar los datos
  1. Después de instalar la aplicación, haga clic en Configurar ahora.

    Configurar app

  2. Introduzca las siguientes consultas:

    • Tipo de índice y origen donde se almacenan los datos de Citrix Analytics for Security.

      Nota

      Estos valores de consulta deben ser los mismos que los especificados en el complemento Citrix Analytics para Splunk. Para obtener más información, consulte Configurar el complemento Citrix Analytics para Splunk.

    • Índice del que quiere correlacionar los datos con Citrix Analytics for Security.

      Fuente e índice

  3. Haga clic en Finalizar configuración de la aplicación para completar la configuración.

Una vez configurada y configurada la aplicación Citrix Analytics para Splunk, utilice los paneles de control de Citrix Analytics para ver los eventos de usuario en su Splunk.

Activar o desactivar la transmisión de datos

Después de que Citrix Analytics for Security prepare el archivo de configuración, se activa la transmisión de datos para Splunk.

Para dejar de transmitir datos de Citrix Analytics for Security:

  1. Vaya a Configuración > Orígenes de datos > Seguridad > EXPORTACIONES DE DATOS.

  2. En la tarjeta del sitio SIEM, seleccione los puntos suspensivos verticales () y, a continuación, haga clic en Desactivar la transmisión de datos.

    Desactivación de la transmisión SIEM

Para volver a habilitar la transmisión de datos, en la tarjeta del sitio SIEM, haga clic en Activar transmisión de datos.

Encendido de la transmisión SIEM

Solución de problemas del complemento Citrix Analytics para Splunk

Si no ve ningún dato en los paneles de Splunk o si encuentra problemas al configurar el complemento Citrix Analytics para Splunk, lleve a cabo los pasos de depuración para solucionar el problema. Para obtener más información, consulte Problemas de configuración con el complemento Citrix Analytics para Splunk.

Integración con Splunk