Solución de problemas de exportaciones de datos

La vista Exportaciones de datos para seguridad incluye una ficha Resumen para ayudar a los administradores a solucionar problemas de su integración de SIEM con Citrix Analytics. El panel Resumen proporciona visibilidad sobre el estado y el flujo de los datos, guiándolos a través de los puntos de control que facilitan el proceso de solución de problemas.

Ficha Resumen

La ficha Resumen constituye la base del flujo de trabajo de solución de problemas de autoservicio en la vista Exportaciones de datos. Describe tu configuración de SIEM mediante estas tres tarjetas:

• Datos disponibles en Citrix Analytics: Esta tarjeta muestra el estado de tus configuraciones de origen de datos.
• Eventos disponibles para el consumo de SIEM: Esta tarjeta muestra el número de eventos que están listos para ser consumidos por tu entorno SIEM.
• Consumo de datos por SIEM: Esta tarjeta muestra el estado del flujo de datos en tu entorno SIEM.

Datos disponibles en Citrix Analytics

La tarjeta Datos disponibles en Citrix Analytics muestra el número de orígenes de datos que pueden contribuir a las perspectivas de SIEM que se han incorporado a Citrix Analytics para seguridad. Actualmente, se admiten tres orígenes de datos para las exportaciones de datos: Apps and Desktops, Gateway y Secure Private Access. Incluso si estos orígenes de datos se han incorporado, la exportación de datos no funcionará para los orígenes de datos que tienen su procesamiento de datos desactivado. Se muestra un mensaje de advertencia adecuado, como el que se muestra en la imagen anterior, cuando se detectan dichos orígenes de datos.

El botón Ver eventos de los últimos 7 días redirige al administrador a la vista Búsqueda de autoservicio, a través de la cual los administradores pueden verificar que los eventos han fluido a Citrix Analytics para seguridad. El botón Incorporar orígenes de datos redirige a la vista Orígenes de datos, donde puedes familiarizarte con el proceso de incorporación en profundidad.

Si no hay orígenes de datos incorporados, se muestra un mensaje de advertencia adecuado, como se indica en la siguiente captura de pantalla:

Eventos disponibles para el consumo de SIEM

La tarjeta Eventos disponibles para el consumo de SIEM muestra el número de eventos de información y de origen de datos, junto con su desglose, que se espera que fluyan a tu entorno SIEM. Al expandirla, también está disponible un desglose adicional de cada tipo de evento de datos para la exportación.

Consumo de datos por SIEM

La tarjeta Consumo de datos por SIEM muestra el estado del flujo de datos preparados por Citrix Analytics en tu entorno SIEM. El estado de consumo de datos se basa en el movimiento de desplazamiento dentro de tu tema de Kafka. Cuando está disponible, la tarjeta también muestra la marca de tiempo de la última vez que se detectó un consumo de datos correcto. Tanto el estado de consumo de datos como la marca de tiempo se actualizan cada 10 minutos. Haz clic aquí para obtener más información sobre la administración de grupos/desplazamientos de consumidores de Kafka.

El estado de consumo de datos puede adoptar los siguientes estados:

1. Consumo inactivo

   • Sin historial de exportación de datos: Este estado se representa con un punto naranja para indicar que ningún dato preparado por Citrix Analytics ha fluido correctamente a tu entorno SIEM.

     

     Esto puede deberse a:

     • Configuración de origen de datos incorrecta o incompleta. La tarjeta Datos disponibles en Citrix Analytics se puede usar para verificar si hay suficientes orígenes de datos y si tienen su procesamiento de datos activado para permitir la exportación.

     • Falta de actividad del usuario. El botón Ver eventos de los últimos 7 días de la tarjeta Datos disponibles en Citrix Analytics se puede usar para verificar la ausencia de actividad del usuario. Además, la tarjeta Eventos disponibles para el consumo de SIEM se puede usar para verificar si hay eventos de información o de origen de datos preparados por Citrix Analytics para fluir a tu SIEM.

     • Configuración de SIEM incorrecta o incompleta. Verifica que la fase Configuración de la cuenta en la ficha Configuración se haya completado correctamente. Se ve una marca de verificación verde en la fase Configuración de la cuenta si la configuración se ha completado.

       Si el estado no cambia incluso después de una configuración de cuenta correcta, soluciona el problema comprobando lo siguiente:

       • Problemas de firewall o configuraciones de SIEM incorrectas; consulta Configurar el entorno SIEM.

       • Problemas de credenciales con la configuración de la cuenta de Kafka o tu entorno SIEM; consulta Integración de SIEM mediante Kafka.

   • No se detecta consumo activo: Este estado indica que, al menos en los últimos 10 minutos, los datos no han fluido correctamente a tu entorno SIEM. La tarjeta también mostrará la marca de tiempo del último movimiento de datos correcto. Al igual que con Sin historial de exportación de datos, puedes solucionar este problema usando las tarjetas Datos disponibles en Citrix Analytics y Eventos disponibles para el consumo de SIEM. Si hay suficiente actividad de usuario y el recuento de eventos disponibles aumenta, sería una buena idea centrarse en la última marca de tiempo correcta para comprobar si se produjeron cambios en el firewall o rotaciones de contraseñas después de dicha marca de tiempo.

     

   • Exportado hace más de 7 días: Este estado indica que el consumo activo en tu SIEM se detectó por última vez hace más de una semana. De forma similar a los dos estados anteriores, usa las tarjetas Datos disponibles en Citrix Analytics y Eventos disponibles para el consumo de SIEM para solucionar problemas de tu configuración de SIEM si este es el estado de consumo de datos detectado.

     

     Nota

     Política de retención de Kafka: Los temas de Kafka de Citrix Analytics retienen los eventos durante un máximo de 7 días solamente. Para evitar o prevenir la posible pérdida de datos, se recomienda configurar un intervalo de sondeo de datos que no supere los 7 días.

   En el consumo inactivo, puedes ver los siguientes mensajes de advertencia para ayudarte a navegar por el proceso de solución de problemas.

   Como se destacó en el caso Sin historial de exportación de datos, si la configuración de SIEM no se completa, ningún dato fluye al entorno SIEM. Por lo tanto, se redirige al usuario a la ficha Configuración para completar la configuración de la cuenta, como se muestra en la siguiente captura de pantalla:

   

   Si la configuración de SIEM se completa, aún puede darse el caso de que los datos no fluyan activamente, como se muestra en el estado No se detecta consumo activo o Exportado hace más de 7 días. Por lo tanto, se insta al usuario a ir a la sección Generación de eventos de prueba para probar la conexión SIEM, como se destaca en el siguiente mensaje de advertencia.

   

2. Consumo activo

   • Consumo activo detectado: Este estado indica que se ha detectado consumo activo en tu SIEM.

     

Guía rápida de exportación de datos

La ficha Resumen se complementa con la hoja Guía rápida de exportación de datos para facilitar la implementación, la administración y la solución de problemas de tus configuraciones de SIEM. Además de proporcionar una guía completa de la vista Exportación de datos para seguridad, la Guía rápida también incluye consejos útiles sobre cómo configurar y administrar tu entorno SIEM, proporcionando enlaces a la documentación pertinente.

También hay una sección Probar conexión SIEM en la hoja Guía rápida que redirige al usuario a la fase Probar conexión SIEM dentro de la fase de configuración del entorno SIEM. Esto permite al usuario investigar si la integración de SIEM está rota, descartando así la posibilidad de problemas con el procesamiento de eventos de Citrix Analytics para seguridad. El usuario puede entonces corregir la conexión SIEM para habilitar el flujo de datos.

La ficha Configuración, al guiarte a través de la configuración de la implementación, también ayuda a los administradores con consejos útiles, mensajes de advertencia y errores comunes mientras configuran su SIEM. Se muestran advertencias adecuadas cuando:

• Citrix Analytics detecta que no se han incorporado orígenes de datos. Se recomienda incorporar Apps and Desktops para recopilar telemetría basada en la actividad del usuario. En ausencia del origen de datos incorporado, no se observa flujo de datos, aunque tu configuración de SIEM se haya realizado correctamente.

  

• Como se ilustra en la siguiente imagen, las fases Configuración del entorno SIEM y Eventos de datos para exportación están deshabilitadas hasta que la configuración de la cuenta se complete correctamente.

  

• Las exportaciones de datos se han desactivado. La advertencia en la fase Eventos de datos para exportación sirve como recordatorio para habilitar las exportaciones de datos y efectuar cualquier cambio.

  

• En la fase Eventos de datos para exportación, si la exportación de datos para un origen de datos en particular está deshabilitada, no fluyen eventos de origen de datos a SIEM. Debes habilitar esto configurando y seleccionando los tipos de eventos de origen de datos deseados. Además, asegúrate de que el procesamiento de datos para el origen de datos respectivo esté habilitado para asegurarte de que los datos lleguen a Citrix Analytics.

  

Generación de eventos de prueba

La generación de eventos de prueba se proporciona como parte de la fase Configuración del entorno SIEM para mejorar la experiencia de solución de problemas. Una vez que un usuario completa la configuración de SIEM, la generación de eventos de prueba proporciona una forma de probar rápidamente la conexión SIEM enviando un evento de prueba directamente al tema de Kafka de exportación de datos SIEM del cliente.

También permite a los nuevos usuarios probar rápidamente su integración de SIEM con Citrix Analytics sin tener que incorporar explícitamente un nuevo origen de datos y, posteriormente, generar actividad de usuario.

Para probar esta funcionalidad, el usuario debe hacer clic en el botón Enviar datos de prueba. Esto genera un evento de prueba ficticio y lo envía al tema de Kafka de exportación de datos SIEM del cliente. Este proceso de generación de eventos de prueba puede tardar hasta 1 minuto, como se muestra en la siguiente captura de pantalla:

Si los datos del evento de prueba se escriben correctamente en el tema de Kafka del cliente, se muestra un mensaje de éxito, lo que indica que la conexión SIEM es correcta. Dependiendo de tu entorno elegido (Splunk y Sentinel), los administradores pueden copiar la consulta y comprobar sus entornos SIEM para el evento de prueba.

Para Elasticsearch y otros entornos, se muestra el siguiente mensaje de éxito.

Nota

Una vez que se genera un evento de prueba, el botón Enviar datos de prueba se deshabilita durante las próximas 24 horas, y los usuarios ven la siguiente ventana emergente al pasar el ratón por encima del botón. Después de 24 horas desde la última marca de tiempo de éxito, el botón se habilita para que los usuarios prueben la funcionalidad de nuevo.

Si los datos del evento de prueba no se escriben correctamente en el tema de Kafka del cliente, se muestra un mensaje de error, como se muestra en la siguiente captura de pantalla. El usuario puede enviar los datos de nuevo para probar la conexión.

Alerta por correo electrónico de SIEM

Citrix Analytics envía alertas por correo electrónico para notificar a los administradores sobre escenarios que podrían provocar la interrupción del flujo de datos a su entorno SIEM. Contiene información situacional sobre actividades que podrían provocar la pérdida de datos con postura de seguridad temporal o permanente. También ayuda a navegar por el proceso de solución de problemas de autoservicio para la exportación de datos de SIEM.

Algunas propiedades importantes de este conjunto de alertas por correo electrónico para ayudarte a localizarlas en tu bandeja de entrada:

• El correo electrónico se distribuye entre los administradores de Citrix Cloud™, los administradores de seguridad completos, los administradores de seguridad de solo lectura y los administradores de seguridad y rendimiento de solo lectura.

• El remitente es Citrix Cloud donotreplynotifications@citrix.com.

• La línea de asunto es:

  • Alerta de exportación de datos de SIEM - Se restableció la contraseña para las alertas por correo electrónico de restablecimiento de contraseña.
  • Alerta de exportación de datos de SIEM - El flujo de datos se detuvo para las alertas por correo electrónico de interrupción del flujo de datos.

¿Cómo habilitar las notificaciones por correo electrónico?

Si eres un administrador de Citrix Cloud con permisos de acceso personalizados (administrador de seguridad completo, administrador de seguridad de solo lectura, seguridad y rendimiento de solo lectura) para administrar Security Analytics, las notificaciones por correo electrónico siempre están habilitadas para tu cuenta de Citrix Cloud. De forma predeterminada, las notificaciones semanales por correo electrónico se envían a la lista predeterminada de administradores de seguridad de Citrix. También puedes modificar la lista de distribución que recibe esta alerta. Para obtener más información, consulta .

Si eres un administrador de Citrix Cloud con permisos de acceso personalizados (administrador de seguridad completo, administrador de seguridad de solo lectura, seguridad y rendimiento de solo lectura) para administrar Security Analytics, las notificaciones por correo electrónico siempre están habilitadas para tu cuenta de Citrix Cloud.

Tipos de alerta por correo electrónico de SIEM

1. Alerta por correo electrónico de restablecimiento de contraseña de SIEM

   El correo electrónico de alerta de restablecimiento de contraseña de SIEM se recibe cuando la contraseña de la cuenta se restablece a través de la página Exportaciones de datos. Restablecer la contraseña de SIEM solo en la interfaz de usuario de Citrix Analytics puede provocar una falta de coincidencia de la contraseña con la configurada en tu SIEM. Esto provoca la interrupción del flujo de datos. Esta alerta por correo electrónico contiene la hora en que se restableció la contraseña. Si el flujo de datos se detiene, puedes ir a la ficha Resumen, comprobar si la marca de tiempo de “última exportación” se encuentra cerca de la marca de tiempo de restablecimiento de contraseña y, por lo tanto, transmitir los cambios de contraseña necesarios. Esto acorta el proceso de depuración y te ayuda a volver a un flujo de datos correcto en tu entorno SIEM en poco tiempo.

   

   

2. Alerta por correo electrónico de interrupción del flujo de datos durante 24 horas

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a tu entorno SIEM se interrumpe durante más de 24 horas. El correo electrónico incluye la hora en que se exportó el último evento, junto con consejos rápidos y útiles para la solución de problemas que se pueden realizar para restablecer el flujo de datos. Este sería el momento correcto para restablecer rápidamente el flujo de datos y no perder ningún dato con postura de seguridad.

3. Alerta por correo electrónico de interrupción del flujo de datos durante 7 días

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a tu entorno SIEM se interrumpe durante más de 7 días. Dado que el período de retención del tema de Kafka del cliente es de 7 días, es fundamental seguir los consejos de solución de problemas y usar la guía rápida disponible en la página Exportaciones de datos para no perder más datos, ya que este correo electrónico advierte de una situación de pérdida permanente de información con postura de seguridad.

4. Alerta por correo electrónico de interrupción del flujo de datos durante 30 días

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a tu entorno SIEM se interrumpe durante más de 30 días. A estas alturas, el cliente ha perdido datos con postura de seguridad y es imperativo usar las capacidades de solución de problemas para restablecer el flujo lo antes posible.