Citrix Analytics for Security

Solución de problemas de exportación de datos

La vista Exportaciones de datos por motivos de seguridad incluye una ficha de resumen para ayudar a los administradores a solucionar problemas de integración de SIEM con Citrix Analytics. El panel de resumen proporciona visibilidad sobre el estado y el flujo de los datos al guiarlos por los puntos de control que ayudan al proceso de solución de problemas.

Solución de problemas de exportación de datos

Ficha Resumen

La ficha Resumen constituye la base del flujo de trabajo de solución de problemas de autoservicio en la vista de exportaciones de datos. Describe la configuración de su SIEM mediante estas tres tarjetas:

  • Datos disponibles en Citrix Analytics: esta tarjeta muestra el estado de las configuraciones de las fuentes de datos.
  • Eventos disponibles para el consumo de SIEM: esta tarjeta muestra la cantidad de eventos que están listos para ser consumidos por su entorno SIEM.
  • Consumo de datos por SIEM: esta tarjeta muestra el estado del flujo de datos en su entorno SIEM.

Datos disponibles en Citrix Analytics

Datos disponibles en Citrix Analytics

La tarjeta Datos disponibles en Citrix Analytics muestra la cantidad de fuentes de datos que eventualmente pueden contribuir a la información de SIEM que se han incorporado a Citrix Analytics for Security. Actualmente, se admiten tres fuentes de datos para la exportación de datos: Apps and Desktops, Gateway y Secure Private Access. Incluso si se han incorporado estas fuentes de datos, la exportación de datos no funcionará para las fuentes de datos que tengan el procesamiento de datos desactivado. Cuando se detectan dichas fuentes de datos, se muestra un mensaje de advertencia apropiado, como el que se muestra en la imagen de arriba.

El botón Ver eventos de los últimos 7 días redirige al administrador a la vista de búsqueda de autoservicio, a través de la cual los administradores pueden comprobar que los eventos han llegado a Citrix Analytics for Security. El botón Incorporar fuentes de datos redirige a la vista Fuentes de datos, donde puede ver el proceso de incorporación en profundidad.

Si no hay fuentes de datos incorporadas, se muestra un mensaje de advertencia apropiado, como se muestra en la siguiente captura de pantalla:

Mensaje de advertencia para la ausencia de fuentes de datos

Eventos disponibles para el consumo de SIEM

Eventos disponibles para el consumo de SIEM

La tarjeta Eventos disponibles para el consumo de SIEM muestra la cantidad de eventos de Insight y de fuentes de datos, junto con su desglose, que se espera que lleguen a su entorno SIEM. Tras la expansión, también está disponible un desglose adicional de cada tipo de evento de datos para la exportación.

Consumo de datos por SIEM

La tarjeta Consumo de datos por SIEM muestra el estado del flujo de datos preparado por Citrix Analytics en su entorno SIEM. El estado del consumo de datos se basa en el movimiento de desfase dentro del tema de Kafka. Cuando está disponible, la tarjeta también muestra la fecha y hora de la última vez que se detectó un consumo de datos correcto. Tanto el estado del consumo de datos como la marca de tiempo se actualizan cada 10 minutos. Haga clic aquí para obtener más información sobre la gestión de grupos de consumidores y compensaciones de Kafka.

El estado de consumo de datos puede adoptar los siguientes estados:

  1. Consumo inactivo

    • Sin historial de exportación de datos: este estado se representa con un punto naranja para indicar que ningún dato preparado por Citrix Analytics ha llegado correctamente a su entorno SIEM.

      Sin historial de exportación de datos

      Esto puede deberse a -

      • Configuración de fuente de datos incorrecta/incompleta. La tarjeta Datos disponibles en Citrix Analytics se puede utilizar para comprobar si hay suficientes fuentes de datos y si tienen activado el procesamiento de datos para permitir la exportación.

      • Falta de actividad de los usuarios. El botón Ver los eventos de los últimos 7 días de la tarjeta Datos disponibles en Citrix Analytics se puede utilizar para comprobar la ausencia de actividad del usuario. Además, la tarjeta Events for SIEM Consumption se puede utilizar para comprobar si Citrix Analytics ha preparado algún evento de Insight o fuente de datos para fluir a su SIEM.

      • Configuración de SIEM incorrecta/incompleta. Compruebe que la etapa de configuración de la cuenta en la ficha Configuración se haya completado correctamente. Si la configuración se ha completado, aparecerá una marca de verificación verde en la etapa de configuración de la cuenta.

        Si el estado no cambia incluso después de configurar correctamente la cuenta, solucione el problema comprobando lo siguiente:

        • Problemas con el firewall o ajustes de SIEM mal configurados; consulte Configuración del entorno SIEM.

        • Problemas de credenciales con la configuración de la cuenta de Kafka o su entorno SIEM; consulte Integración de SIEMmediante Kafka.

    • No se ha detectado ningún consumo activo: este estado indica que, al menos en los últimos 10 minutos, los datos no han llegado correctamente a su entorno SIEM. La tarjeta también mostrará la fecha y hora del último movimiento de datos correcto. Al igual que con Sin historial de exportación de datos, puede solucionar este problema utilizando las tarjetas Datos disponibles en Citrix Analytics y Eventos disponibles para el consumo de SIEM. Si hay suficiente actividad de los usuarios y aumenta el recuento de eventos disponibles, sería una buena idea centrarse en la última marca de tiempo correcta para comprobar si se ha producido algún cambio en el firewall o si se ha producido algún cambio de contraseña después de dicha marca de tiempo.

      No se ha detectado ningún consumo activo

    • Exportado hace más de 7 días: este estado indica que el consumo activo en su SIEM se detectó por última vez hace más de una semana. Al igual que en los dos estados anteriores, utilice los datos disponibles en Citrix Analytics y las tarjetas Available Events for SIEM Consumption para solucionar problemas de configuración de SIEM si este es el estado de consumo de datos detectado.

      Exportado hace más de 7 días

      Nota

      Directiva de retención de Kafka: los temas de Citrix Analytics Kafka conservan los eventos solo durante un máximo de 7 días. Para evitar o prevenir la posible pérdida de datos, se recomienda configurar un intervalo de sondeo de datos que no supere los 7 días.

    En consumo inactivo, puedes ver los siguientes mensajes de advertencia que te ayudarán a navegar por el proceso de solución de problemas.

    Como se destacó en el caso Sin historial de exportación de datos, si la configuración del SIEM no se completa, ningún dato fluye al entorno SIEM. Por lo tanto, se redirige al usuario a la ficha Configuración para completar la configuración de la cuenta, como se muestra en la siguiente captura de pantalla:

    Configuration-tab-data-setup

    Si se completa la configuración del SIEM, es posible que los datos no fluyan activamente, como se muestra en el estado No se detectó ni exportó consumo activo o Hace más de 7 días. Por lo tanto, se recomienda al usuario que vaya a la sección Generación de eventos de prueba para probar la conexión SIEM, tal como se indica en el siguiente mensaje de advertencia.

    Advertencia de generación de eventos de prueba

  2. Consumo activo

    • Consumo activo detectado: este estado indica que se ha detectado un consumo activo en su SIEM.

      Consumo activo detectado

Guía rápida de exportación de datos

La ficha Resumen se complementa con la guía rápida de exportación de datos para facilitar la implementación, la administración y la solución de problemas de las configuraciones de SIEM. Además de proporcionar una guía completa sobre la vista Exportación de datos por motivos de seguridad, la Guía rápida también incluye consejos útiles sobre cómo configurar y administrar su entorno SIEM al proporcionar enlaces a la documentación pertinente.

Guía rápida de exportación de datos1

Guía rápida de exportación de datos2

Guía rápida de exportación de datos3

También hay una sección de prueba de conexión a SIEM en el módulo de guía rápida que redirige al usuario a la etapa de prueba de conexión a SIEM dentro de la etapa de configuración del entorno SIEM. Esto permite al usuario investigar si la integración de SIEM está rota en sí misma, lo que descarta la posibilidad de que se produzcan problemas con el procesamiento de los eventos por parte de Citrix Analytics for Security. A continuación, el usuario puede arreglar la conexión SIEM para habilitar el flujo de datos.

Pruebe la conexión SIEM1

La ficha Configuración, al mismo tiempo que guía a través de la configuración de la implementación, también ayuda a los administradores con consejos útiles, mensajes de advertencia y errores comunes al configurar su SIEM. Se muestran las advertencias apropiadas cuando:

  • Citrix Analytics detecta que no se ha incorporado ninguna fuente de datos. Se recomienda incorporar Apps and Desktops para recopilar telemetría en función de la actividad del usuario. En ausencia de la fuente de datos incorporada, no se observa ningún flujo de datos, aunque la configuración del SIEM se haya realizado correctamente.

    No hay fuentes de datos incorporadas

  • Como se muestra en la siguiente imagen, las etapas Configuración del entorno SIEM y Eventos de datos para exportación están inhabilitadas hasta que la configuración de la cuenta se complete correctamente.

    Deshabilitar la configuración del entorno SIEM y los eventos de datos

  • Se han desactivado las exportaciones de datos. La advertencia en la fase de eventos de datos para la exportación sirve como recordatorio para permitir que la exportación de datos efectúe cualquier cambio.

    Exportaciones de datos desactivadas

  • En la etapa Eventos de datos para la exportación, si la exportación de datos para una fuente de datos en particular está inhabilitada, ningún evento de fuente de datos fluirá al SIEM. Debe habilitarlo configurando y seleccionando los tipos de eventos de la fuente de datos que desee. Además, asegúrese de que el procesamiento de datos de la fuente de datos correspondiente esté habilitado para garantizar que los datos lleguen a Citrix Analytics.

    Sobre eventos de datos para la etapa de exportación

Generación de eventos de prueba

La generación de eventos de prueba se proporciona como parte de la etapa de configuración del entorno SIEM para mejorar la experiencia de solución de problemas. Una vez que el usuario completa la configuración del SIEM, la generación de eventos de prueba proporciona una forma de probar rápidamente la conexión SIEM enviando un evento de prueba directamente al tema de Kafka de exportación de datos de SIEM del cliente.

También permite a los nuevos usuarios probar rápidamente su integración de SIEM con Citrix Analytics sin tener que incorporar explícitamente una nueva fuente de datos y, posteriormente, generar la actividad de los usuarios.

Entorno SIEM

Para probar esta funcionalidad, el usuario debe hacer clic en el botón Enviar datos de prueba. Esto genera un evento de prueba ficticio y lo envía al tema Kafka de exportación de datos de SIEM del cliente. Este proceso de generación de eventos de prueba puede tardar hasta 1 minuto, como se muestra en la siguiente captura de pantalla:

Probar la conexión SIEM

Si los datos del evento de prueba se han escrito correctamente en el tema Kafka del cliente, aparecerá un mensaje de confirmación que indica que la conexión SIEM se ha realizado correctamente. Según el entorno elegido (Splunk y Sentinel), los administradores pueden copiar la consulta y comprobar sus entornos SIEM para el evento de prueba.

Datos de prueba1

Datos de prueba2

Para Elasticsearch y otros entornos, se muestra el siguiente mensaje de éxito.

Datos de prueba3

Nota

Una vez que se genera un evento de prueba, el botón Enviar datos de prueba se desactiva durante las próximas 24 horas y los usuarios ven la siguiente ventana emergente al pasar el ratón sobre el botón. Transcurridas 24 horas desde la última fecha de éxito, se habilita el botón para que los usuarios vuelvan a probar la funcionalidad.

Se muestra una ventana emergente en el escenario de éxito

Si los datos del evento de prueba no se han escrito correctamente en el tema Kafka del cliente, aparecerá un mensaje de error como se muestra en la siguiente captura de pantalla. El usuario puede volver a enviar los datos para probar la conexión.

Mensaje de fallo de SIEM

Alerta de correo electrónico de SIEM

Citrix Analytics envía alertas por correo electrónico para informar a los administradores sobre situaciones que podrían provocar la interrupción del flujo de datos a su entorno SIEM. Contiene información situacional sobre las actividades que podrían provocar una pérdida de datos temporal o permanente por motivos de seguridad. También ayuda a abordar el proceso de solución de problemas de autoservicio para la exportación de datos de SIEM.

Algunas propiedades importantes de este conjunto de alertas por correo electrónico te ayudarán a localizarlas en tu bandeja de entrada:

  • El correo electrónico se distribuye entre los administradores de Citrix Cloud, los administradores de seguridad de solo lectura, los administradores de seguridad de solo lectura y los administradores de seguridad y rendimiento de solo lectura.

  • El remitente es Citrix Cloud donotreplynotifications@citrix.com.

  • La línea de asunto es:

    • Alerta de exportación de datos de SIEM: se restableció la contraseña para las alertas de correo electrónico de restablecimiento de contraseña.
    • Alerta de exportación de datos de SIEM: el flujo de datos se detuvo por alertas por correo electrónico de interrupción del flujo de datos.

¿Cómo habilitar las notificaciones por correo electrónico?

Si es administrador de Citrix Cloud con permisos de acceso personalizados (administrador completo de seguridad, administrador de solo lectura de seguridad, seguridad y solo lectura de rendimiento) para administrar los análisis de seguridad, las notificaciones por correo electrónico siempre están habilitadas en su cuenta de Citrix Cloud. De forma predeterminada, las notificaciones semanales por correo electrónico se envían a la lista predeterminada de administradores de seguridad de Citrix. También puede modificar la lista de distribución que recibe esta alerta. Para obtener más información, consulta Configuración de correo electrónico de administrador.

Si es un administrador de Citrix Cloud con permisos de acceso personalizados (administrador total de seguridad, administrador de solo lectura de seguridad, solo lectura de seguridad y rendimiento) para administrar Security Analytics, las notificaciones por correo electrónico siempre están habilitadas para su cuenta de Citrix Cloud.

Tipos de alertas de correo electrónico de SIEM

  1. Alerta por correo electrónico de restablecimiento de contraseña de SIEM

    El correo electrónico de alerta de restablecimiento de contraseña del SIEM se recibe cuando se restablece la contraseña de la cuenta a través de la página Exportación de datos. Restablecer la contraseña del SIEM solo en la interfaz de usuario de Citrix Analytics puede provocar que la contraseña no coincida con la configurada en el SIEM. Esto lleva a la interrupción del flujo de datos. Esta alerta por correo electrónico contiene la hora a la que se restableció la contraseña. Si el flujo de datos se detiene, puede ir a la ficha Resumen, comprobar si la fecha de «última exportación» se encuentra cerca de la fecha de restablecimiento de la contraseña y, por lo tanto, transmitir los cambios de contraseña necesarios. Esto acorta el proceso de depuración y le ayuda a volver al flujo de datos correcto en su entorno SIEM en poco tiempo.

    Alerta por correo electrónico de restablecimiento de contraseña de SIEM

    Alerta de correo electrónico de restablecimiento de contraseña de SIEM1

  2. Alerta por correo electrónico de interrupción del flujo de datos durante 24 horas

    Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics al entorno SIEM se interrumpe durante más de 24 horas. El correo electrónico incluye la hora a la que se exportó el último evento, junto con consejos útiles para la solución de problemas que se pueden seguir para restablecer el flujo de datos. Este sería el momento adecuado para restablecer rápidamente el flujo de datos y no perder ningún dato relacionado con la seguridad.

  3. Alerta por correo electrónico de interrupción del flujo de datos durante 7 días

    Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics al entorno SIEM se interrumpe durante más de 7 días. Dado que el período de retención del tema Kafka del cliente es de 7 días, es fundamental seguir los consejos de solución de problemas y utilizar la guía rápida disponible en la página de exportación de datos para no perder más datos, ya que este correo electrónico advierte de una situación de pérdida permanente de información basada en la seguridad.

  4. Alerta por correo electrónico de interrupción del flujo de datos durante 30 días

    Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics al entorno SIEM se interrumpe durante más de 30 días. A estas alturas, el cliente ha perdido datos relacionados con la postura de seguridad y es imperativo utilizar las funciones de solución de problemas para restablecer el flujo lo antes posible.

    Alerta por correo electrónico de interrupción del flujo de datos durante 30 días

    Alerta por correo electrónico de interrupción del flujo de datos durante 30 días1

    Alerta por correo electrónico de interrupción del flujo de datos durante 30 días2

Solución de problemas de exportación de datos