Solución de problemas de exportación de datos

La vista Exportaciones de datos por motivos de seguridad incluye una pestaña de resumen para ayudar a los administradores a solucionar problemas de integración de SIEM con Citrix Analytics. El panel de resumen proporciona visibilidad sobre el estado y el flujo de los datos al guiarlos por los puntos de control que ayudan al proceso de solución de problemas.

Pestaña de resumen

La pestaña Resumen constituye la base del flujo de trabajo de solución de problemas de autoservicio en la vista de exportaciones de datos. Describe la configuración de su SIEM mediante estas tres tarjetas:

• Datos disponibles en Citrix Analytics: esta tarjeta muestra el estado de las configuraciones de las fuentes de datos.
• Eventos disponibles para el consumo de SIEM: esta tarjeta muestra la cantidad de eventos que están listos para ser consumidos por su entorno SIEM.
• Consumo de datos por SIEM: esta tarjeta muestra el estado del flujo de datos en su entorno SIEM.

Datos disponibles en Citrix Analytics

La tarjeta Datos disponibles en Citrix Analytics muestra la cantidad de fuentes de datos que eventualmente pueden contribuir a la información de SIEM que se han incorporado a Citrix Analytics for Security. Actualmente, hay cuatro fuentes de datos compatibles con la exportación de datos: aplicaciones y escritorios, Content Collaboration, Gateway y Secure Private Access. Incluso si se han incorporado estas fuentes de datos, la exportación de datos no funcionará para las fuentes de datos que tengan el procesamiento de datos desactivado. Cuando se detectan dichas fuentes de datos, se muestra un mensaje de advertencia apropiado, como el que se muestra en la imagen de arriba.

El botón Ver eventos de los últimos 7 días redirigirá al administrador a la vista de búsqueda automática, a través de la cual los administradores pueden comprobar que los eventos han llegado a Citrix Analytics for Security. El botón Incorporar fuentes de datos redirige a la vista Fuentes de datos, donde puede ver el proceso de incorporación en profundidad.

Si no hay fuentes de datos incorporadas, aparece el mensaje de advertencia correspondiente, como se muestra en la siguiente captura de pantalla:

Eventos disponibles para el consumo de SIEM

La tarjeta Eventos disponibles para el consumo de SIEM muestra la cantidad de eventos de Insight y Data Source, junto con su desglose individual, que se espera que lleguen a su entorno de SIEM. Tras la expansión, también está disponible un desglose adicional de cada tipo de evento de datos para la exportación.

Consumo de datos por SIEM

La tarjeta Consumo de datos por SIEM muestra el estado del flujo de datos preparado por Citrix Analytics en su entorno SIEM. El estado del consumo de datos se basa en el movimiento de desfase dentro del tema de Kafka . Cuando está disponible, la tarjeta también muestra la fecha y hora de la última vez que se detectó un consumo de datos exitoso. Tanto el estado del consumo de datos como la marca de tiempo se actualizan cada 10 minutos. Haga clic aquí para obtener más información sobre la gestión de grupos de consumidores y compensaciones de Kafka.

El estado de consumo de datos puede adoptar los siguientes estados:

1. Consumo inactivo

   • Sin historial de exportación de datos: este estado se representa con un punto naranja para indicar que ningún dato preparado por Citrix Analytics ha llegado correctamente a su entorno SIEM.

     

     Esto puede deberse a -

     • Configuración de fuente de datos incorrecta/incompleta. La tarjeta Datos disponibles en Citrix Analytics se puede utilizar para comprobar si hay suficientes fuentes de datos y si tienen activado el procesamiento de datos para permitir la exportación.

     • Falta de actividad de los usuarios. El botón Ver los eventos de los últimos 7 días de la tarjeta Datos disponibles en Citrix Analytics se puede utilizar para comprobar la ausencia de actividad del usuario. Además, la tarjeta Events for SIEM Consumption se puede utilizar para comprobar si Citrix Analytics ha preparado algún evento de Insight o fuente de datos para fluir a su SIEM.

     • Configuración de SIEM incorrecta/incompleta. Compruebe que la etapa de configuración de la cuenta en la pestaña Configuración se haya completado correctamente. Si la configuración se ha completado, aparecerá una marca de verificación verde en la etapa de configuración de la cuenta.

       Si el estado no cambia incluso después de configurar correctamente la cuenta, solucione el problema comprobando lo siguiente:

       • Problemas con el firewall o ajustes de SIEM mal configurados; consulte Configuración del entorno SIEM.

       • Problemas de credenciales con la configuración de la cuenta de Kafka o su entorno SIEM; consulte Integración de SIEMmediante Kafka.

   • No se ha detectado ningún consumo activo: este estado indica que, al menos en los últimos 10 minutos, los datos no han llegado correctamente a su entorno SIEM. La tarjeta también mostrará la fecha y hora del último movimiento de datos exitoso. Al igual que con Sin historial de exportación de datos, esto se puede solucionar utilizando los datos disponibles en Citrix Analytics y Available Events for SIEM Consumption. Si hay suficiente actividad de los usuarios y aumenta el recuento de eventos disponibles, sería una buena idea centrarse en la última marca de tiempo correcta para comprobar si se ha producido algún cambio en el firewall o si se ha producido algún cambio de contraseña después de dicha marca de tiempo.

     

   • Exportado hace más de 7 días: este estado indica que el consumo activo en su SIEM se detectó por última vez hace más de una semana. Al igual que en los dos estados anteriores, utilice los datos disponibles en Citrix Analytics y las tarjetas Available Events for SIEM Consumption para solucionar problemas de configuración de SIEM si este es el estado de consumo de datos detectado.

     

     Nota

     Directiva de retención de Kafka: los temas de Citrix Analytics Kafka conservan los eventos solo durante un máximo de 7 días. Para evitar o prevenir la posible pérdida de datos, se recomienda configurar un intervalo de sondeo de datos que no supere los 7 días.

   En caso de consumo inactivo, se le proporcionarán los siguientes mensajes de advertencia para ayudarlo a navegar por el proceso de solución de problemas.

   Como se destacó en el caso Sin historial de exportación de datos, si la configuración del SIEM no se completa, nunca fluirá ningún dato al entorno SIEM. Por lo tanto, se redirige al usuario a la pestaña Configuración para completar la configuración de la cuenta, como se muestra en la siguiente captura de pantalla:

   

   Si se completa la configuración del SIEM, es posible que los datos no fluyan activamente, como se muestra en el estado No se detectó ni se exportó ningún consumo activohace más de 7 días. Por lo tanto, se recomienda al usuario que vaya a la secciónGeneración de eventos de prueba para probar la conexión SIEM, tal como se indica en el siguiente mensaje de advertencia.

   

2. Consumo activo

   • Consumo activo detectado: este estado indica que se ha detectado un consumo activo en su SIEM.

     

Guía rápida de exportación de datos

La pestaña Resumen se complementa con la guía rápida de exportación de datos para facilitar la implementación, la administración y la solución de problemas de las configuraciones de SIEM. Además de proporcionar una guía completa sobre la vista Exportación de datos por motivos de seguridad, la Guía rápida también incluye consejos útiles sobre cómo configurar y administrar su entorno SIEM al proporcionar enlaces a la documentación pertinente.

También hay una sección de prueba de conexión a SIEM en el módulo de guía rápida que redirige al usuario a la etapa de prueba de conexión a SIEM dentro de la etapa de configuración del entorno SIEM. Esto permite al usuario investigar si la integración de SIEM está rota en sí misma, lo que descarta la posibilidad de que se produzcan problemas con el procesamiento de los eventos por parte de Citrix Analytics for Security. A continuación, el usuario puede arreglar la conexión SIEM para habilitar el flujo de datos.

La pestaña Configuración, además de guiar la configuración de la implementación, también ayuda a los administradores con consejos útiles, mensajes de advertencia y errores comunes al configurar su SIEM. Se muestran las advertencias apropiadas cuando:

• Citrix Analytics detecta que no se ha incorporado ninguna fuente de datos. Se recomienda incorporar aplicaciones y escritorios para recopilar la telemetría en función de la actividad del usuario. En ausencia de la fuente de datos incorporada, no se observa ningún flujo de datos, aunque la configuración del SIEM se haya realizado correctamente.

  

• Como se ilustra en la siguiente imagen, las etapas de configuración del entorno SIEM y los eventos de datos para la exportación se deshabilitarán hasta que la configuración de la cuenta se complete correctamente.

  

• Se han desactivado las exportaciones de datos. La advertencia en la fase de eventos de datos para la exportación sirve como recordatorio para permitir que la exportación de datos efectúe cualquier cambio.

  

• En la etapa de exportación de eventos de datos, si la exportación de datos para una fuente de datos en particular está inhabilitada, ningún evento de la fuente de datos fluirá al SIEM. Debe habilitarlo configurando y seleccionando los tipos de eventos de la fuente de datos que desee. Además, asegúrese de que el procesamiento de datos de la fuente de datos correspondiente esté habilitado para garantizar que los datos lleguen a Citrix Analytics.

  

Generación de eventos de prueba

La generación de eventos de prueba se proporciona como parte de la etapa de configuración del entorno SIEM para mejorar la experiencia de solución de problemas. Una vez que el usuario completa la configuración del SIEM, la generación de eventos de prueba proporciona una forma de probar rápidamente la conexión SIEM enviando un evento de prueba directamente al tema de Kafka de exportación de datos de SIEM del cliente.

También permite a los nuevos usuarios probar rápidamente su integración de SIEM con Citrix Analytics sin tener que incorporar explícitamente una nueva fuente de datos y, posteriormente, generar la actividad de los usuarios.

Para probar esta funcionalidad, el usuario debe hacer clic en el botón Enviar datos de prueba . Esto generará un evento de prueba ficticio y lo enviará al tema Kafka de exportación de datos de SIEM del cliente. Este proceso de generación de eventos de prueba puede tardar hasta 1 minuto, como se muestra en la siguiente captura de pantalla:

Si los datos del evento de prueba se han escrito correctamente en el tema Kafka del cliente, aparecerá un mensaje de confirmación que indica que la conexión SIEM se ha realizado correctamente. Según el entorno elegido (Splunk y Sentinel), los administradores pueden copiar la consulta y comprobar sus entornos SIEM para el evento de prueba.

Para Elasticsearch y otros entornos, se muestra el siguiente mensaje de éxito.

Nota

Una vez que se genera un evento de prueba, el botón Enviar datos de prueba se desactiva durante las próximas 24 horas y los usuarios ven la siguiente ventana emergente al pasar el ratón sobre el botón. Transcurridas 24 horas desde la última fecha de éxito, se habilita el botón para que los usuarios vuelvan a probar la funcionalidad.

Si los datos del evento de prueba no se han escrito correctamente en el tema Kafka del cliente, aparecerá un mensaje de error como se muestra en la siguiente captura de pantalla. El usuario tiene la opción de volver a enviar los datos para probar la conexión.

Alerta de correo electrónico de SIEM

Citrix Analytics envía alertas por correo electrónico para notificar a los administradores sobre los escenarios que podrían provocar la interrupción del flujo de datos a su entorno SIEM. Contiene información situacional sobre las actividades que podrían provocar una pérdida de datos temporal o permanente por motivos de seguridad. También ayuda a abordar el proceso de solución de problemas de autoservicio para la exportación de datos de SIEM.

Algunas propiedades importantes de este conjunto de alertas por correo electrónico te ayudarán a localizarlas en tu bandeja de entrada:

• El correo electrónico se distribuye entre los administradores de Citrix Cloud, los administradores de seguridad completa, los administradores de solo lectura de seguridad y los administradores de solo lectura de Security and Performance.

• El remitente es Citrix Cloud donotreplynotifications@citrix.com.

• La línea de asunto es:

  • Alerta de exportación de datos de SIEM: se restableció la contraseña para las alertas por correo electrónico de restablecimiento de contraseña.
  • Alerta de exportación de datos de SIEM: el flujo de datos se detuvo debido a las alertas por correo electrónico de interrupción del flujo de datos.

¿Cómo habilitar las notificaciones por correo electrónico?

Si es administrador de Citrix Cloud con permisos de acceso total, de forma predeterminada, las notificaciones por correo electrónico están inhabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico de Citrix Analytics, habilítelo en su cuenta de Citrix Cloud. Para obtener más información, consulte Recibir notificaciones por correo electrónico.

Si es un administrador de Citrix Cloud con permisos de acceso personalizados (administrador total de seguridad, administrador de solo lectura de seguridad, solo lectura de seguridad y rendimiento) para administrar Security Analytics, las notificaciones por correo electrónico siempre están habilitadas para su cuenta de Citrix Cloud.

Tipos de alertas de correo electrónico de SIEM

1. Alerta por correo electrónico de restablecimiento de contraseña de SIEM

   Se recibe un correo electrónico de alerta de restablecimiento de contraseña de SIEM cuando se restablece la contraseña de la cuenta a través de la página de exportación de datos. Restablecer la contraseña de SIEM solo en la interfaz de usuario de Citrix Analytics puede provocar que la contraseña no coincida con la configurada en su SIEM. Esto lleva a la interrupción del flujo de datos. Esta alerta por correo electrónico contiene la hora a la que se restableció la contraseña. Si el flujo de datos se detiene, puede ir a la pestaña Resumen y comprobar si la marca de tiempo «se exportó por última vez» se encuentra cerca de la marca de tiempo de restablecimiento de la contraseña y, por lo tanto, transmitir los cambios de contraseña necesarios. Esto acorta el proceso de depuración y le ayuda a volver a un flujo de datos exitoso en su entorno SIEM en poco tiempo.

   

   

2. Alerta por correo electrónico de interrupción del flujo de datos durante 24 horas

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a su entorno SIEM se interrumpe durante más de 24 horas. El correo electrónico incluye la hora a la que se exportó el último evento, junto con consejos útiles para la solución de problemas que se pueden seguir para restablecer el flujo de datos. Este sería el momento adecuado para restablecer rápidamente el flujo de datos y no perder ningún dato relacionado con la seguridad.

3. Alerta por correo electrónico de interrupción del flujo de datos durante 7 días

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a su entorno SIEM se interrumpe durante más de 7 días. Dado que el período de retención del tema de Kafka del cliente es de 7 días, es fundamental seguir los consejos de solución de problemas y utilizar la guía rápida disponible en la página de exportación de datos para no perder más datos, ya que este correo electrónico advierte de una situación de pérdida permanente de la información en postura de seguridad.

4. Alerta por correo electrónico de interrupción del flujo de datos durante 30 días

   Esta alerta por correo electrónico se envía cuando el flujo de datos del servicio Citrix Analytics a su entorno SIEM se interrumpe durante más de 30 días. A estas alturas, el cliente ha perdido datos relacionados con la postura de seguridad y es imperativo utilizar las funciones de solución de problemas para restablecer el flujo lo antes posible.