Exemples de signatures Sigma pour Security Insights
Cette page contient des exemples de requêtes destinées à aider les administrateurs à obtenir des résultats significatifs à l’aide de Citrix Security Analytics.
Ces exemples couvrent les risques relevant des catégories suivantes :
- Points de terminaison compromis
- Menaces internes
- Exfiltration de données
Comment utiliser ces exemples
Afficher la source de données et activer le traitement des données
Pour afficher la source de données, cliquez sur Paramètres > Sources de données > Sécurité dans l’interface graphique de Citrix Analytics. La fiche de site de l’ application Apps and Desktops- Workspace apparaît sur la page Sources de données . Cliquez sur Activer le traitement des données pour permettre à Citrix Analytics de commencer à traiter les données de cette source de données.
Citrix Analytics for Security envoie les deux types de données d’analyse des risques suivants à votre service SIEM :
- Événements d’analyse des risques (exportations par défaut)
- Événements relatifs aux sources de données (exportations facultatives)
Dans le cadre de votre environnement SIEM, les sources de données relatives aux événements liés à l’analyse des risques sont disponibles et toujours activées par défaut. Pour plus d’informations, consultez la section Événements liés aux données exportés depuis Citrix Analytics for Security vers votre service SIEM.
Vous pouvez utiliser des signatures CAS ou Sigma pour vérifier tout événement utilisateur particulier au sein de vos sources de données. Les requêtes CAS sont accessibles via la page de recherche en libre-service de votre interface graphique Citrix Analytics. Les signatures Sigma sont écrites dans un format simple ou convivial, ce qui les rend compatibles avec divers environnements SIEM.
Utilisation de requêtes CAS
Vous pouvez utiliser la requête CAS sur la page de recherche en libre-service pour rechercher et filtrer les événements utilisateur reçus de différentes sources de données. Cliquez sur Rechercher dans votre interface graphique Citrix Analytics et saisissez la requête dans la zone de recherche. Pour plus de détails, consultez Comment utiliser la recherche en libre-service.
Vous pouvez également créer des indicateurs de risque personnalisés à l’aide des modèles existants. Pour créer un indicateur de risque personnalisé, accédez à Sécurité > Indicateurs de risque personnalisés > Créer un indicateur. Pour plus de détails, voir Création d’un indicateur de risque personnalisé.
Utiliser les signatures Sigma
Sigma est un format de signature ouverte convivial permettant de créer des requêtes textuelles que les analystes peuvent utiliser pour décrire les événements du journal, ce qui facilite la rédaction des détections. Il existe différentes manières de convertir une signature Sigma dans le langage de requête de votre outil SIEM.
-
Vous pouvez utiliser les outils CLI et les SDK Python proposés par Sigma. Pour plus d’informations sur la signature Sigma, voir Utilisation des règles.
-
Vous pouvez utiliser des outils publics tels que le moteur de traduction Sigma d’ uncoder.io, qui propose un niveau gratuit.
Reportez-vous aux différents cas d’utilisation des indicateurs personnalisés suivants pour obtenir les différentes informations sur les risques :
- Navigateur non autorisé
- Système d’exploitation non autorisé
- Versions non autorisées de l’application Workspace
- Systèmes d’exploitation non autorisés en dehors de la liste des systèmes autorisés
- Adresse IP ou sous-réseaux non autorisés
- Applications virtuelles non autorisées
- Noms de bureau inhabituels
- Surveillez une application spécifique
- Impression à partir d’applications SaaS
- Utilisation du presse-papiers sur les applications SaaS