Exemples de signatures Sigma pour les informations de sécurité
Cette page contient des exemples de requêtes pour aider les administrateurs à obtenir des résultats significatifs à l’aide de Citrix Security Analytics.
Ces exemples couvrent les risques relevant des catégories suivantes :
- Points de terminaison compromis
- Menaces internes
- Exfiltration de données
Comment utiliser ces exemples
Afficher la source de données et activer le traitement des données
Pour afficher la source de données, cliquez sur Paramètres > Sources de données > Sécurité dans l’interface graphique de Citrix Analytics. La carte de site Applications et bureaux - application Workspace apparaît sur la page Sources de données. Cliquez sur Activer le traitement des données pour permettre à Citrix Analytics de commencer à traiter les données de cette source de données.
Citrix Analytics for Security™ envoie les deux types de données d’informations sur les risques suivants à votre service SIEM :
- Événements d’informations sur les risques (exportations par défaut)
- Événements de source de données (exportations facultatives)
Dans le cadre de votre environnement SIEM, les sources de données d’événements d’informations sur les risques sont disponibles et toujours activées par défaut. Pour plus d’informations, consultez Événements de données exportés de Citrix Analytics for Security vers votre service SIEM.
Vous pouvez utiliser des signatures CAS ou Sigma pour vérifier des événements utilisateur spécifiques au sein de vos sources de données. Les requêtes CAS sont accessibles via la page de recherche en libre-service de votre interface graphique Citrix Analytics. Les signatures Sigma sont écrites dans un format simple ou convivial, ce qui les rend compatibles avec divers environnements SIEM.
Utilisation des requêtes CAS
Vous pouvez utiliser la requête CAS sous la page Recherche en libre-service pour trouver et filtrer les événements utilisateur reçus de diverses sources de données. Cliquez sur Rechercher dans votre interface graphique Citrix Analytics et saisissez la requête dans le champ de recherche. Pour plus de détails, consultez Comment utiliser la recherche en libre-service.
Vous pouvez également créer des indicateurs de risque personnalisés à l’aide des modèles existants. Pour créer un indicateur de risque personnalisé, accédez à Sécurité > Indicateurs de risque personnalisés > Créer un indicateur. Pour plus de détails, consultez Création d’un indicateur de risque personnalisé.
Utilisation des signatures Sigma
Sigma est un format de signature ouvert et convivial pour la création de requêtes textuelles que les analystes peuvent utiliser pour décrire les événements de journal, ce qui facilite l’écriture des détections. Il existe plusieurs façons de convertir une signature Sigma dans le langage de requête de votre outil SIEM.
-
Vous pouvez utiliser les outils CLI et les SDK Python proposés par Sigma. Pour plus d’informations sur la signature Sigma, consultez Utilisation des règles.
-
Vous pouvez utiliser des outils publics tels que le moteur de traduction Sigma d’uncoder.io qui propose un niveau gratuit.
Reportez-vous aux différents cas d’utilisation d’indicateurs personnalisés suivants pour les différentes informations sur les risques :
- Navigateur non autorisé
- Système d’exploitation non autorisé
- Versions non autorisées de l’application Workspace
- Systèmes d’exploitation non autorisés en dehors de la liste d’autorisation
- Adresses IP ou sous-réseaux non autorisés
- Applications virtuelles non autorisées
- Noms de bureau inhabituels
- Surveiller une application spécifique
- Impression à partir d’applications SaaS
- Utilisation du presse-papiers sur les applications SaaS