Citrix Analytics for Security

Intégration de Microsoft Azure Sentinel

Remarque

  • L’intégration Azure Sentinel avec Citrix Analytics for Security n’est actuellement pas disponible en général. Par conséquent, les informations suivantes sont sujettes à changement.

  • Contactez CAS-PM-Ext@citrix.com pour accéder à Citrix Analytics Adapter for Azure Sentinel et pour obtenir de l’aide lors de l’intégration de vos données dans Azure Sentinel.

Citrix Analytics for Security permet aux utilisateurs d’exporter les données analysées à la recherche d’événements à risque dans leur environnement Microsoft Azure Sentinel. Grâce à cela, vous pouvez collecter, rechercher et analyser des données provenant de plusieurs sources de données sur une seule plate-forme. À l’aide de ces données, vous pouvez surveiller les événements, dépanner et automatiser les actions d’atténuation.

Citrix Analytics for Security n’envoie pas de données brutes à Azure Sentinel. Au lieu de cela, il envoie des données traitées. Les données traitées envoyées à Azure Sentinel comprennent :

  • Indice de risque de l’utilisateur — Indice de risque actuel d’un utilisateur. Citrix Analytics for Security envoie ces données à Azure Sentinel toutes les 12 heures.

  • Changement du score de risque — Il s’agit de la modification du score de risque d’un utilisateur. Lorsque le changement du score de risque d’un utilisateur est égal ou supérieur à trois et que ce changement augmente à n’importe quel rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM.

  • Résumé des indicateurs de risque — Tous les indicateurs de risque associés à un utilisateur.

Pour plus d’informations sur le schéma des données traitées, reportez-vous à la section Format de données Citrix Analytics pour SIEM.

Avantages de l’intégration Azure Sentinel

  • Visibilité accrue des alertes de sécurité dans un endroit centralisé.

  • Approche centralisée pour détecter les menaces potentielles à la sécurité pour les capacités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils d’utilisateurs et les scores de risque.

  • Possibilité de combiner et de corréler les informations d’intelligence des risques Citrix Analytics d’un compte utilisateur avec des sources de données externes, dans Azure Sentinel.

Conditions préalables

Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à commencer le processus d’intégration Azure Sentinel.

Comment intégrer Citrix Analytics à Azure Sentinel

Suivez les instructions mentionnées pour intégrer Citrix Analytics for Security à Azure Sentinel :

  • Exportation de données. Citrix Analytics for Security crée un canal et exporte des informations sur les risques. Azure Sentinel récupère cette information sur les risques depuis le canal.

  • Obtenez la configuration sur Citrix Analytics for Security. Créez un compte avec Citrix Analytics for Security pour authentifier l’intégration Azure Sentinel. Citrix Analytics for Security utilise le compte pour préparer un fichier de configuration requis pour l’intégration. Le fichier de configuration est utilisé pour configurer Citrix Analytics Adapter for Azure Sentinel.

  • Télécharger Citrix Analytics Adapter pour Azure Sentinel. Téléchargez l’application Citrix Analytics Adapter pour Azure Sentinel à partir de GitHub. L’adaptateur est un programme Python qui consomme des alertes provenant d’une rubrique Kafka spécifique au locataire hébergée par Citrix Analytics. Vous pouvez exécuter l’adaptateur sur n’importe quelle machine physique ou virtuelle avec Python 2.7 ou supérieur. Les alertes consommées sont publiées sur Azure Sentinel à l’aide de l’API REST.

  • Installez Citrix Analytics Adapter pour Azure Sentinel. Installez l’application Citrix Analytics Adapter for Azure Sentinel sur une machine afin qu’elle puisse recevoir les données Kafka. La carte contient des variables d’espace réservé permettant de se connecter à Azure Sentinel et à l’interface Kafka sur Citrix Analytics for Security. Après avoir installé la carte, procédez comme suit :

    • Remplacez les variables d’espace réservé associées à l’interface Kafka par les valeurs obtenues à partir du fichier de configuration préparé par Citrix Analytics for Security.

    • Remplacez les variables d’espace réservé associées à Azure Sentinel (pour Workspace ID et API Key) par les valeurs respectives de votre compte Azure.

Comment consommer des événements dans Azure Sentinel

Une fois la carte installée et configurée, procédez comme suit :

  1. Ouvrez votre espace de travail Azure Sentinel dans le portail Azure.

  2. Dans la section Configuration, sélectionnez Connecteurs de données.

  3. Sélectionnez Citrix Analytics Data Connector et sélectionnez Ouvrir la page Connecteur . Suivez les instructions pour connecter les événements à Azure Sentinel.

  4. Sélectionnez l’onglet Etapes suivantes et sélectionnez le classeur recommandé pour afficher les exemples de requêtes.

Intégration de Microsoft Azure Sentinel