Intégration d’Azure Sentinel

Citrix Analytics permet désormais aux utilisateurs d’exporter des données analysées pour détecter des événements à risque à partir de Citrix Analytics vers leur environnement Microsoft Azure Sentinel. Grâce à cela, vous pouvez collecter, rechercher et analyser des données provenant de plusieurs sources de données sur une seule plate-forme. À l’aide de ces données, vous pouvez surveiller les événements, dépanner et automatiser les actions d’atténuation.

Citrix Analytics n’envoie pas de données brutes à Azure Sentinel. Au lieu de cela, il envoie des données traitées. Les données traitées envoyées à Azure Sentinel comprennent :

  • Indice de risque de l’utilisateur — Indice de risque actuel d’un utilisateur. Citrix Analytics envoie ces données à Azure Sentinel toutes les 12 heures.

  • Changement du score de risque — Il s’agit de la modification du score de risque d’un utilisateur. Lorsque le score de risque d’un utilisateur augmente ou diminue de plus de 10 %, la modification est envoyée à Azure Sentinel.

  • Résumé de l’indicateur de risque — Tous les indicateurs de risque associés à l’utilisateur, lorsqu’un nouvel indicateur de risque est généré.

Avantages de l’intégration Azure Sentinel

  • Visibilité accrue des alertes de sécurité dans un endroit centralisé.

  • Approche centralisée pour détecter les menaces potentielles à la sécurité pour les capacités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils d’utilisateurs et les scores de risque.

  • Possibilité de combiner et de corréler les informations d’intelligence des risques Citrix Analytics d’un compte utilisateur avec des sources de données externes, dans Azure Sentinel.

Conditions préalables

Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics à lancer le processus d’intégration Azure Sentinel.

Comment intégrer Citrix Analytics à Azure Sentinel

Suivez les instructions mentionnées pour intégrer Citrix Analytics à Azure Sentinel :

  • Exportation de données. Citrix Analytics crée un canal et exporte des informations sur les risques. Azure Sentinel récupère cette information sur les risques depuis le canal.

  • Obtenez la configuration sur Citrix Analytics. Créez un compte avec Citrix Analytics pour authentifier l’intégration Azure Sentinel. Citrix Analytics utilise le compte pour préparer un fichier de configuration requis pour l’intégration. Le fichier de configuration est utilisé pour configurer Citrix Analytics Adapter for Azure Sentinel.

  • Télécharger Citrix Analytics Adapter pour Azure Sentinel. Téléchargez l’application Citrix Analytics Adapter pour Azure Sentinel à partir de GitHub. L’adaptateur est un programme Python qui consomme des alertes provenant d’une rubrique Kafka spécifique au locataire hébergée par Citrix Analytics. Vous pouvez exécuter l’adaptateur sur n’importe quelle machine physique ou virtuelle avec Python 2.7 ou supérieur. Les alertes consommées sont publiées dans Azure Sentinel à l’aide de l’API REST.

  • Installez Citrix Analytics Adapter pour Azure Sentinel. Installez l’application Citrix Analytics Adapter for Azure Sentinel sur une machine afin qu’elle puisse recevoir les données Kafka. L’adaptateur contient des variables d’espace réservé pour la connexion à Azure Sentinel et à l’interface Kafka sur Citrix Analytics. Après avoir installé la carte, procédez comme suit :

    • Remplacez les variables d’espace réservé associées à l’interface Kafka par les valeurs obtenues à partir du fichier de configuration préparé par Citrix Analytics.

    • Remplacez les variables d’espace réservé associées à Azure Sentinel (pour Workspace ID et API Key) par les valeurs respectives de votre compte Azure.

Comment consommer des événements dans Azure Sentinel

Une fois la carte installée et configurée, procédez comme suit :

  1. Ouvrez votre espace de travail Azure Sentinel dans le portail Azure.

  2. Dans la section Configuration, sélectionnez Connecteurs de données.

  3. Sélectionnez Citrix Analytics Data Connector et sélectionnez Ouvrir la page Connecteur . Suivez les instructions pour connecter les événements à Azure Sentinel.

  4. Sélectionnez l’onglet Etapes suivantes et sélectionnez le classeur recommandé pour afficher les exemples de requêtes.

Remarque

  • L’intégration Azure Sentinel avec Citrix Analytics n’est actuellement pas généralement disponible. Par conséquent, les informations ci-dessus peuvent être modifiées.

  • Contactez CAS-PM-Ext@citrix.com pour accéder à Citrix Analytics Adapter for Azure Sentinel et pour obtenir de l’aide lors de l’intégration de vos données dans Azure Sentinel.