Citrix Analytics for Security

Intégration Splunk

Intégrez Citrix Analytics for Security à Splunk pour exporter et corréler les données des utilisateurs de votre environnement informatique Citrix et obtenir des informations plus approfondies sur la posture de sécurité de votre organisation. Cette intégration améliore la valeur de vos déploiements Citrix Analytics for Security et Splunk. Il permet aux équipes des opérations de sécurité de corréler, d’analyser et de rechercher des données à partir de journaux disparates, ce qui les aide à identifier et à résoudre rapidement les risques de sécurité. De plus, des tableaux de bord pertinents propres à Citrix Analytics for Security peuvent être consultés dans votre environnement Splunk. Vous pouvez créer des vues personnalisées en fonction de vos exigences de sécurité.

Citrix Analytics for Security traite les données des utilisateurs provenant de plusieurs produits de votre environnement informatique Citrix. Citrix Analytics for Security n’envoie pas de données brutes à Splunk. Au lieu de cela, il envoie des données traitées, notamment :

  • Changement du score de risque  : modification du score de risque d’un utilisateur. Lorsque la variation du score de risque d’un utilisateur est égale ou supérieure à trois et que cette modification augmente à tout rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM.

  • Résumé des indicateurs de risque : tous les indicateurs de risque associés à un utilisateur.

  • Indice de risque de l’utilisateur — Indice de risque actuel d’un utilisateur. Citrix Analytics for Security envoie ces données à Splunk toutes les 12 heures.

  • Applications utilisateur  : applications lancées et utilisées par un utilisateur. Citrix Analytics for Security récupère ces données de Citrix Virtual Apps et les envoie à Splunk toutes les 12 heures.

  • Appareil utilisateur  : appareils associés à un utilisateur. Citrix Analytics for Security récupère ces données depuis Citrix Virtual Apps et Citrix Endpoint Management et les envoie à Splunk toutes les 12 heures.

  • Emplacement de l’utilisateur  : ville dans laquelle un utilisateur a été détecté pour la dernière fois. Citrix Analytics for Security récupère ces données à partir de Citrix Content Collaboration. Ces données sont envoyées à Splunk toutes les 12 heures.

  • Utilisation des données : données téléchargées et téléchargées par un utilisateur via Citrix Content Collaboration. Citrix Analytics for Security envoie ces données à Splunk toutes les 12 heures.

Pour plus d’informations sur le schéma des données traitées, consultez la section Format de données Citrix Analytics pour SIEM.

Avantages de l’intégration de Splunk

  • Meilleure visibilité des alertes de sécurité dans un endroit centralisé

  • Approche centralisée pour détecter les menaces de sécurité potentielles pour les fonctionnalités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils utilisateur et les scores de risque.

  • Possibilité de combiner et de corréler les informations de veille sur les risques Citrix Analytics d’un compte utilisateur avec des sources de données externes, au sein de Splunk.

Versions prises en charge

Citrix Analytics for Security prend en charge l’intégration de Splunk sur les systèmes d’exploitation suivants :

  • CentOS Linux 7 et versions ultérieures
  • Debian GNU/Linux 10.0 et versions ultérieures
  • Red Hat Enterprise Linux Server 7.0 et versions ultérieures
  • Ubuntu 18.04 LTS et versions ultérieures

IMPORTANT

  • Citrix recommande d’utiliser la dernière version des systèmes d’exploitation précédents ou les versions qui sont toujours prises en charge par les fournisseurs respectifs.

  • Pour les systèmes d’exploitation du noyau Linux (64 bits), utilisez une version du noyau prise en charge par Splunk. Pour plus d’informations, consultez la documentation de Splunk.

Vous pouvez configurer l’intégration de Splunk sur les versions Splunk suivantes :

  • Gestionnaire de données d’entrées Splunk Cloud (IDM)

  • Splunk 7.3 (64 bits) et versions ultérieures

Conditions préalables

  • Le module complémentaire Citrix Analytics pour Splunk se connecte aux points de terminaison suivants sur Citrix Analytics for Security. Assurez-vous que les points de terminaison figurent dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis UE
    Courtiers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094
  • Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à démarrer le processus d’intégration de Splunk.

Comment intégrer Citrix Analytics for Security à Splunk

Suivez les instructions mentionnées pour intégrer Citrix Analytics for Security à Splunk :

Une fois le fichier de configuration de Citrix Analytics préparé, consultez :

Une fois que le module complémentaire Citrix Analytics pour Splunk est configuré, consultez :

Exportation de données

  1. Accédez à Paramètres > Sources de données >Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la fiche de site Splunk, sélectionnez Commencer. Vous êtes redirigé vers la page Configurer l’intégration de Splunk .

    Exportation de données

  3. Sur la page Configurer l’intégration de Splunk, accédez à la section Configuration sur Citrix Analytics.

Obtenir la configuration sur Citrix Analytics for Security

  1. Créez un mot de passe pour votre compte prédéfini en mettant à jour les champs MOT DE PASSE et CONFIRMER MOT DE PASSE.

    Configuration de Citrix Analytics

    Suivez les règles de mot de passe qui s’affichent.

    Configuration de Citrix Analytics

  2. Cliquez sur Configurer. Citrix Analytics for Security commence à préparer un fichier de configuration requis pour l’intégration de Splunk. Vous recevez une notification lorsque le fichier est préparé. Des détails tels que le nom d’utilisateur, l’hôte, le nom de la rubrique et le nom du groupe sont fournis dans la section DÉTAILS DE LA CONFIGURATION .

    Configuration de Citrix Analytics

Télécharger le module complémentaire Citrix Analytics pour Splunk

  1. Accédez à la page de téléchargement du module complémentaire Citrix Analytics pour Splunk (une connexion est requise).

  2. Cliquez sur Télécharger le fichier.

    Configuration de Citrix Analytics

  3. Sur l’écran Contrat de licence de l’utilisateur final, lisez les termes et conditions, puis sélectionnez Oui, j’accepte. Le processus de téléchargement est lancé.

    Configuration de Citrix Analytics

  4. Sur l’écran Contrat de téléchargement, lisez les termes et conditions. Pour confirmer, cochez la case J’ai lu et certifie que je respecte les lois sur le contrôle des exportations ci-dessus .

  5. Cliquez sur Accepter.

    Configuration de Citrix Analytics

Installation du module complémentaire Citrix Analytics pour Splunk

  1. Connectez-vous à votre environnement Splunk Forwarder ou Splunk Standalone.

    Installation de Splunk

  2. Accédez à Applications.

    Installation de Splunk

  3. Cliquez sur l’icône Gérer les applications qui s’affiche en regard de Applications.

    Installation de Splunk

  4. Sur la page Applications, cliquez sur Installer l’application à partir d’un fichier.

    Installation de Splunk

  5. Dans la section Charger une application, sélectionnez l’application TA_CTXS_AS.tar.gz. S’il y a une mise à niveau d’application, cliquez sur Mettre à niveau l’application. Si vous cochez cette option, l’application est écrasée si elle existe déjà.

    Installation de Splunk

  6. Cliquez sur Charger. Vous recevez un message de notification sur la page Applications indiquant que le module complémentaire est installé. Le module complémentaire Citrix Analytics pour l’application Splunk est affiché dans la liste des applications.

    Installation de Splunk

Configurer le module complémentaire Citrix Analytics pour Splunk

Configurez le module complémentaire Citrix Analytics pour Splunk à l’aide des détails de configuration fournis par Citrix Analytics for Security. Une fois le module complémentaire configuré, Splunk commence à consommer les événements de Citrix Analytics for Security.

  1. Sur la page d’accueil de Splunk, accédez à Paramètres > Entrées de données.

    Configuration Splunk

  2. Dans la section Entrées locales, cliquez sur Citrix Analytics Add-on.

    Configuration Splunk

  3. Cliquez sur New.

    Configuration Splunk

  4. Sur la page Ajouter des données, entrez les détails fournis dans le fichier de configuration de Citrix Analytics.

    Configuration Splunk

  5. Pour personnaliser vos paramètres par défaut, cliquez sur Plus de paramètres et configurez la saisie des données. Vous pouvez définir votre propre index Splunk, votre nom d’hôte et votre type de source.

    Configuration Splunk

  6. Cliquez sur Suivant. Votre entrée de données Citrix Analytics est créée et le module complémentaire Citrix Analytics pour Splunk est correctement configuré.

Réinitialiser le mot de passe de configuration de Citrix Analytics

Si vous souhaitez réinitialiser votre mot de passe de configuration sur Citrix Analytics for Security, procédez comme suit :

  1. Dans la page Configuration sur Citrix Analytics, cliquez sur Réinitialiser le mot de passe.

    Mot de passe

  2. Dans la fenêtre de réinitialisation du mot de passe, spécifiez le mot de passe mis à jour dans les champs NOUVEAU MOT DE PASSE et CONFIRMER LE NOUVEAU MOT Suivez les règles de mot de passe qui s’affichent.

    Configuration de Citrix Analytics

  3. Cliquez sur Réinitialiser. La préparation du fichier de configuration est lancée.

    Mot de passe

Remarque

Après avoir réinitialisé le mot de passe de configuration, veillez à mettre à jour le nouveau mot de passe lorsque vous configurez l’entrée de données sur la page Ajouter des donnéesde votre environnement Splunk. Il permet à Citrix Analytics for Security de continuer à transmettre des données vers Splunk.

Activer ou désactiver la transmission des données

Une fois le fichier de configuration de Citrix Analytics préparé, la transmission des données est activée pour Splunk. Citrix Analytics for Security peut transmettre des informations de veille sur les risques à Splunk.

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Réglages > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la fiche de site Splunk, sélectionnez les points de suspension verticaux (), puis cliquez sur Désactiver la transmission de données.

    Transmission de données

  3. Pour confirmer, cliquez sur Désactiver la transmission de données.

    Transmission de données

Comment consommer des événements dans Splunk

Après avoir configuré le module complémentaire, Splunk commence à récupérer des renseignements sur les risques à partir de Citrix Analytics for Security. Vous pouvez commencer à rechercher les événements de votre organisation dans la tête de recherche Splunk en fonction de l’entrée de données configurée.

Les résultats de la recherche sont affichés dans le format suivant :

Consommation d'événements Splunk

Un exemple de sortie :

Consommation d'événements Splunk

Pour rechercher et déboguer les problèmes liés au module complémentaire, utilisez la requête de recherche suivante :

Consommation d'événements Splunk

Les résultats sont affichés dans le format suivant :

Consommation d'événements Splunk

Pour plus d’informations sur le format des données, consultez la section Format de données Citrix Analytics pour SIEM.

Application Citrix Analytics pour Splunk

Remarque

Cette application est en avant-première.

L’application Citrix Analytics pour Splunk permet aux administrateurs de Splunk Enterprise d’afficher les données utilisateur collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents et exploitables sur Splunk. À l’aide de ces tableaux de bord, vous obtenez une vue détaillée du comportement à risque des utilisateurs au sein de votre organisation et prenez des mesures opportunes pour atténuer les menaces internes. Vous pouvez également mettre en corrélation les données collectées à partir de Citrix Analytics for Security avec d’autres sources de données configurées sur votre Splunk. Cette corrélation vous offre une visibilité sur les activités risquées des utilisateurs à partir de sources multiples et prend des mesures pour protéger votre environnement informatique.

Version Splunk prise en charge

L’application Citrix Analytics pour Splunk s’exécute sur les versions Splunk suivantes :

  • Splunk 8.2 64 bits

  • Splunk 8.1 64 bits

  • Splunk 8.0 64 bits

  • Splunk 7.3 64 bits

Conditions préalables à l’application Citrix Analytics pour Splunk

  • Installez le module complémentaire Citrix Analytics pour Splunk.

  • Assurez-vous que les conditions préalables mentionnées pour le module complémentaire Citrix Analytics pour Splunk sont déjà remplies.

  • Assurez-vous que les données sont transférées de Citrix Analytics for Security vers Splunk.

Installation et configuration

Où installer l’application ?

Tête de recherche Splunk

Comment installer et configurer l’application ?

Vous pouvez installer l’application Citrix Analytics pour Splunk en la téléchargeant depuis Spunkbase ou en l’installant depuis Splunk.

Installer l’application depuis un fichier
  1. Allez sur Splunkbase.

  2. Téléchargez le fichier de l’application Citrix Analytics pour Splunk.

  3. Sur la page d’accueil de Splunk Web, cliquez sur l’icône en forme de roue dentée en regard de Applications.

  4. Cliquez sur Installer l’application depuis un fichier.

  5. Recherchez le fichier téléchargé et cliquez sur Charger.

    Remarque

    Si vous disposez d’une ancienne version de l’application, sélectionnez Mettre à niveau l’application pour la remplacer.

  6. Vérifiez que l’application apparaît dans la liste des applications .

Installez l’application depuis Splunk
  1. Sur la page d’accueil de Splunk Web, cliquez sur+Trouver d’autres applications.

  2. Sur la page Parcourir plus d’applications, recherchez Splunk dans l’application Citrix Analytics.

  3. Cliquez sur Installer en regard de l’application.

Configurez votre index et votre type de source pour corréler les données
  1. Après avoir installé l’application, cliquez sur Configurer maintenant.

    Configurer l'application

  2. Entrez les requêtes suivantes :

    • Index et type de source dans lesquels les données de Citrix Analytics for Security sont stockées.

      Remarque

      Ces valeurs de requête doivent être identiques à celles spécifiées dans le module complémentaire Citrix Analytics pour Splunk. Pour plus d’informations, consultez la section Configurer le module complémentaire Citrix Analytics pour Splunk.

    • Index à partir duquel vous souhaitez mettre en corrélation vos données avec Citrix Analytics for Security.

      Source et index

  3. Cliquez sur Terminer la configuration de l’application pour terminer la configuration.

Après avoir configuré et configuré l’application Citrix Analytics pour Splunk, utilisez les tableaux de bord Citrix Analytics pour afficher les événements utilisateur sur votre Splunk.

Intégration Splunk