Intégration de Splunk

Auparavant, les utilisateurs n’étaient pas en mesure de mettre en corrélation les informations sur les capacités de leur organisation en matière de risque, telles que les indicateurs de risque, les profils d’utilisateurs et les scores de risque. Par conséquent, les utilisateurs n’étaient pas en mesure d’obtenir des informations exploitables sur ces informations. Pour répondre à cette exigence, Citrix Analytics permet aux utilisateurs d’intégrer Splunk.

L’intégration de Splunk vous permet d’exporter des données analysées pour détecter des événements à risque depuis Citrix Analytics vers votre environnement Splunk. Vous pouvez rechercher, collecter et analyser des données provenant de plusieurs sources de données sur une seule plate-forme. À l’aide de ces données, vous pouvez dépanner et surveiller les événements.

Citrix Analytics n’envoie pas de données brutes à Splunk. Au lieu de cela, il envoie des données traitées. Les données traitées envoyées à Splunk comprennent :

  • Changement du score de risque — Il s’agit de la modification du score de risque d’un utilisateur. Lorsque le score de risque d’un utilisateur augmente ou diminue de plus de 10 %, la modification est envoyée à Splunk.

  • Résumé de l’indicateur de risque — Tous les indicateurs de risque associés à l’utilisateur, lorsqu’un nouvel indicateur de risque est généré.

  • Indice de risque de l’utilisateur — Indice de risque actuel d’un utilisateur. Citrix Analytics envoie ces données à Splunk toutes les 12 heures.

  • Applications utilisateur : application lancée et utilisée par l’utilisateur. Citrix Analytics récupère ces données à partir de Citrix Vitrual Apps et les envoie à Splunk toutes les 12 heures.

  • Périphérique utilisateur : Périphériques auxquels l’utilisateur est associé. Citrix Analytics récupère ces données à partir de Citrix Virtual Apps et de Citrix Endpoint Management et les envoie à Splunk toutes les 12 heures.

  • Emplacement de l’utilisateur — Ville dans laquelle l’utilisateur a été détecté pour la dernière fois. Citrix Analytics extrait ces données de Citrix Content Collaboration et les envoie à Splunk toutes les 12 heures.

  • Utilisation des données— Données téléchargées et téléchargées par l’utilisateur via Citrix Content Collaboration. Citrix Analytics envoie ces données à Splunk toutes les 12 heures.

Avantages de l’intégration de Splunk

  • Visibilité accrue des alertes de sécurité dans un lieu centralisé

  • Approche centralisée pour détecter les menaces potentielles à la sécurité pour les capacités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils d’utilisateurs et les scores de risque.

  • Possibilité de combiner et de corréler les informations de renseignement sur les risques Citrix Analytics d’un compte utilisateur avec des sources de données externes, au sein de Splunk.

Conditions préalables

Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics à lancer le processus d’intégration de Splunk.

Comment intégrer Citrix Analytics à Splunk

Suivez les instructions mentionnées pour intégrer Citrix Analytics à Splunk :

Une fois le fichier de configuration de Citrix Analytics préparé, consultez :

Une fois le module complémentaire Citrix Analytics pour Splunk configuré, consultez :

Exportation de données

  1. Accédez à Paramètres > Sources de données > EXPORTATIONS DE DONNÉES.

  2. Sur la fiche de site Splunk, sélectionnez Démarrer. Vous êtes redirigé vers la page Configurer l’intégration de Splunk.

    Exportation de données

  3. Sur la page Configurer l’intégration de Splunk, accédez à la section Configuration sur Citrix Analytics.

Obtenir la configuration sur Citrix Analytics

  1. Créez un mot de passe pour votre compte prédéfini en mettant à jour les champs MOT DE PASSE et CONFIRMER MOT DE PASSE. Assurez-vous de respecter les règles de mot de passe affichées.

    Configuration de Citrix Analytics

  2. Cliquez sur Configurer. Citrix Analytics commence à préparer un fichier de configuration requis pour l’intégration de Splunk. Vous recevez une notification lorsque le fichier est préparé. Des détails tels que le nom d’utilisateur, l’hôte, le nom de rubrique et le nom de groupe sont fournis dans la section DÉTAILS DE CONFIGURATION.

    Configuration de Citrix Analytics

Télécharger le module complémentaire Citrix Analytics pour Splunk

  1. Accédez à la page de Téléchargements de Citrix Analytics Add-on for Splunk (connexion requise).

  2. Cliquez sur Télécharger le fichier.

    Configuration de Citrix Analytics

  3. Dans l’écran Contrat de licence utilisateur final, lisez les termes et conditions, puis sélectionnez Oui, j’accepte. Le processus de téléchargement est lancé.

    Configuration de Citrix Analytics

  4. Sur l’écran Contrat de téléchargement, lisez les conditions générales. Pour accuser réception, cochez la case Je reconnais avoir lu et je certifie être conforme aux lois sur le contrôle des exportations ci-dessus.

  5. Cliquez sur Accepter.

    Configuration de Citrix Analytics

Installer le module complémentaire Citrix Analytics pour Splunk

  1. Connectez-vous à votre environnement Splunk Forwarder ou Splunk Standalone.

    Installation de Splunk

  2. Accédez à Applications.

    Installation de Splunk

  3. Cliquez sur l’icône Gérer les applications qui s’affiche en regard de Applications.

    Installation de Splunk

  4. Sur la page Applications, cliquez sur Installer l’application à partir du fichier.

    Installation de Splunk

  5. Dans la section Télécharger une application, sélectionnez l’application TA_ctxs_as.tar.gz. S’il y a une mise à niveau d’application, cliquez sur Mettre à niveau l’application. La vérification de cette option écrasera l’application si elle existe déjà.

    Installation de Splunk

  6. Cliquez sur Upload. Vous recevez un message de notification sur la page Applications indiquant que le module complémentaire est installé. L’application Citrix Analytics Add-on for Splunk s’affiche dans la liste Apps.

    Installation de Splunk

Configurer le module complémentaire Citrix Analytics pour Splunk

Configurez le module complémentaire Citrix Analytics pour Splunk à l’aide des détails de configuration fournis par Citrix Analytics. Une fois le module complémentaire configuré, Splunk commence à consommer des événements à partir de Citrix Analytics.

  1. Sur la page d’accueil de Splunk, accédez à Paramètres > Entrées de données.

    Configuration de Splunk

  2. Dans la section Entrées locales, cliquez sur Citrix Analytics Add-on.

    Configuration de Splunk

  3. Cliquez sur New.

    Configuration de Splunk

  4. Dans la page Ajouter des données, entrez les détails fournis dans le fichier de configuration de Citrix Analytics.

    Configuration de Splunk

  5. Pour personnaliser vos paramètres par défaut, cliquez sur Autres paramètres et configurez l’entrée de données. Vous pouvez définir votre propre index Splunk, nom d’hôte et type de source.

    Configuration de Splunk

  6. Cliquez sur Suivant. Votre entrée de données Citrix Analytics est créée et le module complémentaire Citrix Analytics pour Splunk est configuré avec succès.

Réinitialiser le mot de passe de configuration de Citrix Analytics

Si vous souhaitez réinitialiser votre mot de passe de configuration sur Citrix Analytics, procédez comme suit :

  1. Dans la page Configuration sur Citrix Analytics, cliquez sur Réinitialiser le mot de passe.

    Réinitialiser mot de passe

  2. Dans la fenêtre Réinitialiser le mot de passe, spécifiez le mot de passe mis à jour dans les champs NEW PASSWORD et CONFIRM NEW PASSWORD. Suivez les règles de mot de passe qui s’affichent.

  3. Cliquez sur Réinitialiser. La préparation du fichier de configuration est lancée.

    Réinitialiser mot de passe

Remarque

Après avoir réinitialisé le mot de passe de configuration, veillez à mettre à jour le nouveau mot de passe lorsque vous configurez l’entrée de données sur la page Ajouter des donnéesde votre environnement Splunk. Il aide Citrix Analytics à continuer à transmettre des données à Splunk.

Activer ou désactiver la transmission de données

Une fois le fichier de configuration de Citrix Analytics préparé, la transmission des données est activée pour Splunk. Citrix Analytics peut transmettre des informations sur les risques à Splunk.

Pour arrêter la transmission de données à partir de Citrix Analytics :

  1. Accédez à Paramètres > Sources de données > EXPORTATIONS DE DONNÉES.

  2. Sur la carte de site Splunk, sélectionnez l’ellipse verticale (⋮), puis cliquez sur Désactiver la transmission des données.

    Transmission de données

  3. Pour confirmer, cliquez sur Désactiver la transmission des données.

    Transmission de données

Comment consommer des événements dans Splunk

Après avoir configuré le module complémentaire, Splunk commence à récupérer des informations sur les risques à partir de Citrix Analytics. Vous pouvez commencer à rechercher les événements de votre organisation sur la tête de recherche Splunk en fonction de l’entrée de données configurée.

Les résultats de la recherche sont affichés dans le format suivant :

Consommation d'événements Splunk

Un exemple de sortie est fourni ci-dessous :

Consommation d'événements Splunk

Pour rechercher et déboguer des problèmes avec le module complémentaire, utilisez la requête de recherche suivante :

Consommation d'événements Splunk

Les résultats sont affichés dans le format suivant :

Consommation d'événements Splunk

Versions prises en charge

Citrix Analytics prend en charge l’intégration de Splunk sur les systèmes d’exploitation Ubuntu 18.04.1, Red Hat Enterprise Linux Server 7.x, Debian GNU/Linux 9, CentOS Linux 7.xet SUSE Linux Enterprise Server 12.

Vous pouvez configurer l’intégration de Splunk sur les versions suivantes de Splunk :

  • Splunk 8.0 64 bits
  • Splunk 7.3 64 bits
  • Splunk 7.2 64 bits
  • Splunk 7.1 64 bits
  • Splunk 7.0 64 bits
  • Splunk 6.6 64 bits
  • Splunk 6.5 64 bits