Documentation produit
Citrix Analytics for Security™
Voir PDF

Intégration de la gestion des informations et des événements de sécurité (SIEM)

September 16, 2025
Contributeur: 
C C

Remarque

Contactez CAS-PM-Ext@cloud.com pour demander de l’aide concernant l’intégration SIEM, l’exportation de données vers SIEM et pour fournir des commentaires.

Intégrez Citrix Analytics for Security™ à vos services SIEM et exportez les données des utilisateurs de l’environnement informatique Citrix vers votre SIEM. Corrélez les données exportées avec les données disponibles dans votre SIEM pour obtenir des informations plus approfondies sur la posture de sécurité de votre organisation.

Cette intégration améliore la valeur de Citrix Analytics for Security et de votre SIEM.

Avantages

  • Permet à vos équipes d’opérations de sécurité de corréler, d’analyser et de rechercher des données provenant de journaux disparates.

  • Aide vos équipes d’opérations de sécurité à identifier et à corriger rapidement les risques de sécurité.

  • Visibilité des alertes de sécurité dans un emplacement centralisé.

  • Approche centralisée pour détecter les menaces de sécurité potentielles pour les capacités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils d’utilisateur et les scores de risque.

  • Possibilité de combiner et de corréler les informations de renseignement sur les risques de Citrix Analytics d’un compte utilisateur avec les sources de données externes connectées à votre SIEM.

Architecture d’intégration SIEM

Votre intégration SIEM se connecte au Kafka en amont déployé sur le cloud Citrix Analytics for Security. Cela peut être réalisé de deux manières :

  • Points de terminaison Kafka : Si votre SIEM prend en charge les points de terminaison Kafka, utilisez les paramètres fournis dans le fichier de configuration Logstash et les détails du certificat dans le fichier JKS ou le fichier PEM pour intégrer votre SIEM à Citrix Analytics for Security. À l’aide des points de terminaison Kafka, vous pouvez vous connecter et extraire les données vers le SIEM de votre choix.

  • Moteur Logstash : Si votre SIEM ne prend pas en charge les points de terminaison Kafka, vous pouvez utiliser le moteur de collecte de données Logstash. Vous pouvez envoyer les données d’informations sur les risques de Citrix Analytics for Security à l’un des plug-ins de sortie pris en charge par Logstash.

Reportez-vous au diagramme d’architecture de solution SIEM suivant pour comprendre comment les données circulent de Citrix Analytics for Security vers votre service SIEM :

Architecture de la solution SIEM

Activer ou désactiver la transmission de données

Pour arrêter la transmission de données depuis Citrix Analytics for Security :

  1. Accédez à Paramètres > Exportations de données.

  2. Désactivez le bouton bascule pour désactiver la transmission de données.

    Remarque Par défaut, la transmission de données est toujours activée pour SIEM.

    Transmission de données activée

Pour réactiver la transmission de données, activez le bouton bascule.

Configuration de l’environnement SIEM

Pour exporter des données vers SIEM, vous devez effectuer les actions suivantes :

  • Configurez votre compte Kafka et vos informations d’authentification
  • Téléchargez la configuration pré-remplie et configurez l’environnement SIEM
  • Événements de données pour l’exportation

Configuration du compte d’exportation SIEM

  1. Pour configurer votre compte, accédez à Paramètres > Exportations de données > développez Configuration du compte. Créez un compte en spécifiant le nom d’utilisateur et le mot de passe. Une fois votre compte configuré, vos détails Kafka sont générés. Ces détails sont automatiquement intégrés lors de la génération du fichier de configuration.

    Configuration du compte

  2. Cliquez sur Configurer pour générer le fichier de configuration. Le fichier de configuration contient des détails tels que les points de terminaison Kafka, vos rubriques d’abonnement spécifiques et les ID de groupe. Il pré-configure également les attributs Kafka et SSL qui sont nécessaires pour l’authentification et le flux de données.

Configuration SIEM et configuration de l’environnement

Choisissez l’environnement SIEM selon vos besoins. Vous pouvez intégrer Citrix Analytics for Security aux services suivants. Reportez-vous aux liens suivants pour obtenir des informations détaillées et des configurations spécifiques au SIEM :

Environnement SIEM

Événements de données exportés de Citrix Analytics for Security vers votre service SIEM

Dans le cadre des exportations SIEM, il existe deux types d’ensembles de données :

  1. Événements d’informations sur les risques (exportations par défaut) : Une fois que vous avez terminé la configuration du compte et la configuration SIEM, les données par défaut (événements d’informations sur les risques) commencent à circuler vers votre déploiement SIEM. Les données d’informations sur les risques contiennent le score de risque de l’utilisateur, le profil de l’utilisateur et les alertes d’indicateurs de risque. Celles-ci sont générées par l’algorithme d’apprentissage automatique de Citrix Analytics, l’analyse du comportement des utilisateurs et basées sur les événements des utilisateurs. Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, consultez Données d’informations sur les risques pour SIEM.

  2. Événements de source de données (exportations facultatives) : De plus, vous pouvez configurer la fonctionnalité d’exportation de données pour exporter les événements utilisateur des sources de données de vos produits compatibles avec Citrix Analytics for Security. Lorsque vous effectuez une activité dans l’environnement Citrix, les événements de source de données sont générés. Les événements exportés sont des données d’utilisation des utilisateurs et des produits en temps réel non traitées, telles qu’elles sont disponibles dans la vue en libre-service. Les métadonnées contenues dans ces événements peuvent être utilisées pour une analyse plus approfondie des menaces, la création de nouveaux tableaux de bord et la corrélation avec d’autres événements de sources de données non-Citrix dans votre infrastructure de sécurité et informatique.

    Actuellement, Citrix Analytics for Security envoie des événements utilisateur à votre SIEM pour ces sources de données : Citrix Virtual Apps and Desktops™, Secure Private Access et le service Device Posture.

    Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, consultez Événements de source de données.

    Remarque

    Il est recommandé aux clients qui utilisent un courtier de données Logstash de télécharger le dernier fichier de configuration depuis le portail Citrix Analytics for Security et de le mettre à jour sur le déploiement du service Logstash. Cela garantit que les tables d’événements de source de données correctes sont créées et que les événements sont désormais disponibles dans les index SIEM.

    Exportations de données

Dépannage de l’intégration SIEM

La vue Exportations de données pour la sécurité comprend un onglet Résumé pour aider les administrateurs à dépanner leur intégration SIEM avec Citrix Analytics. Le tableau de bord Résumé offre une visibilité sur la santé et le flux de données en les guidant à travers les points de contrôle qui facilitent le processus de dépannage.

Dépannage des exportations de données

Pour en savoir plus sur cette fonctionnalité, consultez Dépannage des exportations de données.

Intégration de la gestion des informations et des événements de sécurité (SIEM)
September 16, 2025
Contributeur: 
C C
September 16, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.