Citrix Analytics for Security

Intégration de Security Information and Event Management (SIEM)

Remarque

Contactez CAS-PM-Ext@cloud.com pour demander de l’aide pour l’intégration du SIEM, l’exportation de données vers le SIEM et pour faire part de vos commentaires.

Intégrez Citrix Analytics for Security à vos services SIEM et exportez les données des utilisateurs de l’environnement informatique Citrix vers votre SIEM. Corrélez les données exportées avec les données disponibles dans votre SIEM pour obtenir des informations plus approfondies sur la position de sécurité de votre entreprise.

Cette intégration améliore la valeur de votre Citrix Analytics for Security et de votre SIEM.

Avantages

  • Permet à vos équipes des opérations de sécurité de corréler, d’analyser et de rechercher des données à partir de journaux disparates.

  • Aide vos équipes des opérations de sécurité à identifier et à corriger rapidement les risques de sécurité.

  • Visibilité des alertes de sécurité dans un endroit centralisé.

  • Approche centralisée pour détecter les menaces de sécurité potentielles pour les fonctionnalités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils utilisateur et les scores de risque.

  • Possibilité de combiner et de corréler les informations de veille sur les risques Citrix Analytics d’un compte utilisateur avec les sources de données externes connectées au sein de votre SIEM.

Architecture d’intégration SIEM

Votre intégration SIEM se connecte au Kafka en direction nord déployé sur le cloud Citrix Analytics for Security. Cela peut être réalisé de deux manières :

  • Points de terminaison Kafka : si votre SIEM prend en charge les points de terminaison Kafka, utilisez les paramètres fournis dans le fichier de configuration Logstash et les détails du certificat dans le fichier JKS ou le fichier PEM pour intégrer votre SIEM à Citrix Analytics for Security. À l’aide des points de terminaison Kafka, vous pouvez vous connecter et extraire les données vers le SIEM de votre choix.

  • Moteur Logstash : si votre SIEM ne prend pas en charge les terminaux Kafka, vous pouvez utiliser le moteur de collecte de données Logstash. Vous pouvez envoyer les données d’analyse des risques de Citrix Analytics for Security vers l’un des plug-ins de sortie pris en charge par Logstash.

Reportez-vous au schéma d’architecture de solution SIEM suivant pour comprendre comment les données circulent entre Citrix Analytics for Security et votre service SIEM :

Architecture de la solution SIEM

Activer ou désactiver la transmission des données

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Réglages > Exportations de données.

  2. Désactivez le bouton pour désactiver la transmission de données.

    Remarque Par défaut, la transmission de données est toujours activée/activée pour le SIEM.

    Transmission de données activée

Pour réactiver la transmission de données, activez le bouton.

Configuration de l’environnement SIEM

Pour exporter des données vers le SIEM, vous devez effectuer les actions suivantes :

  • Configurez votre compte Kafka et vos informations d’authentification
  • Téléchargez la configuration préremplie et configurez l’environnement SIEM
  • Événements de données pour l’exportation

Configuration du compte d’exportation SIEM

  1. Pour configurer votre compte, accédez à Paramètres > Exportations de données > développer Configuration du compte. Créez un compte en spécifiant le nom d’utilisateur et le mot de passe. Une fois que vous avez configuré votre compte, vos informations Kafka sont générées. Ces informations sont automatiquement intégrées lors de la génération du fichier de configuration.

    Configuration du compte

  2. Cliquez sur Configurer pour générer le fichier de configuration. Le fichier de configuration contient des détails tels que les points de terminaison Kafka, les sujets spécifiques de votre abonnement et les identifiants de groupe. En outre, il préconfigure les attributs Kafka et SSL qui sont nécessaires pour terminer l’authentification et le flux de données.

Configuration SIEM et configuration de l’environnement

Choisissez l’environnement SIEM selon vos besoins. Vous pouvez intégrer Citrix Analytics for Security aux services suivants. Consultez les liens suivants pour obtenir des informations détaillées et des configurations spécifiques au SIEM :

Environnement SIEM

Événements de données exportés depuis Citrix Analytics for Security vers votre service SIEM

Dans le cadre des exportations SIEM, il existe deux types d’ensembles de données :

  1. Événements d’analyse des risques (exportations par défaut)  : une fois que vous avez terminé la configuration du compte et la configuration du SIEM, les données par défaut (événements liés aux informations sur les risques) commencent à être transférées vers votre déploiement SIEM. Les données d’analyse des risques contiennent le score de risque des utilisateurs, le profil utilisateur et les alertes relatives aux indicateurs de risque Ils sont générés par l’algorithme d’apprentissage automatique Citrix Analytics, l’analyse du comportement des utilisateurs et en fonction des événements des utilisateurs. Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, voir Données d’analyse des risques pour le SIEM.

  2. Événements relatifs aux sources de données (exportations facultatives)  : vous pouvez également configurer la fonctionnalité d’exportation de données pour exporter les événements utilisateur à partir des sources de données de vos produits compatibles avec Citrix Analytics for Security. Lorsque vous effectuez une activité dans l’environnement Citrix, les événements de la source de données sont générés. Les événements exportés sont des données d’utilisation des utilisateurs et des produits non traitées en temps réel, disponibles dans l’affichage en libre-service. Les métadonnées contenues dans ces événements peuvent également être utilisées pour une analyse plus approfondie des menaces, pour créer de nouveaux tableaux de bord et pour établir des liens avec d’autres événements liés à des sources de données autres que Citrix concernant votre infrastructure informatique et de sécurité.

    Actuellement, Citrix Analytics for Security envoie les événements utilisateur à votre SIEM pour la source de données Citrix Virtual Apps and Desktops.

    Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, voir Événements de source de données.

    Remarque

    Pour les clients qui utilisent un broker de données Logstash, il est recommandé de télécharger le dernier fichier de configuration depuis le portail Citrix Analytics for Security et de le mettre à jour lors du déploiement du service Logstash. Cela garantit que les tables d’événements de source de données correctes sont créées et que les événements sont désormais disponibles dans les index SIEM.

    Exportation de données

Résolution des problèmes liés à l’intégration SIEM

La vue Exportations de données pour la sécurité inclut un onglet Résumé qui aide les administrateurs à résoudre les problèmes liés à leur intégration SIEM avec Citrix Analytics. Le tableau de bord récapitulatif fournit une visibilité sur l’état et le flux des données en les guidant vers les points de contrôle qui facilitent le processus de résolution des problèmes.

Résolution des problèmes d'exportation de données

Pour en savoir plus sur cette fonctionnalité, consultez Résolution des problèmes liés à l’exportation de données.