Citrix Analytics for Security

Intégration Microsoft Sentinel

Remarques

  • Contactez < CAS-PM-Ext@citrix.com > pour demander de l’aide concernant l’intégration de Microsoft Sentinel, l’exportation de données vers Microsoft Sentinel ou pour fournir des commentaires.

  • L’exportation des données vers Microsoft Sentinel à l’aide du moteur Logstash est en préversion. Cette fonctionnalité est fournie sans accord de niveau de service et n’est pas recommandée pour les charges de travail de production. Pour plus d’informations, consultez la documentation Microsoft Sentinel .

Intégrez Citrix Analytics for Security à votre Microsoft Sentinel à l’aide du moteur Logstash.

Cette intégration vous permet d’exporter et de corréler les données des utilisateurs de votre environnement informatique Citrix vers Microsoft Sentinel et d’obtenir des informations plus approfondies sur la posture de sécurité de votre organisation. Consultez les tableaux de bord pertinents propres à Citrix Analytics for Security dans votre environnement Splunk. Vous pouvez également créer des vues personnalisées en fonction de vos exigences de sécurité.

Pour plus d’informations sur les avantages de l’intégration et le type de données traitées qui sont envoyées à votre SIEM, voir Intégration des informations de sécurité et de la gestion des événements.

Conditions préalables

  • Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à démarrer le processus d’intégration de Microsoft Sentinel.

  • Assurez-vous que le point de terminaison suivant figure dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud
    Brokers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Assurez-vous d’utiliser les versions de Logstash de 7.0 à 7.9 avec le plug-in de sortie Microsoft Sentinel pour Logstash.

Intégration à Microsoft Sentinel

  1. Accédez à Paramètres > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la fiche de site SIEM, sélectionnez Commencer.

    Exportation des données SIEM

  3. Sur la page Configurer l’intégration SIEM, créez un compte en spécifiant le nom d’utilisateur et un mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est nécessaire à l’intégration.

    Page de configuration SIEM

  4. Assurez-vous que le mot de passe répond aux conditions suivantes :

    Exigences de mot de passe pour SIEM

  5. Cliquez sur Configurer pour générer le fichier de configuration Logstash.

    Configurer

  6. Sélectionnez l’onglet Microsoft Sentinel pour télécharger les fichiers de configuration :

    • Fichier de configuration Logstash : contient les données de configuration (sections d’entrée, de filtre et de sortie) pour l’envoi d’événements de Citrix Analytics for Security à Microsoft Sentinel à l’aide du moteur de collecte de données Logstash.

      Pour plus d’informations sur la structure du fichier de configuration Logstash, consultez la documentation Logstash .

    • Fichier JKS : contient les certificats nécessaires à la connexion SSL.

    Remarque

    Ces fichiers contiennent des informations sensibles. Conservez-les dans un endroit sûr et sécurisé.

    Sélectionnez Microsoft Sentinel

  7. Préparez votre intégration Microsoft Sentinel :

    1. Sur votre portail Azure, activez Microsoft Sentinel. Vous pouvez créer un espace de travail ou utiliser votre espace de travail existant pour exécuter Microsoft Sentinel.

    2. Dans le menu principal, sélectionnez Connecteurs de données pour ouvrir la galerie de connecteurs de données.

    3. Recherchez Citrix Analytics (sécurité).

    4. Sélectionnez Citrix Analytics (sécurité) et sélectionnez Ouvrir la page du connecteur.

      Page du connecteur de données Sentinel

    5. Sur la page Citrix Analytics (sécurité), copiez l’ ID de l’espace de travail et la clé primaire. Vous devez entrer ces informations dans le fichier de configuration Logstash lors des étapes suivantes.

      Page de configuration du connecteur de données

    6. Configurez Logstash sur votre machine hôte :

      1. Sur votre machine hôte Linux ou Windows, installez Logstash et le plug-in de sortie Microsoft Sentinel pour Logstash.

      2. Sur la machine hôte sur laquelle vous avez installé Logstash, placez les fichiers suivants dans le répertoire spécifié :

        Type de machine hôte Nom du fichier Chemin du répertoire
        Linux CAS_AzureSentinel_LogStash_Config.config Pour les paquets Debian et RPM : /etc/logstash/conf.d/
            Pour les archives .zip et .tar.gz : {extract.path}/config
          kafka.client.truststore.jks Pour les paquets Debian et RPM : /etc/logstash/ssl/
            Pour les archives .zip et .tar.gz : {extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        Pour plus d’informations sur la structure de répertoires par défaut des packages d’installation Logstash, consultez la documentation Logstash.

      3. Ouvrez le fichier de configuration Logstash et procédez comme suit :

        1. Dans la section de saisie du fichier, saisissez ce qui suit :

          • Motde passe : mot de passe du compte que vous avez créé dans Citrix Analytics for Security pour préparer le fichier de configuration.

          • Emplacement du truststore SSL : emplacement de votre certificat client SSL. Il s’agit de l’emplacement du fichier kafka.client.truststore.jks sur votre machine hôte.

          Section d'entrée

        2. Dans la section de sortie du fichier, entrez l’ ID de l’espace de travail et la clé primaire (que vous avez copiés à partir de Microsoft Sentinel) dans la section de sortie du fichier.

          Section de sortie

      4. Redémarrez la machine hôte Logstash pour envoyer les données traitées depuis Citrix Analytics for Security vers Microsoft Sentinel.

    7. Accédez à votre espace de travail Microsoft Sentinel et affichez les données du classeur Citrix Analytics.

Activer ou désactiver la transmission des données

Une fois que Citrix Analytics for Security a préparé le fichier de configuration, la transmission des données est activée pour Microsoft Sentinel.

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Paramètres > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la carte de site SIEM, sélectionnez les points de suspension verticaux (), puis cliquez sur Désactiver la transmission de données.

    Éteindre la transmission SIEM

Pour réactiver la transmission des données, sur la carte de site SIEM, cliquez sur Activer la transmission des données.

La transmission SIEM s'allume

Intégration Microsoft Sentinel