Documentation produit
Citrix Analytics for Security™
Voir PDF

Intégration d’Elasticsearch

September 16, 2025
Contributeur: 
C C

Remarque

Contactez CAS-PM-Ext@cloud.com pour demander de l’aide concernant l’intégration d’Elasticsearch, l’exportation de données vers Elasticsearch ou pour fournir des commentaires.

Intégrez Citrix Analytics for Security à Elasticsearch à l’aide du moteur Logstash. Cette intégration vous permet d’exporter et de corréler les données des utilisateurs de votre environnement informatique Citrix vers Elasticsearch et d’obtenir des informations plus approfondies sur la posture de sécurité de votre organisation. Vous pouvez également utiliser Elasticsearch avec les services de visualisation et les SIEM tels que Kibana et LogRhythm respectivement.

Pour plus d’informations sur les avantages de l’intégration et le type de données traitées envoyées à votre SIEM, consultez Intégration de la gestion des informations et des événements de sécurité.

Conditions préalables

  1. Activez le traitement des données pour au moins une source de données. Cela aide Citrix Analytics for Security™ à démarrer le processus d’intégration d’Elasticsearch.

  2. Assurez-vous que le point de terminaison suivant figure dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud
    Courtiers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Intégrer à Elasticsearch

  1. Accédez à Paramètres > Exportations de données.

  2. Dans la section Configuration du compte, créez un compte en spécifiant le nom d’utilisateur et un mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est requis pour l’intégration.

    Exportation des données SIEM

  3. Assurez-vous que le mot de passe respecte les conditions suivantes :

    Exigences de mot de passe SIEM

  4. Cliquez sur Configurer pour générer le fichier de configuration Logstash.

    Configurer Elasticsearch

  5. Sélectionnez l’onglet Elastic Search dans la section Environnement SIEM pour télécharger les fichiers de configuration :

    • Fichier de configuration Logstash : contient les données de configuration (sections d’entrée, de filtre et de sortie) pour l’envoi d’événements de Citrix Analytics for Security vers Elasticsearch à l’aide du moteur de collecte de données Logstash. Pour plus d’informations sur la structure du fichier de configuration Logstash, consultez la documentation Logstash.

    • Fichier JKS : contient les certificats requis pour la connexion SSL.

      Remarque

      Ces fichiers contiennent des informations sensibles. Conservez-les dans un endroit sûr et sécurisé.

      Sélectionner Elasticsearch

  6. Configurez Logstash :

    1. Sur votre machine hôte Linux ou Windows, installez Logstash. Vous pouvez également utiliser votre instance Logstash existante.

    2. Sur la machine hôte où vous avez installé Logstash, placez les fichiers suivants dans le répertoire spécifié :

      Type de machine hôte Nom du fichier Chemin du répertoire
      Linux CAS_Elasticsearch_LogStash_Config.config Pour les packages Debian et RPM : /etc/logstash/conf.d/
          Pour les archives .zip et .tar.gz : {extract.path}/config
        kafka.client.truststore.jks Pour les packages Debian et RPM : /etc/logstash/ssl/
          Pour les archives .zip et .tar.gz : {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Pour plus d’informations sur la structure de répertoire par défaut des packages d’installation Logstash, consultez la documentation Logstash.

    3. Ouvrez le fichier de configuration Logstash et effectuez les opérations suivantes :

      1. Dans la section d’entrée du fichier, saisissez les informations suivantes :

        • Mot de passe : le mot de passe du compte que vous avez créé dans Citrix Analytics for Security pour préparer le fichier de configuration.

        • Emplacement du magasin de confiance SSL : l’emplacement de votre certificat client SSL. Il s’agit de l’emplacement du fichier kafka.client.truststore.jks sur votre machine hôte.

        Section d'entrée Elasticsearch

      2. Dans la section de sortie du fichier, saisissez l’adresse de votre machine hôte ou du cluster où Elasticsearch est en cours d’exécution.

        Section de sortie Elasticsearch

    4. Redémarrez votre machine hôte pour envoyer les données traitées de Citrix Analytics for Security vers Elasticsearch.

Une fois la configuration terminée, vérifiez que vous pouvez afficher les données Citrix Analytics dans votre Elasticsearch.

Activer ou désactiver la transmission de données

Une fois que Citrix Analytics for Security a préparé le fichier de configuration, la transmission de données est activée pour Elasticsearch.

Pour arrêter la transmission de données depuis Citrix Analytics for Security :

  1. Accédez à Paramètres > Exportations de données.

  2. Désactivez le bouton bascule pour désactiver la transmission de données. Par défaut, la transmission de données est toujours activée.

    Désactiver la transmission SIEM

    Une fenêtre d’avertissement apparaît pour votre confirmation. Cliquez sur le bouton Désactiver la transmission de données pour arrêter l’activité de transmission.

    Avertissement de désactivation de la transmission SIEM

Pour réactiver la transmission de données, activez le bouton bascule.

Intégration d’Elasticsearch
September 16, 2025
Contributeur: 
C C
September 16, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.