Intégration SIEM à l’aide d’un connecteur de données basé sur Kafka ou Logstash
Remarque
Contactez CAS-PM-Ext@citrix.com pour demander de l’aide pour votre intégration SIEM, pour exporter des données vers votre SIEM ou pour fournir des commentaires.
Vous pouvez intégrer Citrix Analytics for Security à vos solutions SIEM qui prennent en charge les points de terminaison Kafka ou le moteur Logstash. Cette intégration vous permet d’exporter et de corréler les données des utilisateurs de l’environnement informatique Citrix vers votre environnement SIEM et d’obtenir des informations plus approfondies sur la situation de sécurité de votre entreprise.
Pour plus d’informations sur les avantages de l’intégration et le type de données traitées qui sont envoyées à votre SIEM, voir Intégration des informations de sécurité et de la gestion des événements.
Si votre SIEM prend en charge les points de terminaison Kafka, utilisez les paramètres fournis dans le fichier de configuration Logstash et les détails du certificat dans le fichier JKS ou le fichier PEM pour intégrer votre SIEM à Citrix Analytics for Security.
Les paramètres suivants sont nécessaires pour intégrer Kafka :
-
Nom d’utilisateur
-
Hôte
-
Nom du sujet
-
Protocole de sécurité
-
Mécanismes SASL
-
Emplacement du truststore SSL
-
Expiration de session
-
Réinitialisation automatique du décalage
Si votre SIEM ne prend pas en charge les terminaux Kafka, vous pouvez utiliser le moteur de collecte de données Logstash . Vous pouvez envoyer les données traitées depuis Citrix Analytics for Security vers l’un des plug-ins de sortie pris en charge par Logstash.
Cet article décrit les étapes à suivre pour intégrer votre SIEM à Citrix Analytics for Security à l’aide de Logstash.
Conditions préalables
-
Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à commencer l’intégration avec votre outil SIEM.
-
Assurez-vous que le point de terminaison suivant figure dans la liste d’autorisation de votre réseau.
Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud Brokers Kafka casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
Intégration à un service SIEM à l’aide de Logstash
-
Accédez à Paramètres > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.
-
Sur la fiche de site SIEM, sélectionnez Commencer.
-
Sur la page Configurer l’intégration SIEM, créez un compte en spécifiant le nom d’utilisateur et un mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est nécessaire à l’intégration.
-
Assurez-vous que le mot de passe répond aux conditions suivantes :
-
Sélectionnez Configurer pour générer le fichier de configuration Logstash.
-
Sélectionnez l’onglet Autres pour télécharger les fichiers de configuration.
-
Fichier de configuration Logstash : Ce fichier contient les données de configuration (sections d’entrée, de filtre et de sortie) pour l’envoi d’événements depuis Citrix Analytics for Security à l’aide du moteur de collecte de données Logstash. Pour plus d’informations sur la structure du fichier de configuration Logstash, consultez la documentation Logstash .
-
Fichier JKS : Ce fichier contient les certificats nécessaires à la connexion SSL. Ce fichier est nécessaire lorsque vous intégrez votre SIEM à l’aide de Logstash.
-
Fichier PEM : Ce fichier contient les certificats nécessaires à la connexion SSL. Ce fichier est nécessaire lorsque vous intégrez votre SIEM à l’aide de Kafka.
Remarque
Ces fichiers contiennent des informations sensibles. Conservez-les dans un endroit sûr et sécurisé.
-
-
Configurez Logstash :
-
Sur votre machine hôte Linux ou Windows, installez Logstash. Vous pouvez également utiliser votre instance Logstash existante.
-
Sur la machine hôte sur laquelle vous avez installé Logstash, placez les fichiers suivants dans le répertoire spécifié :
Type de machine hôte Nom du fichier Chemin du répertoire Linux CAS_Others_LogStash_Config.config Pour les paquets Debian et RPM : /etc/logstash/conf.d/
Pour les archives .zip et .tar.gz : {extract.path}/config
kafka.client.truststore.jks Pour les paquets Debian et RPM : /etc/logstash/ssl/
Pour les archives .zip et .tar.gz : {extract.path}/ssl
Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks -
Ouvrez le fichier de configuration Logstash et procédez comme suit :
Dans la section de saisie du fichier, saisissez les informations suivantes :
-
Motde passe : mot de passe du compte que vous avez créé dans Citrix Analytics for Security pour préparer le fichier de configuration.
-
Emplacement du truststore SSL : emplacement de votre certificat client SSL. Il s’agit de l’emplacement du fichier kafka.client.truststore.jks sur votre machine hôte.
Dans la section de sortie du fichier, saisissez le chemin ou les détails de destination où vous souhaitez envoyer les données. Pour plus d’informations sur les plug-ins de sortie, consultez la documentation Logstash .
L’extrait suivant indique que la sortie est écrite dans un fichier journal local.
-
-
Redémarrez votre machine hôte pour envoyer les données traitées de Citrix Analytics for Security à votre service SIEM.
-
Une fois la configuration terminée, connectez-vous à votre service SIEM et vérifiez les données Citrix Analytics dans votre SIEM.
Activer ou désactiver la transmission des données
Une fois que Citrix Analytics for Security a préparé le fichier de configuration, la transmission des données est activée pour votre SIEM.
Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :
-
Accédez à Paramètres > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.
-
Sur la carte de site SIEM, sélectionnez les points de suspension verticaux (), puis cliquez sur Désactiver la transmission de données.
Pour réactiver la transmission des données, sur la carte de site SIEM, cliquez sur Activer la transmission des données.