Citrix Analytics for Security

Intégration de Splunk

Remarque

Contactez CAS-PM-Ext@citrix.com pour demander de l’aide concernant l’intégration de Splunk, l’exportation de données vers Splunk ou pour faire part de vos commentaires.

Intégrez Citrix Analytics for Security à Splunk pour exporter et corréler les données des utilisateurs de votre environnement informatique Citrix vers Splunk et obtenir des informations plus approfondies sur la position de sécurité de votre entreprise.

Pour plus d’informations sur les avantages de l’intégration et le type de données traitées qui sont envoyées à votre SIEM, voir Intégration des informations de sécurité et de la gestion des événements.

Versions prises en charge

Citrix Analytics for Security prend en charge l’intégration de Splunk sur les systèmes d’exploitation suivants :

  • CentOS Linux 7 et versions ultérieures
  • Debian GNU/Linux 10.0 et versions ultérieures
  • Red Hat Enterprise Linux Server 7.0 et versions ultérieures
  • Ubuntu 18.04 LTS et versions ultérieures

IMPORTANT

  • Citrix recommande d’utiliser la dernière version des systèmes d’exploitation précédents ou les versions qui sont toujours prises en charge par les fournisseurs respectifs.

  • Pour les systèmes d’exploitation du noyau Linux (64 bits), utilisez une version du noyau prise en charge par Splunk. Pour plus d’informations, consultez la documentation de Splunk.

Vous pouvez configurer l’intégration de Splunk sur les versions Splunk suivantes :

  • Gestionnaire de données d’entrées Splunk Cloud (IDM)

  • Splunk 8.1 (64 bits) et versions ultérieures

Conditions préalables

  • Le module complémentaire Citrix Analytics pour Splunk se connecte aux points de terminaison suivants sur Citrix Analytics for Security. Assurez-vous que les points de terminaison figurent dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud
    Brokers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à démarrer le processus d’intégration de Splunk.

Intégrez Citrix Analytics pour la sécurité à Splunk

Suivez les instructions mentionnées pour intégrer Citrix Analytics for Security à Splunk :

Une fois le fichier de configuration de Citrix Analytics préparé, consultez :

Une fois que le module complémentaire Citrix Analytics pour Splunk est configuré, consultez :

Exportation de données

  1. Accédez à Réglages > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la fiche de site SIEM, sélectionnez Commencer.

    Exportation des données SIEM

Obtenir la configuration sur Citrix Analytics for Security

  1. Dans la section Configuration sur Citrix Analytics, créez un compte en spécifiant le nom d’utilisateur et un mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est nécessaire à l’intégration.

    Section Configurer

  2. Assurez-vous que le mot de passe répond aux conditions suivantes :

    Exigences de mot de passe pour SIEM

  3. Sélectionnez Configurer.

    Citrix Analytics for Security prépare les détails de configuration nécessaires à l’intégration de Splunk.

    Configurer le SIEM

  4. Sélectionnez Splunk.

  5. Copiez les détails de configuration, qui incluent le nom d’utilisateur, les hôtes, le nom de la rubrique Kafka et le nom du groupe.

    Vous avez besoin de ces informations pour configurer le module complémentaire Citrix Analytics pour Splunk dans les étapes suivantes.

    IMPORTANT

    Ces informations sont sensibles et vous devez les stocker dans un endroit sécurisé.

    Détails de la configuration

Téléchargez et installez le module complémentaire Citrix Analytics pour Splunk

  1. Connectez-vous à votre environnement Splunk Forwarder ou Splunk Standalone.

  2. Installez le module complémentaire Citrix Analytics pour Splunk soit en le téléchargeant depuis Splunkbase, soit en l’installant depuis Splunk.

Installer l’application depuis un fichier

  1. Allez sur Splunkbase.

  2. Téléchargez le fichier du module complémentaire Citrix Analytics pour Splunk.

  3. Sur la page d’accueil de Splunk Web, cliquez sur l’icône en forme de roue dentée en regard de Applications.

  4. Cliquez sur Installer l’application depuis un fichier.

  5. Recherchez le fichier téléchargé et cliquez sur Charger.

    Remarques

    • Si vous disposez d’une ancienne version du module complémentaire, sélectionnez Mettre à niveau l’application pour la remplacer.

    • Si vous mettez à niveau le module complémentaire Citrix Analytics pour Splunk à partir d’une version antérieure à 2.0.0, vous devez supprimer les fichiers et dossiers suivants situés dans le dossier /bin du dossier d’installation du module complémentaire et redémarrer votre environnement Splunk Forwarder ou Splunk Standalone :

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Vérifiez que l’application apparaît dans la liste des applications .

Installez l’application depuis Splunk

  1. Sur la page d’accueil de Splunk Web, cliquez sur+Trouver d’autres applications.

  2. Sur la page Parcourir d’autres applications, recherchez Splunk dans le module complémentaire Citrix Analytics.

  3. Cliquez sur Installer en regard de l’application.

  4. Vérifiez que l’application apparaît dans la liste des applications .

Configurer le module complémentaire Citrix Analytics pour Splunk

Configurez le module complémentaire Citrix Analytics pour Splunk à l’aide des détails de configuration fournis par Citrix Analytics for Security. Une fois le module complémentaire configuré, Splunk commence à consommer les événements de Citrix Analytics for Security.

  1. Sur la page d’accueil de Splunk, accédez à Paramètres > Entrées de données.

    Configuration Splunk

  2. Dans la section Entrées locales, cliquez sur Citrix Analytics Add-on.

    Configuration Splunk

  3. Cliquez sur New.

    Configuration Splunk

  4. Sur la page Ajouter des données, entrez les détails fournis dans le fichier de configuration de Citrix Analytics.

    Configuration Splunk

  5. Pour personnaliser vos paramètres par défaut, cliquez sur Plus de paramètres et configurez la saisie des données. Vous pouvez définir votre propre index Splunk, votre nom d’hôte et votre type de source.

    Configuration Splunk

  6. Cliquez sur Suivant. Votre entrée de données Citrix Analytics est créée et le module complémentaire Citrix Analytics pour Splunk est correctement configuré.

Réinitialiser le mot de passe de configuration de Citrix Analytics

Si vous souhaitez réinitialiser votre mot de passe de configuration sur Citrix Analytics for Security, procédez comme suit :

  1. Dans la page Configuration sur Citrix Analytics, cliquez sur Réinitialiser le mot de passe.

    Mot de passe de réinitialisation de SIEM

  2. Dans la fenêtre de réinitialisation du mot de passe, spécifiez le mot de passe mis à jour dans les champs NOUVEAU MOT DE PASSE et CONFIRMER LE NOUVEAU MOT Suivez les règles de mot de passe qui s’affichent.

    Exigences de mot de passe pour SIEM

  3. Cliquez sur Réinitialiser. La préparation du fichier de configuration est lancée.

    Mot de passe de réinitialisation de SIEM

Remarque

Après avoir réinitialisé le mot de passe de configuration, veillez à mettre à jour le nouveau mot de passe lorsque vous configurez l’entrée de données sur la page Ajouter des donnéesde votre environnement Splunk. Il permet à Citrix Analytics for Security de continuer à transmettre des données vers Splunk.

Comment consommer des événements dans Splunk

Après avoir configuré le module complémentaire, Splunk commence à récupérer des renseignements sur les risques à partir de Citrix Analytics for Security. Vous pouvez commencer à rechercher les événements de votre organisation dans la tête de recherche Splunk en fonction de l’entrée de données configurée.

Les résultats de la recherche sont affichés dans le format suivant :

Consommation d'événements Splunk

Un exemple de sortie :

Consommation d'événements Splunk

Pour rechercher et déboguer les problèmes liés au module complémentaire, utilisez la requête de recherche suivante :

Consommation d'événements Splunk

Les résultats sont affichés dans le format suivant :

Consommation d'événements Splunk

Pour plus d’informations sur le format des données, consultez la section Format de données Citrix Analytics pour SIEM.

Application Citrix Analytics pour Splunk

Remarque

Cette application est en avant-première.

L’application Citrix Analytics pour Splunk permet aux administrateurs de Splunk Enterprise d’afficher les données utilisateur collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents et exploitables sur Splunk. À l’aide de ces tableaux de bord, vous obtenez une vue détaillée du comportement à risque des utilisateurs au sein de votre organisation et prenez des mesures opportunes pour atténuer les menaces internes. Vous pouvez également mettre en corrélation les données collectées à partir de Citrix Analytics for Security avec d’autres sources de données configurées sur votre Splunk. Cette corrélation vous offre une visibilité sur les activités risquées des utilisateurs à partir de sources multiples et prend des mesures pour protéger votre environnement informatique.

Version Splunk prise en charge

L’application Citrix Analytics pour Splunk s’exécute sur les versions Splunk suivantes :

  • Splunk 8.2 64 bits

  • Splunk 8.1 64 bits

  • Splunk 8.0 64 bits

  • Splunk 7.3 64 bits

Conditions préalables à l’application Citrix Analytics pour Splunk

  • Installez le module complémentaire Citrix Analytics pour Splunk.

  • Assurez-vous que les conditions préalables mentionnées pour le module complémentaire Citrix Analytics pour Splunk sont déjà remplies.

  • Assurez-vous que les données sont transférées de Citrix Analytics for Security vers Splunk.

Installation et configuration

Où installer l’application ?

Tête de recherche Splunk

Comment installer et configurer l’application ?

Vous pouvez installer l’application Citrix Analytics pour Splunk en la téléchargeant depuis Spunkbase ou en l’installant depuis Splunk.

Installer l’application depuis un fichier
  1. Allez sur Splunkbase.

  2. Téléchargez le fichier de l’application Citrix Analytics pour Splunk.

  3. Sur la page d’accueil de Splunk Web, cliquez sur l’icône en forme de roue dentée en regard de Applications.

  4. Cliquez sur Installer l’application depuis un fichier.

  5. Recherchez le fichier téléchargé et cliquez sur Charger.

    Remarque

    Si vous disposez d’une ancienne version de l’application, sélectionnez Mettre à niveau l’application pour la remplacer.

  6. Vérifiez que l’application apparaît dans la liste des applications .

Installez l’application depuis Splunk
  1. Sur la page d’accueil de Splunk Web, cliquez sur+Trouver d’autres applications.

  2. Sur la page Parcourir plus d’applications, recherchez Splunk dans l’application Citrix Analytics.

  3. Cliquez sur Installer en regard de l’application.

Configurez votre index et votre type de source pour corréler les données
  1. Après avoir installé l’application, cliquez sur Configurer maintenant.

    Configurer l'application

  2. Entrez les requêtes suivantes :

    • Index et type de source dans lesquels les données de Citrix Analytics for Security sont stockées.

      Remarque

      Ces valeurs de requête doivent être identiques à celles spécifiées dans le module complémentaire Citrix Analytics pour Splunk. Pour plus d’informations, consultez la section Configurer le module complémentaire Citrix Analytics pour Splunk.

    • Index à partir duquel vous souhaitez mettre en corrélation vos données avec Citrix Analytics for Security.

      Source et index

  3. Cliquez sur Terminer la configuration de l’application pour terminer la configuration.

Après avoir configuré et configuré l’application Citrix Analytics pour Splunk, utilisez les tableaux de bord Citrix Analytics pour afficher les événements utilisateur sur votre Splunk.

Activer ou désactiver la transmission des données

Une fois que Citrix Analytics for Security a préparé le fichier de configuration, la transmission des données est activée pour Splunk.

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Paramètres > Sources de données > Sécurité > EXPORTATIONS DE DONNÉES.

  2. Sur la carte de site SIEM, sélectionnez les points de suspension verticaux (), puis cliquez sur Désactiver la transmission de données.

    Éteindre la transmission SIEM

Pour réactiver la transmission des données, sur la carte de site SIEM, cliquez sur Activer la transmission des données.

La transmission SIEM s'allume

Dépannage du module complémentaire Citrix Analytics pour Splunk

Si vous ne voyez aucune donnée dans vos tableaux de bord Splunk ou si vous rencontrez des problèmes lors de la configuration du module complémentaire Citrix Analytics pour Splunk, suivez les étapes de débogage pour résoudre le problème. Pour plus d’informations, consultez Problèmes de configuration liés au module complémentaire Citrix Analytics pour Splunk.

Intégration de Splunk