Azure Sentinelとの統合

Citrix Analytics では、危険なイベントについて分析されたデータをCitrix Analytics からMicrosoft Azure Sentinel環境にエクスポートできるようになりました。これにより、単一のプラットフォーム上で複数のデータソースからデータを収集、検索、分析することができます。このデータを使用して、イベントの監視、トラブルシューティング、軽減アクションの自動化を行うことができます。

Citrix Analytics は、未加工のデータをAzure Sentinelに送信しません。代わりに、処理されたデータを送信します。Azure Sentinel に送信される処理済みデータには、次のものが含まれます。

  • ユーザーリスクスコア — ユーザーの現在のリスクスコア。このデータは、12時間ごとにAzure Sentinelに送信されます。

  • リスクスコアの変更 — これは、ユーザーのリスクスコアの変更です。ユーザーのリスクスコアが任意の割合で増加するか、10% 以上低下すると、その変更は Azure Sentinel に送信されます。

  • リスク指標の概要 — 新しいリスク指標が生成されたときに、ユーザーに関連付けられたすべてのリスク指標です。

Azure Sentinel統合の利点

  • 一元化された場所でセキュリティアラートの可視性を向上。

  • リスク指標、ユーザープロファイル、リスクスコアなどの組織のリスク分析機能で潜在的なセキュリティ脅威を検出する一元化されたアプローチ。

  • Azure Sentinel内で、ユーザーアカウントのCitrix Analytics リスクインテリジェンス情報を外部データソースと結合して関連付ける機能。

前提条件

少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics がAzure Sentinel統合プロセスを開始するのに役立ちます。

Citrix Analytics とAzure Sentinelを統合する方法

Citrix Analytics とAzure Sentinelを統合するには、以下のガイドラインに従ってください。

  • データのエクスポート。Citrix Analytics はチャネルを作成し、リスクインテリジェンスをエクスポートします。Azure Sentinel は、チャネルからこのリスクインテリジェンスを取得します。

  • Citrix Analyticsの構成を取得します。Citrix Analytics を使用してアカウントを作成し、Azure Sentinel統合を認証します。Citrix Analytics はこのアカウントを使用して、統合に必要な構成ファイルを準備します。構成ファイルは、 Azure Sentinel用のCitrix Analytics アダプタを構成するために使用されます。

  • Azure SentinelのためのCitrix Analytics アダプタをダウンロードしてください. GitHubから Azure Sentinel用のCitrix Analytics アダプタ アプリケーションをダウンロードします。アダプターは、Citrix Analytics によってホストされるテナント固有の Kafka トピックからのアラートを消費する Python プログラムです。Python 2.7 以降では、任意の物理マシンまたは仮想マシン上でアダプタを実行できます。消費されたアラートは、REST API を使用して Azure Sentinelに投稿されます。

  • Azure Sentinel用のCitrix Analytics アダプタをインストールします。それがKafkaのデータを受信できるように、 Azure Sentinelアプリケーション用のCitrix Analytics アダプタ をマシンにインストールします。このアダプターには、Citrix Analytics の Azure Sentinelおよび Kafka インターフェイスに接続するためのプレースホルダ変数が含まれています。アダプタを取り付けたら、次の操作を行います。

    • カフカインターフェイスに関連するプレースホルダ変数を、Citrix Analytics が準備した構成ファイルから得られた値に置き換えます。

    • Azure Sentinel 関連のプレースホルダ変数 (Workspace ID および API キー) を、Azure アカウントのそれぞれの値に置き換えます。

Azure Sentinelでイベントを使用する方法

アダプタをインストールして構成したら、次の操作を行います。

  1. AzureポータルでAzure Sentinel Workspaceを開きます。

  2. [ 構成 ] セクションで、[ データコネクタ ] を選択します。

  3. [Citrix Analytics データコネクタ ]を選択し、[ コネクタページを開く ]を選択します。手順に従って、イベントを Azure Sentinel に接続します。

  4. [ 次のステップ ] タブを選択し、推奨されるワークブックを選択して、サンプルクエリを表示します。

  • Azure SentinelとCitrix Analytics との統合は、現在正式には提供されていません。したがって、上記の情報は変更されることがあります。

  • < CAS-PM-Ext@citrix.com >Azure Sentinel 用の Citrix Analytics アダプターへのアクセスや、Azure Sentinel へのデータのオンボーディングに関するサポートについては、にお問い合わせください。