Citrix Analytics for Security

Splunk 統合

以前は、ユーザーは、リスク指標、ユーザープロファイル、リスクスコアなど、組織のセキュリティリスク機能に関する情報を関連付けることができませんでした。したがって、ユーザーはこの情報に対して実用的な洞察を得ることができませんでした。この要件を満たすため、Citrix Analytics ではSplunk と統合できます。

Splunk の統合により、危険なイベントについて分析したデータをCitrix Analytics からSplunk 環境にエクスポートできます。単一のプラットフォーム上で複数のデータソースからデータを検索、収集、分析できます。このデータを使用して、イベントをトラブルシューティングおよび監視できます。

Citrix Analytics は、生データをSplunk に送信しません。代わりに、処理されたデータを送信します。Splunk に送信される処理済みデータには以下が含まれます。

  • リスクスコアの変更 — これは、ユーザーのリスクスコアの変更です。ユーザーのリスクスコアが任意の割合で増加したり、10% 以上低下したりすると、その変更は Splunk に送信されます。

  • リスク指標の概要 — 新しいリスク指標が生成されたときに、ユーザーに関連付けられたすべてのリスク指標です。

  • ユーザーリスクスコア — ユーザーの現在のリスクスコア。このデータは12時間ごとにSplunk に送信されます。

  • ユーザーアプリ — ユーザーが起動して使用したアプリケーション。Citrix Analytics はこのデータをCitrix Virtual Apps から取得し、12時間ごとにSplunk に送信します。

  • ユーザーデバイス — ユーザーが関連付けられているデバイス。Citrix Analytics は、Citrix Virtual Apps およびCitrix Endpoint Management からこのデータを取得し、12時間ごとにSplunk に送信します。

  • ユーザーの場所 — ユーザーが最後に検出された都市。Citrix Analytics は、Citrix Content Collaboration からこのデータを取得し、12時間ごとにSplunk に送信します。

  • データ使用量— Citrix Content Collaboration を通じてユーザーがアップロードおよびダウンロードするデータ。このデータは12時間ごとにSplunk に送信されます。

Splunk 統合のメリット

  • 一元化された場所でセキュリティアラートの可視性を向上

  • リスク指標、ユーザープロファイル、リスクスコアなどの組織のリスク分析機能で潜在的なセキュリティ脅威を検出する一元化されたアプローチ。

  • Splunk 内で、ユーザーアカウントのCitrix Analytics リスクインテリジェンス情報を外部データソースと結合して関連付ける機能。

前提条件

少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Splunk の統合プロセスを開始するためにCitrix Analytics に役立ちます。

Citrix Analytics とSplunk を統合する方法

Citrix Analytics とSplunk を統合するには、以下のガイドラインに従ってください。

Citrix Analytics 構成ファイルが準備されたら、以下を参照してください。

Splunk 用のCitrix Analytics アドオンを構成したら、以下を参照してください。

データのエクスポート

  1. [設定] > [データソース] > [セキュリティ] > [データエクスポート] に移動します。

  2. Splunk サイトカードで、[は じめに ] を選択します。Splunk 統合の設定 ページにリダイレクトされます。

    データのエクスポート

  3. [ Splunk インテグレーションの設定 ] ページで、[ Citrix Analytics での構成] セクションに移動します。

Citrix Analytics での構成の取得

  1. [ パスワード] フィールドと [パスワードの **確認 ] フィールドを更新して、事前定義されたアカウントのパスワードを作成します。**

    Citrix Analytics 構成

    表示されるパスワードの規則に従います。

    Citrix Analytics 構成

  2. [環境設定] をクリックします。Citrix Analytics、Splunk 統合に必要な構成ファイルの準備を開始します。ファイルが準備されると、通知を受け取ります。ユーザー名、ホスト、トピック名、グループ名などの詳細は、「 構成詳細 」セクションを参照してください。

    Citrix Analytics 構成

Splunk 用のCitrix Analytics アドオンをダウンロード

  1. Splunk 用のCitrix Analytics アドオンダウンロードページに移動します(ログオンが必要です)。

  2. [ ファイルのダウンロード]をクリックします。

    Citrix Analytics 構成

  3. [ 使用許諾契約書 ] 画面で、利用規約を読み、[ はい、同意 します] を選択します。ダウンロードプロセスが開始されます。

    Citrix Analytics 構成

  4. ダウンロード契約 画面で、利用規約をお読みください。確認するには、 上記の輸出管理法に準拠していることを読み、証明する チェックボックスを選択します。

  5. [ 受け入れ] をクリックします。

    Citrix Analytics 構成

Splunk 用のCitrix Analytics アドオンをインストールする

  1. Splunk フォワーダーまたは Splunk スタンドアロン環境にログオンします。

    Splunk インストール

  2. [ アプリ]に移動します。

    Splunk インストール

  3. [ アプリ] の横に表示される [ **アプリの 管理** ] アイコンをクリックします。

    Splunk インストール

  4. [ アプリ ] ページで、[ ファイルからアプリをインストール ] をクリックします。

    Splunk インストール

  5. [ アプリのアップロード ] セクションで、 TA_CTXS_AS.tar.gz アプリを選択します。 アプリのアップグレードがある場合は、[ アプリのアップグレード] をクリックします。 これをチェックすると、既に存在する場合はアプリが上書きされます。

    Splunk インストール

  6. [アップロード]をクリックします。アドオンがインストールされていることを示す通知メッセージが [ アプリ ] ページに表示されます。Splunk 用Citrix Analyticsアドオン アプリがアプリリストに表示されます。

    Splunk インストール

Splunk 用のCitrix Analytics アドオンを構成する

Citrix Analytics が提供する構成の詳細を使用して、Splunk 用のCitrix Analytics アドオンを構成します。アドオンが正常に構成されると、Splunk はCitrix Analytics からのイベントの消費を開始します。

  1. Splunk のホームページで、[ 設定] > [データ入力 ] の順に選択します。

    Splunk 構成

  2. ローカル入力 ]セクションで [Citrix Analytics アドオン] をクリックします。

    Splunk 構成

  3. [新規作成] をクリックします。

    Splunk 構成

  4. データの追加 ]ページで、Citrix Analytics 構成ファイルに指定されている詳細情報を入力します。

    Splunk 構成

  5. 既定の設定をカスタマイズするには、[ その他の設定 ] をクリックし、データ入力を設定します。独自の Splunk インデックス、ホスト名、ソースタイプを定義できます。

    Splunk 構成

  6. [次へ] をクリックします。Citrix Analytics データ入力が作成され、Splunk 用のCitrix Analytics アドオンが正常に構成されます。

Citrix Analytics 構成パスワードのリセット

Citrix Analytics で設定パスワードをリセットするには、以下の手順を実行します。

  1. Citrix Analytics での構成 ]ページで、[ パスワードのリセット] をクリックします。

    パスワードをリセット

  2. [ パスワードのリセット] ウィンドウで、[ **新しいパスワード** ] フィールドと [ 新しいパスワードの確認 ] フィールドで更新されたパスワードを指定します。表示されるパスワードの規則に従います。

    Citrix Analytics 構成

  3. [ リセット] をクリックします。設定ファイルの準備が開始されます。

    パスワードをリセット

注:

設定パスワードをリセットしたら、Splunk 環境の [Add Data]ページでデータ入力を設定するときに、必ず新しいパスワードを更新してください。これは、Citrix Analytics がSplunk にデータを送信し続けるのに役立ちます。

データ伝送をオンまたはオフにする

Citrix Analytics 構成ファイルが準備されると、Splunk のデータ転送が有効になります。Citrix Analytics はリスク インテリジェンス情報をSplunk に送信できます。

Citrix Analytics からのデータの送信を停止するには:

  1. 設定 」>「 データソース 」>「 セキュリティ 」>「 データエクスポート」の順に選択します。

  2. Splunk サイトカードで、縦の省略記号 (「」) を選択し、[ データ送信をオフにする ] をクリックします。

    データ送信

  3. 確認するには、[ データ送信をオフにする] をクリックします。

    データ送信

Splunk でイベントを使用する方法

アドオンを構成すると、Splunk は Citrix Analytics からリスクインテリジェンスの取得を開始します。設定済みのデータ入力に基づいて Splunk 検索ヘッドから組織のイベントを検索することができます。

検索結果は次の形式で表示されます。

Splunk イベントの消費

出力例を次に示します。

Splunk イベントの消費

アドオンの問題を検索してデバッグするには、次の検索クエリを使用します。

Splunk イベントの消費

結果は次の形式で表示されます。

Splunk イベントの消費

サポートされるバージョン

Citrix Analytics は、 Ubuntu 18.04.1Red Hat エンタープライズ Linux サーバー 7.x、Debian GNU/Linux9、CentOS Linux7.x、およびSUSE Linuxエンタープライズサーバー12オペレーティングシステムでのSplunk unkの統合をサポートしています。

Splunk の統合は、次の Splunk バージョンで設定できます。

  • Splunk 8.0 64 ビット
  • Splunk 7.3 64 ビット
  • Splunk 7.2 64-bit
  • Splunk 7.1 64-bit
  • Splunk 7.0 64-bit
  • Splunk 6.6 64-bit
  • Splunk 6.5 64-bit

Splunk 統合