セキュリティ情報およびイベント管理 (SIEM) の統合
注
< CAS-PM-Ext@cloud.com >SIEM 統合、SIEM へのデータのエクスポート、フィードバックの提供に関するサポートをリクエストするには、お問い合わせください。
Citrix Analytics for SecurityをSIEMサービスと統合し、ユーザーのデータをCitrix IT環境からSIEMにエクスポートします。エクスポートしたデータを SIEM で使用可能なデータに関連付けて、組織のセキュリティ体制についてより深い洞察を得ることができます。
この統合により、Citrix Analytics for Security と SIEM の両方の価値が高まります。
メリット
-
セキュリティ運用チームは、異なるログのデータを相互に関連付け、分析、検索できます。
-
セキュリティ運用チームがセキュリティリスクを特定し、迅速に修正できるよう支援します。
-
セキュリティアラートを一元的に可視化。
-
リスク指標、ユーザープロファイル、リスクスコアなどの組織のリスク分析機能のための潜在的なセキュリティ脅威を検出する一元的なアプローチ。
-
ユーザーアカウントのCitrix Analytics リスクインテリジェンス情報を、SIEM内で接続された外部データソースと結合して相関させる機能。
SIEM 統合アーキテクチャ
SIEMインテグレーションは、Citrix Analytics for SecurityクラウドにデプロイされたノースバウンドのKafkaに接続します。これは次の 2 つの方法で実現できます。
-
Kafkaエンドポイント:SIEMがKafkaエンドポイントをサポートしている場合は、Logstash構成ファイルで提供されるパラメーターと、JKSファイルまたはPEMファイルの証明書の詳細を使用して、SIEMをCitrix Analytics for Securityと統合します。Kafkaエンドポイントを使用すると、選択したSIEMにデータを接続してプルできます。
-
Logstash エンジン:お使いの SIEM が Kafka エンドポイントをサポートしていない場合は、Logstash データ収集エンジンを使用できます。Citrix Analytics for Securityからのリスクインサイトデータを、 Logstashがサポートする出力プラグインのいずれかに送信できます 。
Citrix Analytics for SecurityからSIEMサービスにデータがどのように流れるかを理解するには、次のSIEMソリューションのアーキテクチャ図を参照してください。
データ伝送をオンまたはオフにする
セキュリティ向けCitrix Analytics からのデータの送信を停止するには:
-
[設定] > [データエクスポート]に移動します。
-
トグルボタンをオフにしてデータ転送を無効にします。
注: デフォルトでは、SIEM のデータ転送は常にオン/有効になっています。
データ転送を再度有効にするには、トグルボタンをオンにします。
SIEM 環境のセットアップ
データを SIEM にエクスポートするには、次のアクションを実行する必要があります。
- Kafka アカウントと認証情報を設定する
- 事前に入力された設定をダウンロードし、SIEM 環境をセットアップします
- エクスポート用のデータイベント
SIEM エクスポートアカウントの設定
-
アカウントを設定するには、[ 設定] > [データエクスポート] に移動し、[アカウント設定] を展開します。ユーザー名とパスワードを指定してアカウントを作成します。アカウントを設定すると、Kafka の詳細が生成されます。これらの詳細は、構成ファイルの生成時に自動的に埋め込まれます。
-
「 構成 」をクリックして構成ファイルを生成します。設定ファイルには、Kafka エンドポイント、特定のサブスクリプショントピック、グループ ID などの詳細が含まれています。また、認証とデータフローを完了するために必要なKafka属性とSSL属性が事前に設定されています。
SIEM の構成と環境のセットアップ
必要に応じて SIEM 環境を選択します。Citrix Analytics for Securityを次のサービスと統合できます。詳細情報と SIEM 固有の設定については、次のリンクを参照してください。
Citrix Analytics for SecurityからSIEMサービスにエクスポートされたデータイベント
SIEM エクスポートの一部として、次の 2 種類のデータセットがあります。
-
リスクインサイトイベント (デフォルトエクスポート) — アカウント設定と SIEM 設定が完了すると、デフォルトデータ (リスクインサイトイベント) が SIEM デプロイメントに流れ始めます。リスクインサイトデータには、ユーザーリスクスコア、ユーザープロファイル、およびリスク指標アラートが含まれます。これらは、Citrix Analyticsの機械学習アルゴリズム、ユーザー行動分析によって生成され、ユーザーイベントに基づいて生成されます。利用可能なイベントタイプ、メタデータ、スキーマについては、「 SIEMのリスクインサイトデータ」を参照してください。
-
データソースイベント(オプションのエクスポート) -さらに、Citrix Analytics for Security対応製品のデータソースからユーザーイベントをエクスポートするようにデータエクスポート機能を構成できます。Citrix 環境で何らかのアクティビティを実行すると、データソースイベントが生成されます。エクスポートされたイベントは、セルフサービスビューで利用できる未処理のリアルタイムのユーザーおよび製品使用データです。これらのイベントに含まれるメタデータは、さらに詳細な脅威分析や新しいダッシュボードの作成に使用したり、セキュリティやITインフラストラクチャ全体でCitrix以外のデータソースイベントと連携させたりすることができます。
現在、Citrix Analytics for Securityは、CitrixVirtual Apps and Desktops データソースのユーザーイベントをSIEMに送信しています。
利用可能なイベントタイプ、メタデータ、スキーマについては、「 データソースイベント」を参照してください。
注
Logstashデータブローカーを使用しているお客様は、 最新の構成ファイルをCitrix Analytics for Securityポータルからダウンロードし 、Logstashサービスの展開時に更新することをお勧めします。これにより、正しいデータソースイベントテーブルが作成され、イベントが SIEM インデックスで使用できるようになります。
SIEM 統合のトラブルシューティング
セキュリティ用データエクスポートビューには、管理者がSIEMとCitrix Analytics統合のトラブルシューティングに役立つサマリータブが含まれています 。 概要ダッシュボードでは 、トラブルシューティングプロセスに役立つチェックポイントを通すことで、データの状態とフローを可視化できます。
この機能の詳細については、「 データエクスポートのトラブルシューティング」を参照してください。