セキュリティ情報およびイベント管理 (SIEM) 連携
注
SIEM 連携、SIEM へのデータのエクスポート、およびフィードバックに関するサポートをリクエストするには、CAS-PM-Ext@cloud.com までお問い合わせください。
Citrix Analytics for Security™ を SIEM サービスと連携させ、Citrix IT 環境からユーザーデータを SIEM にエクスポートします。エクスポートされたデータを SIEM で利用可能なデータと関連付けることで、組織のセキュリティ体制に関するより深い洞察を得ることができます。
この連携により、Citrix Analytics for Security と SIEM の両方の価値が向上します。
利点
-
セキュリティ運用チームが、異なるログからのデータを関連付け、分析し、検索できるようになります。
-
セキュリティ運用チームがセキュリティリスクを特定し、迅速に修復するのに役立ちます。
-
セキュリティアラートを一元的に可視化します。
-
リスクインジケーター、ユーザープロファイル、リスクスコアなどの組織のリスク分析機能のために、潜在的なセキュリティ脅威を検出する一元的なアプローチです。
-
ユーザーアカウントの Citrix Analytics リスクインテリジェンス情報を、SIEM 内で接続されている外部データソースと組み合わせて関連付けることができます。
SIEM 連携アーキテクチャ
SIEM 連携は、Citrix Analytics for Security クラウドに展開されているノースバウンド Kafka と接続します。これは次の 2 つの方法で実現できます。
-
Kafka エンドポイント: SIEM が Kafka エンドポイントをサポートしている場合は、Logstash 設定ファイルで提供されているパラメータと、JKS ファイルまたは PEM ファイルの証明書詳細を使用して、SIEM を Citrix Analytics for Security と連携させます。Kafka エンドポイントを使用すると、選択した SIEM に接続してデータをプルできます。
-
Logstash エンジン: SIEM が Kafka エンドポイントをサポートしていない場合は、Logstash データ収集エンジンを使用できます。Citrix Analytics for Security からリスクインサイトデータを、Logstash がサポートする 出力プラグイン のいずれかに送信できます。
Citrix Analytics for Security から SIEM サービスへのデータの流れを理解するには、次の SIEM ソリューションアーキテクチャ図を参照してください。
データ転送の有効化または無効化
Citrix Analytics for Security からのデータ転送を停止するには:
-
[設定] > [データのエクスポート] に移動します。
-
トグルボタンをオフにして、データ転送を無効にします。
注
デフォルトでは、SIEM のデータ転送は常にオン/有効になっています。
データ転送を再度有効にするには、トグルボタンをオンにします。
SIEM 環境のセットアップ
SIEM にデータをエクスポートするには、次のアクションを実行する必要があります。
- Kafka アカウントと認証資格情報をセットアップします。
- 事前入力された構成をダウンロードし、SIEM 環境をセットアップします。
- エクスポートするデータイベント
SIEM エクスポートアカウントのセットアップ
-
アカウントをセットアップするには、[設定] > [データのエクスポート] > [アカウントのセットアップ] の順に展開して移動します。ユーザー名とパスワードを指定してアカウントを作成します。アカウントをセットアップすると、Kafka の詳細が生成されます。これらの詳細は、構成ファイルの生成時に自動的に埋め込まれます。
-
[構成] をクリックして構成ファイルを生成します。構成ファイルには、Kafka エンドポイント、特定のサブスクリプショントピック、グループ ID などの詳細が含まれています。また、認証とデータフローを完了するために必要な Kafka および SSL 属性も事前構成されます。
SIEM の構成と環境のセットアップ
必要に応じて SIEM 環境を選択します。Citrix Analytics for Security を次のサービスと連携させることができます。詳細情報と SIEM 固有の構成については、次のリンクを参照してください。
Citrix Analytics for Security から SIEM サービスにエクスポートされるデータイベント
SIEM エクスポートの一部として、2 種類のデータセットがあります。
-
リスクインサイトイベント (デフォルトのエクスポート) – アカウントの構成と SIEM のセットアップが完了すると、デフォルトデータ (リスクインサイトイベント) が SIEM 展開に流れ始めます。リスクインサイトデータには、ユーザーリスクスコア、ユーザープロファイル、リスクインジケーターアラートが含まれます。これらは、Citrix Analytics の機械学習アルゴリズム、ユーザー行動分析、およびユーザーイベントに基づいて生成されます。利用可能なイベントタイプ、メタデータ、およびスキーマについては、「SIEM のリスクインサイトデータ」を参照してください。
-
データソースイベント (オプションのエクスポート) - さらに、データエクスポート機能を構成して、Citrix Analytics for Security が有効な製品のデータソースからユーザーイベントをエクスポートできます。Citrix 環境でアクティビティを実行すると、データソースイベントが生成されます。エクスポートされたイベントは、セルフサービスビューで利用可能な未処理のリアルタイムユーザーおよび製品使用状況データです。これらのイベントに含まれるメタデータは、より深い脅威分析、新しいダッシュボードの作成、およびセキュリティおよび IT インフラ全体での他の非 Citrix データソースイベントとの関連付けにさらに使用できます。
現在、Citrix Analytics for Security は、Citrix Virtual Apps and Desktops™、Secure Private Access、および Device Posture サービスというデータソースのユーザーイベントを SIEM に送信します。
利用可能なイベントタイプ、メタデータ、およびスキーマについては、「データソースイベント」を参照してください。
注
Logstash データブローカーを使用しているお客様は、Citrix Analytics for Security ポータルから最新の構成ファイルをダウンロードし、Logstash サービス展開で更新することをお勧めします。これにより、正しいデータソースイベントテーブルが作成され、イベントが SIEM インデックスで利用可能になります。
SIEM 連携のトラブルシューティング
[セキュリティのデータエクスポート] ビューには、管理者が Citrix Analytics との SIEM 連携をトラブルシューティングするのに役立つ [概要] タブが含まれています。[概要] ダッシュボードは、トラブルシューティングプロセスを支援するチェックポイントを通じて、データの健全性とフローを可視化します。
この機能の詳細については、「データエクスポートのトラブルシューティング」を参照してください。