製品ドキュメント
Citrix Analytics for Security
PDFを表示

セキュリティ情報およびイベント管理 (SIEM) の統合

October 14, 2024
寄稿者: 
C C

(注)

接触 CAS-PM-Ext@cloud.com SIEM 統合、SIEM へのデータのエクスポート、フィードバックの提供に関するサポートをリクエストします。

Citrix Analytics for SecurityをSIEMサービスと統合し、ユーザーのデータをCitrix IT環境からSIEMにエクスポートします。 エクスポートされたデータを SIEM で利用可能なデータと関連付けて、組織のセキュリティ体制に関するより深い洞察を得ることができます。

この統合により、Citrix Analytics for SecurityとSIEMの両方の価値が向上します。

メリット

  • セキュリティ運用チームは、異なるログのデータを関連付け、分析、検索できます。

  • セキュリティ運用チームがセキュリティリスクを特定し、迅速に修復するのに役立ちます。

  • セキュリティアラートを一元的に可視化。

  • リスク指標、ユーザープロファイル、リスクスコアなどの組織のリスク分析機能のために、潜在的なセキュリティ脅威を検出するための一元化されたアプローチ。

  • ユーザーアカウントのCitrix Analytics リスクインテリジェンス情報を、SIEM内で接続された外部データソースと組み合わせて関連付ける機能。

SIEM 統合アーキテクチャ

SIEM統合は、Citrix Analytics for SecurityクラウドにデプロイされたノースバウンドKafkaに接続します。 これは、次の 2 つの方法で実現できます。

  • Kafka エンドポイント: SIEMがKafkaエンドポイントをサポートしている場合は、Logstash構成ファイルで提供されているパラメーターと、JKSファイルまたはPEMファイルの証明書の詳細を使用して、SIEMをCitrix Analytics for Securityと統合します。 Kafka エンドポイントを使用すると、選択した SIEM に接続してデータをプルできます。

  • Logstashエンジン: SIEM が Kafka エンドポイントをサポートしていない場合は、Logstashデータ収集エンジンを使用できます。 Citrix Analytics for Securityからリスクインサイトデータを次のいずれかに送信できます 出力プラグイン Logstashでサポートされているもの。

次のSIEMソリューションアーキテクチャ図を参照して、Citrix Analytics for SecurityからSIEMサービスへのデータフローを理解してください。

SIEMソリューションアーキテクチャ

データ送信をオンまたはオフにする

Citrix Analytics for Securityからのデータ送信を停止するには:

  1. 行きます 設定 > データのエクスポート.

  2. トグルボタンをオフにして、 データ伝送.

[ 保存] をクリックします。 デフォルトでは、SIEMのデータ転送は常にオン/有効になっています。

![データ送信がオンになりました](/en-us/citrix-analytics/media/data-transmission-turnedon.png)

データ転送を再度有効にするには、トグルボタンをオンにします。

SIEM環境のセットアップ

SIEM にデータをエクスポートするには、次の操作を実行する必要があります。

  • Kafka アカウントと認証資格情報を設定する
  • 事前入力された構成をダウンロードし、SIEM 環境を設定します
  • エクスポートのデータイベント

SIEMエクスポートアカウントの設定

  1. アカウントを設定するには、次の場所に移動します。 設定 > データのエクスポート > [アカウントの設定] を展開します。. ユーザー名とパスワードを指定してアカウントを作成します。 アカウントを設定すると、Kafka の詳細が生成されます。 これらの詳細は、設定ファイルの生成時に自動的に埋め込まれます。

    アカウントの設定

  2. クリック 構成 をクリックして設定ファイルを生成します。 設定ファイルには、Kafka エンドポイント、特定のサブスクリプショントピック、グループ ID などの詳細が含まれています。 また、認証とデータフローを完了するために必要なKafka属性とSSL属性も事前構成されています。

SIEM の構成と環境設定

必要に応じて SIEM 環境を選択します。 Citrix Analytics for Securityは、次のサービスと統合できます。 詳細情報と SIEM 固有の設定については、次のリンクを参照してください。

SIEM環境

Citrix Analytics for SecurityからSIEMサービスにエクスポートされたデータイベント

SIEM エクスポートの一部として、次の 2 種類のデータ セットがあります。

  1. リスク分析情報イベント (既定のエクスポート) – アカウント設定とSIEMの設定が完了すると、デフォルトのデータ(リスクインサイトイベント)がSIEMデプロイメントに流れ始めます。 リスク分析情報データには、ユーザー リスク スコア、ユーザー プロファイル、リスク インジケーター アラートが含まれます。 これらは、Citrix Analytics の機械学習アルゴリズム、ユーザー行動分析、およびユーザーイベントに基づいて生成されます。 使用可能なイベントタイプ、メタデータ、およびスキーマについては、 SIEM のリスク分析情報データ.

  2. データソースイベント(オプションのエクスポート) - さらに、データエクスポート機能を構成して、Citrix Analytics for Security対応製品のデータソースからユーザーイベントをエクスポートすることもできます。 Citrix 環境でアクティビティを実行すると、データソースイベントが生成されます。 エクスポートされたイベントは、セルフサービスビューで使用できる未処理のリアルタイムユーザーおよび製品使用状況データです。 これらのイベントに含まれるメタデータは、さらに詳細な脅威分析、新しいダッシュボードの作成、およびセキュリティおよびITインフラストラクチャ全体の他のCitrix以外のデータソースイベントとの関連付けに使用できます。

    現在、Citrix Analytics for Securityは、Citrix Virtual Apps and Desktops、Secure Private Access、およびDevice PostureサービスのデータソースのユーザーイベントをSIEMに送信します。

    使用可能なイベントタイプ、メタデータ、およびスキーマについては、 データ ソース イベント.

    (注)

    Logstashデータブローカーを使用しているお客様は、最新の設定ファイルを次の場所からダウンロードすることをお勧めします。 Citrix Analytics for Security(セキュリティのための分析) ポータル、および Logstash サービスのデプロイで更新されました。 これにより、正しいデータ ソース イベント テーブルが作成され、イベントが SIEM インデックスで使用できるようになります。

    データのエクスポート

SIEM 統合のトラブルシューティング

「セキュリティのためのデータ・エクスポート」ビューには、 概要 タブは、管理者がSIEMとCitrix Analyticsの統合をトラブルシューティングするのに役立ちます。 ザ 概要 ダッシュボードは、トラブルシューティング プロセスを支援するチェックポイントを経由することで、データの正常性とフローを可視化します。

データエクスポートのトラブルシューティング

この機能の詳細については、以下を参照してください。 データエクスポートのトラブルシューティング.

セキュリティ情報およびイベント管理 (SIEM) の統合
October 14, 2024
寄稿者: 
C C
October 14, 2024
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.