Citrix Analytics for Security

Microsoft Sentinelとの統合

メモ

  • Microsoft Sentinel < CAS-PM-Ext@citrix.com > の統合、Microsoft Sentinel へのデータのエクスポート、またはフィードバックの提供に関するサポートを依頼するには、にお問い合わせください。

  • Logstash エンジンを使用した Microsoft Sentinel へのデータエクスポートはプレビュー中です。この機能はサービスレベルアグリーメントなしで提供され、本番環境のワークロードには推奨されません。詳細については、 Microsoft Sentinel のドキュメントを参照してください

Logstashエンジンを使用して、Citrix Analytics for SecurityをMicrosoft Sentinelと統合します。

この統合により、Citrix IT環境からMicrosoft Sentinelにユーザーのデータをエクスポートして関連付け、組織のセキュリティ体制に関するより深い洞察を得ることができます。SSplunk k環境内のCitrix Analytics for Securityに固有の洞察に満ちたダッシュボードを表示します。セキュリティ要件に基づいてカスタムビューを作成することもできます。

統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics for SecurityがMicrosoft Sentinel統合プロセスを開始するのに役立ちます。

  • ネットワークの許可リストに次のエンドポイントがあることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • Logstash 用の Microsoft Sentinel 出力プラグインで Logstash バージョン 7.0 から 7.9 を使用していることを確認します。

Microsoft Sentinelとの統合

  1. 設定 > データソース > セキュリティ > データエクスポートの順に移動します

  2. SIEM サイトカードで、[ はじめに] を選択します。

    SIEM データエクスポート

  3. [SIEM 統合の設定 ] ページで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    SIEM 設定ページ

  4. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  5. [ Configure ] をクリックして Logstash 設定ファイルを生成します。

    構成

  6. [Microsoft Sentinel] タブを選択して、設定ファイルをダウンロードします。

    • Logstash構成ファイル:Logstashデータ収集エンジンを使用してCitrix Analytics for SecurityからMicrosoft Sentinelにイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれます。

      Logstash の設定ファイルの構造については、 Logstash のドキュメントを参照してください。

    • JKS ファイル:SSL 接続に必要な証明書が含まれます。

    これらのファイルには機密情報が含まれています。安全な場所に保管してください。

    Microsoft  Sentinelを選択

  7. Microsoft Sentinel との統合を準備します。

    1. Azure ポータルで、 Microsoft Sentinelを有効にします。ワークスペースを作成することも、既存のワークスペースを使用して Microsoft Sentinel を実行することもできます。

    2. メインメニューから [データコネクタ] を選択し、[ データコネクタ ] ギャラリーを開きます。

    3. Citrix Analytics(セキュリティ)」を検索します。

    4. Citrix Analytics(セキュリティ) ]を選択し、[ コネクタページを開く]を選択します。

      Sentinel データコネクタページ

    5. Citrix Analytics(セキュリティ) ]ページから、[ ワークスペースID ]と[ 主キー]をコピーします。この情報は、以降の手順で Logstash 設定ファイルに入力する必要があります。

      データコネクタ設定ページ

    6. ホストマシンで Logstash を設定します。

      1. Linux または Windows ホストマシンで、 Logstash 用の Logstashおよび Microsoft Sentinel 出力プラグインをインストールします

      2. Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。

        ホストマシンタイプ ファイル名 ディレクトリパス
        Linux Cas_azureSentinel_logstash_config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
            .zip および.tar.gz アーカイブの場合: {extract.path}/config
          kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
            .zip および.tar.gz アーカイブの場合: {extract.path}/ssl
        Windows Cas_azureSentinel_logstash_config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        Logstash インストールパッケージのデフォルトのディレクトリ構造については、 Logstash のドキュメントを参照してください

      3. Logstash 設定ファイルを開き、次の操作を行います。

        1. ファイルの input セクションに、次のように入力します。

          • パスワード:Citrix Analytics for Securityで構成ファイルを準備するために作成したアカウントのパスワード。

          • SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。

          [入力] セクション

        2. ファイルの出力セクションで、 ファイルの出力セクションにワークスペース IDとプライマリキー (Microsoft Sentinel からコピーしたもの) を入力します。

          [出力] セクション

      4. Logstashホストマシンを再起動して、Citrix Analytics for SecurityからMicrosoft Sentinelに処理済みのデータを送信します。

    7. Microsoft Sentinelワークスペースに移動し、 Citrix Analytics ワークブックのデータを表示します

データ伝送をオンまたはオフにする

Citrix Analytics for Securityが構成ファイルを準備すると、Microsoft Sentinelのデータ転送がオンになります。

セキュリティ向けCitrix Analytics からのデータの送信を停止するには:

  1. 設定 > データソース > セキュリティ > データエクスポートの順に移動します

  2. SIEM サイトカードで、縦の省略記号 (⋮) を選択し、[ データ転送をオフにする] をクリックします。

    SIEM 送信の電源を切る

データ転送を再度有効にするには、 SIEM サイトカードで [ データ転送を有効にする] をクリックします。

SIEM トランスミッションの電源を入れます

Microsoft Sentinelとの統合