Microsoft Sentinel との統合
注
Microsoft Sentinel との統合、Microsoft Sentinel へのデータのエクスポート、またはフィードバックの提供については、CAS-PM-Ext@cloud.com までお問い合わせください。
Logstash エンジンを使用した Microsoft Sentinel へのデータのエクスポートはプレビュー段階です。この機能はサービスレベル契約なしで提供されており、本番ワークロードには推奨されません。詳細については、Microsoft Sentinel のドキュメントを参照してください。
Logstash エンジンを使用して、Citrix Analytics for Security™ を Microsoft Sentinel と統合します。
この統合により、Citrix IT 環境から Microsoft Sentinel にユーザーデータをエクスポートして関連付け、組織のセキュリティ体制に関するより深い洞察を得ることができます。Splunk 環境で Citrix Analytics for Security 独自の洞察に満ちたダッシュボードを表示します。また、セキュリティ要件に基づいてカスタムビューを作成することもできます。
統合の利点と、SIEM に送信される処理済みデータの種類については、「セキュリティ情報およびイベント管理の統合」を参照してください。
前提条件
-
少なくとも 1 つのデータソースでデータ処理を有効にします。これにより、Citrix Analytics for Security は Microsoft Sentinel 統合プロセスを開始できます。
-
次のエンドポイントがネットワークの許可リストに含まれていることを確認します。
エンドポイント 米国リージョン 欧州連合リージョン アジア太平洋南部リージョン Kafka ブローカー casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094 -
Logstash 用 Microsoft Sentinel 出力プラグインで、Logstash バージョン 7.17.7 以降 (Citrix Analytics for Security との互換性がテストされたバージョン: v7.17.7 および v8.5.3) を使用していることを確認します。
Microsoft Sentinel との統合
-
[設定] > [データのエクスポート] に移動します。
-
[アカウント設定] セクションで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な構成ファイルを準備するために使用されます。
-
パスワードが次の条件を満たしていることを確認します。
-
[構成] をクリックして、Logstash 構成ファイルを生成します。
-
Azure Sentinel (プレビュー) タブを選択して、構成ファイルをダウンロードします。
-
Logstash 構成ファイル: Logstash データ収集エンジンを使用して Citrix Analytics for Security から Microsoft Sentinel にイベントを送信するための構成データ (入力、フィルター、および出力セクション) が含まれています。
Logstash 構成ファイルの構造については、Logstash のドキュメントを参照してください。
-
JKS ファイル: SSL 接続に必要な証明書が含まれています。
注
これらのファイルには機密情報が含まれています。安全な場所に保管してください。
-
-
Azure Sentinel 統合を準備します。
-
Azure portal で、Microsoft Sentinel を有効にします。ワークスペースを作成するか、既存のワークスペースを使用して Microsoft Sentinel を実行できます。
-
メインメニューから [データコネクタ] を選択して、データコネクタギャラリーを開きます。
-
Citrix Analytics (Security) を検索します。
-
Citrix Analytics (Security) を選択し、[コネクタページを開く] を選択します。
-
Citrix Analytics (Security) ページから、ワークスペース ID と プライマリキー をコピーします。この情報は、後続の手順で Logstash 構成ファイルに入力する必要があります。
-
ホストマシンで Logstash を構成します。
-
Linux または Windows ホストマシンに、Logstash と Logstash 用 Microsoft Sentinel 出力プラグイン をインストールします。
-
Logstash をインストールしたホストマシンで、次のファイルを指定されたディレクトリに配置します。
ホストマシンの種類 ファイル名 ディレクトリパス Linux CAS_AzureSentinel_LogStash_Config.config Debian および RPM パッケージの場合: /etc/logstash/conf.d/.zip および .tar.gz アーカイブの場合: {extract.path}/configkafka.client.truststore.jks Debian および RPM パッケージの場合: /etc/logstash/ssl/.zip および .tar.gz アーカイブの場合: {extract.path}/sslWindows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\configkafka.client.truststore.jks Logstash インストールパッケージのデフォルトのディレクトリ構造については、Logstash のドキュメント を参照してください。
-
Logstash 構成ファイルを開き、次の操作を行います。
-
ファイルの入力セクションに、次を入力します。
-
パスワード: 構成ファイルを準備するために Citrix Analytics for Security で作成したアカウントのパスワード。
-
SSL トラストストアの場所: SSL クライアント証明書の場所。これは、ホストマシン上の kafka.client.truststore.jks ファイルの場所です。
-
-
ファイルの出力セクションに、ワークスペース ID と プライマリキー (Microsoft Sentinel からコピーしたもの) を入力します。
-
-
Logstash ホストマシンを再起動して、Citrix Analytics for Security から Microsoft Sentinel に処理済みデータを送信します。
-
-
Microsoft Sentinel ワークスペースに移動し、Citrix Analytics ワークブック でデータを表示します。
-
データ送信の有効化または無効化
Citrix Analytics for Security が構成ファイルを準備すると、Microsoft Sentinel のデータ送信が有効になります。
Citrix Analytics for Security からのデータ送信を停止するには:
-
[設定] > [データのエクスポート] に移動します。
-
トグルボタンをオフにして、データ送信 を無効にします。デフォルトでは、データ送信は常に有効になっています。
確認のための警告ウィンドウが表示されます。[データ送信を無効にする] ボタンをクリックして、送信アクティビティを停止します。
データ送信を再度有効にするには、トグルボタンをオンにします。
Microsoft Sentinel 統合の詳細については、次のリンクを参照してください。