Citrix Analytics for Security

Elasticsearch インテグレーション

< CAS-PM-Ext@cloud.com >Elasticsearchの統合、Elasticsearchへのデータのエクスポートに関するサポートのリクエスト、またはフィードバックの提供については、お問い合わせください。

Logstashエンジンを使用して、Citrix Analytics for Security をElasticsearchと統合します。この統合により、ユーザーのデータをCitrix IT環境からElasticsearchにエクスポートして関連付け、組織のセキュリティ体制についてより深い洞察を得ることができます。また、Elasticsearch は、ビジュアライゼーションサービスや KibanaLogrHhythm などの SIEM でそれぞれ使用できます。

統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics for Security が Elasticsearch 統合プロセスを開始するのに役立ちます。

  • ネットワークの許可リストに次のエンドポイントがあることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Elasticsearchとの統合

  1. [設定] > [データエクスポート]に移動します。

  2. アカウント設定セクションで 、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    SIEM データエクスポート

  3. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  4. [ Configure ] をクリックして Logstash 設定ファイルを生成します。

    Elasticsearch の設定

  5. SIEM 環境セクションから Elastic Search タブを選択し、設定ファイルをダウンロードします。

    • Logstash構成ファイル:Logstashデータ収集エンジンを使用してCitrix Analytics for SecurityからElasticsearchにイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれています。Logstash の設定ファイルの構造については、 Logstash のドキュメントを参照してください。

    • JKS ファイル:SSL 接続に必要な証明書が含まれます。

      これらのファイルには機密情報が含まれています。安全な場所に保管してください。

      [Elasticsearch] を選択します

  6. Logstash を設定します。

    1. Linux または Windows ホストマシンに Logstashをインストールします。既存の Logstash インスタンスを使用することもできます。

    2. Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。

      ホストマシンタイプ ファイル名 ディレクトリパス
      Linux CAS_Elasticsearch_LogStash_Config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
          .zip および.tar.gz アーカイブの場合: {extract.path}/config
        kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
          .zip および.tar.gz アーカイブの場合: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Logstashインストールパッケージのデフォルトディレクトリ構造については、Logstashのドキュメントを参照してください

    3. Logstash 設定ファイルを開き、次の操作を行います。

      1. ファイルの input セクションに、次の情報を入力します。

        • パスワード:Citrix Analytics for Securityで構成ファイルを準備するために作成したアカウントのパスワード。

        • SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。

        Elasticsearch 入力セクション

      2. ファイルの出力セクションに、Elasticsearch が実行されているホストマシンまたはクラスターのアドレスを入力します。

        Elasticsearch 出力セクション

    4. ホストマシンを再起動して、処理されたデータをCitrix Analytics for SecurityからElasticsearchに送信します。

構成が完了したら、ElasticsearchでCitrix Analytics データを表示できることを確認します。

データ伝送をオンまたはオフにする

Citrix Analytics for Securityが構成ファイルを準備すると、Elasticsearchのデータ転送がオンになります。

セキュリティ向けCitrix Analytics からのデータの送信を停止するには:

  1. [設定] > [データエクスポート]に移動します。

  2. トグルボタンをオフにしてデータ転送を無効にします。デフォルトでは、 データ転送は常に有効になっています

    SIEM 送信の電源を切る

    確認用の警告ウィンドウが表示されます。データ転送を停止するには、[ データ転送をオフにする ] ボタンをクリックします。

    SIEM トランスミッション電源オフ警告

データ転送を再度有効にするには、トグルボタンをオンにします。

Elasticsearch インテグレーション