Citrix Analytics for Security

Kafka または Logstash ベースのデータコネクタを使用した SIEM 統合

< CAS-PM-Ext@citrix.com >SIEM 統合のサポート、SIEM へのデータのエクスポート、またはフィードバックの提供については、にお問い合わせください。

Citrix Analytics for Securityを、KafkaエンドポイントまたはLogstashエンジンをサポートするSIEMソリューションと統合できます。この統合により、ユーザーのデータをCitrix IT環境からSIEM環境にエクスポートして関連付け、組織のセキュリティ体制についてより深い洞察を得ることができます。

統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください

SIEM が Kafka エンドポイントをサポートしている場合は、Logstash 構成ファイルで提供されるパラメーターと、JKS ファイルまたは PEM ファイルの証明書の詳細を使用して、SIEM を Citrix Analytics for Security に統合します。

Kafka を使用して統合するには、以下のパラメーターが必要です。

  • ユーザー名

  • ホスト

  • トピック名

  • セキュリティプロトコル

  • SASL メカニズム

  • SSL トラストストアの場所

  • セッションのタイムアウト

  • 自動オフセットリセット

SIEM が Kafka エンドポイントをサポートしていない場合は、 Logstash データ収集エンジンを使用できます 。処理されたデータは、Citrix Analytics for Securityから、 Logstashでサポートされている出力プラグインのいずれかに送信できます

この記事では、Logstashを使用してSIEMをCitrix Analytics for Securityと統合するために必要な手順について説明します。

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics for Security が SIEM ツールとの統合を開始するのに役立ちます。

  • ネットワークの許可リストに次のエンドポイントがあることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Logstash を使用して SIEM サービスと統合する

  1. 設定 > データソース > セキュリティ > データエクスポートの順に移動します

  2. SIEM サイトカードで、[ はじめに] を選択します。

    SIEM データエクスポート

  3. [SIEM 統合の設定 ] ページで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    SIEM 設定ページ

  4. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  5. [ Configure ] を選択して Logstash 設定ファイルを生成します。

    他の SIEM を構成する

  6. [ Others ] タブを選択して、設定ファイルをダウンロードします。

    • Logstash構成ファイル:このファイルには、Logstashデータ収集エンジンを使用してCitrix Analytics for Securityからイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれます。Logstash の設定ファイルの構造については、 Logstash のドキュメントを参照してください。

    • JKS ファイル:このファイルには、SSL 接続に必要な証明書が含まれています。このファイルは、Logstash を使用して SIEM を統合する場合に必要です。

    • PEM ファイル:このファイルには、SSL 接続に必要な証明書が含まれています。このファイルは、Kafka を使用して SIEM を統合する場合に必要です。

      これらのファイルには機密情報が含まれています。安全な場所に保管してください。

    [他を選択] タブ

  7. Logstash を設定します。

    1. Linux または Windows ホストマシンに Logstashをインストールします。既存の Logstash インスタンスを使用することもできます。

    2. Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。

      ホストマシンタイプ ファイル名 ディレクトリパス
      Linux CAS_Others_LogStash_Config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
          .zip および.tar.gz アーカイブの場合: {extract.path}/config
        kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
          .zip および.tar.gz アーカイブの場合: {extract.path}/ssl
      Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  
    3. Logstash 設定ファイルを開き、次の操作を行います。

      ファイルの input セクションに、次の情報を入力します。

      • パスワード:Citrix Analytics for Securityで構成ファイルを準備するために作成したアカウントのパスワード。

      • SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。

      その他の SIEM 入力セクション

      ファイルの出力セクションに、データを送信する宛先パスまたは詳細を入力します。出力プラグインについては、 Logstash のドキュメントを参照してください。

      次のスニペットは、出力がローカルログファイルに書き込まれることを示しています。

      その他の SIEM 出力セクション

    4. ホストマシンを再起動して、処理されたデータをCitrix Analytics for SecurityからSIEMサービスに送信します。

構成が完了したら、SIEM サービスにログインし、SIEM の Citrix Analytics データを確認します。

データ伝送をオンまたはオフにする

Citrix Analytics for Securityが構成ファイルを準備すると、SIEMのデータ転送がオンになります。

セキュリティ向けCitrix Analytics からのデータの送信を停止するには:

  1. 設定 > データソース > セキュリティ > データエクスポートの順に移動します

  2. SIEM サイトカードで、縦の省略記号 (⋮) を選択し、[ データ転送をオフにする] をクリックします。

    SIEM 送信の電源を切る

データ転送を再度有効にするには、 SIEM サイトカードで [ データ転送を有効にする] をクリックします。

SIEM トランスミッションの電源を入れます

Kafka または Logstash ベースのデータコネクタを使用した SIEM 統合