Citrix Analytics for Security

Kafka または Logstash ベースのデータコネクタを使用した SIEM 統合

Citrix Analytics for Security SIEMの統合により、ユーザーのデータをCitrix AnalyticsからSIEM環境にエクスポートして関連付けることができ、組織のセキュリティ体制についてより深い洞察を得ることができます。

統合の利点と、SIEM に送信されるデータイベントの種類 (リスクインサイトとデータソースイベント) の詳細については、「 セキュリティ情報とイベント管理の統合」を参照してください。

Citrix Analytics for SecurityをSIEMソリューションと統合するには、次の2つのメカニズム(SIEMとITの導入環境によってサポートされている)を使用します。

  1. Kafka エンドポイント経由で接続
  2. Kafkaベースのインジェスト機能を備えたLogstashデータブローカー経由で接続

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics for Security が SIEM ツールとの統合を開始するのに役立ちます。

  • ネットワークの許可リストに次のエンドポイントがあることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Kafka を使用して SIEM サービスと統合する

Kafkaはオープンソースソフトウェアで、データのリアルタイムストリーミングに使用されます。Kafkaを使用すると、リアルタイムデータを分析してより迅速に洞察を得ることができます。ほとんどの場合、適切なデータを扱う大規模な組織は Kafka を使用しています。

Northbound Kafkaは、Citrix AnalyticsがKafkaエンドポイントを通じてリアルタイムのデータフィードをSIEMのお客様と共有できるようにする内部中間レイヤーです。SIEM が Kafka エンドポイントをサポートしている場合は、Logstash 構成ファイルで提供されるパラメーターと、JKS ファイルまたは PEM ファイルの証明書の詳細を使用して、SIEM を Citrix Analytics for Security に統合します。

Kafka を使用して統合するには、以下のパラメーターが必要です。

属性名 説明 設定データサンプル
ユーザー名 Kafka から提供されたユーザー名。 'sasl.username': cas_siem_user_name,
ホスト 接続する Kafka サーバーのホスト名。 'bootstrap.servers': cas_siem_host,
トピック名/クライアント ID 各テナントに割り当てられたクライアント ID。 'client.id': cas_siem_topic,
グループ名/ID コンシューマーが共有するメッセージを読むために必要なグループ名。 'group.id': cas_siem_group_id,
セキュリティプロトコル セキュリティプロトコルの名前。 'security.protocol': 'SASL_SSL',
SASL メカニズム 安全な認証を実装するための暗号化に一般的に使用される認証メカニズム。 'sasl.mechanisms': 'SCRAM-SHA-256',
SSL トラストストアの場所 証明書ファイルを保存できる場所。クライアントのトラストストアのパスワードはオプションで、空白のままにしておく必要があります。 'ssl.ca.location': ca_location
セッションのタイムアウト Kafka使用中のクライアント障害の検出に使用されるセッションタイムアウト。 'session.timeout.ms': 60000,
自動オフセットリセット 初期オフセットがない場合にトピックパーティションからデータを消費するときの動作を定義します。「最新」、「最新」、「最新」、「なし」などの値を設定できます。 'auto.offset.reset': 'earliest',

次に、設定出力の例を示します。

{'bootstrap.servers': cas_siem_host,
                    'client.id': cas_siem_topic,
                    'group.id': cas_siem_group_id,
                    'session.timeout.ms': 60000,
                    'auto.offset.reset': 'earliest',
                    'security.protocol': 'SASL_SSL',
                    'sasl.mechanisms': 'SCRAM-SHA-256',
                    'sasl.username': cas_siem_user_name,
                    'sasl.password': self.CLEAR_PASSWORD,
                    'ssl.ca.location': ca_location
            }

<!--NeedCopy-->

Kafka のアカウントセットアップ

前述のパラメータはLogstash設定ファイルにあります。設定ファイルをダウンロードするには、[ 設定] > [データエクスポート] > [SIEM 環境 ] に移動し、[ その他 ] タブを選択し、[ Logstash 設定ファイルのダウンロード] をクリックします。

Logstash 設定ファイルをダウンロードする

設定値についての理解/詳細については、「 設定」を参照してください。

データフロー

認証データ通信は、Kafkaサーバー側のブローカー(セキュリティクラウド向けCitrix Analytics)とKafkaクライアントの間で行われます。すべてのブローカー/外部クライアントの通信は、有効化されたSASL_SSLセキュリティプロトコルとパブリックアクセス用のターゲット9094ポートを使用します。

Apache Kafkaには、SSL暗号化を使用して送信中のデータを暗号化するセキュリティコンポーネントがあります。 暗号化が有効で SSL 証明書が設定されている場合、ネットワーク上のデータ送信は暗号化され、保護されます。SSL 経由で送信されるパケットを復号化できるのは、最初と最後のマシンだけです。

[認証]

認証には、次の 2 つのレベルがあります。

  1. TLS/クライアントとサーバー間。

    • クライアントとサーバー間の TLS 認証交換用のサーバー証明書 (公開鍵)。
    • クライアントベースの認証または双方向認証はサポートされていません (クライアントの秘密鍵証明書が必要です)。
  2. トピック/エンドポイントへのアクセス制御用のユーザー名/パスワード

    • 特定のクライアントが特定の顧客トピックのみを読むことができるようにする
    • ユーザー名/パスワード認証メカニズムにはSASL/SCRAMとTLS暗号化を使用して安全な認証を実装します。

SSL による暗号化と SASL/SSL&SASL/プレーンテキストによる認証

デフォルトでは、Apache Kafkaはプレーンテキストで通信します。プレーンテキストでは、すべてのデータが平文で送信され、どのルーターもデータコンテンツを読み取ることができます。Apache Kafkaには、SSL暗号化を使用して送信中のデータを暗号化するセキュリティコンポーネントがあります。 暗号化を有効にし、SSL 証明書を慎重に設定すると、データが暗号化され、ネットワーク上で安全に転送されるようになりました。SSL 暗号化では、送信されるパケットを復号化できるのは、最初と最後のマシンだけです。

双方向SSL暗号化が使用されているため、ユーザー名/パスワードによるログインは外部通信にとって安全です。

暗号化は実行中のみで、データは暗号化されずにブローカーのディスクに残ります。

SSL による暗号化

クライアント構成では、クライアントのトラストストア JKS ファイルと (トラストストア jks ファイルから変換された) PEM ファイルが必要です。これらのファイルは、次のスクリーンショットに示すように、Citrix Analytics for Security GUIからダウンロードできます。

設定ファイルをダウンロードする

ログスタッシュを使ったSIEMインテグレーション

SIEM が Kafka エンドポイントをサポートしていない場合は、 Logstash データ収集エンジンを使用できます 。Citrix Analytics for Securityのデータイベントを、 Logstashがサポートする出力プラグインのいずれかに送信できます

以下のセクションでは、Logstashを使用してSIEMをCitrix Analytics for Securityと統合するために実行する必要のある手順について説明します。

Logstash を使用して SIEM サービスと統合する

  1. [設定] > [データエクスポート]に移動します。

  2. アカウント設定ページで 、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    SIEM 設定ページ

  3. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  4. [ Configure ] を選択して Logstash 設定ファイルを生成します。

    他の SIEM を構成する

  5. [ Others ] タブを選択して、設定ファイルをダウンロードします。

    • Logstash構成ファイル:このファイルには、Logstashデータ収集エンジンを使用してCitrix Analytics for Securityからイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれます。Logstash の設定ファイルの構造については、 Logstash のドキュメントを参照してください。

    • JKS ファイル:このファイルには、SSL 接続に必要な証明書が含まれています。このファイルは、Logstash を使用して SIEM を統合する場合に必要です。

    • PEM ファイル:このファイルには、SSL 接続に必要な証明書が含まれています。このファイルは、Kafka を使用して SIEM を統合する場合に必要です。

      これらのファイルには機密情報が含まれています。安全な場所に保管してください。

    [他を選択] タブ

  6. Logstash を設定します。

    1. LinuxまたはWindowsのホストマシンに、 Logstashをインストールします (Citrix Analytics for Securityとの互換性がテストされたバージョン:v7.17.7およびv8.5.3)。既存の Logstash インスタンスを使用することもできます。

    2. Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。

      ホストマシンタイプ ファイル名 ディレクトリパス
      Linux CAS_Others_LogStash_Config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
          .zip および.tar.gz アーカイブの場合: {extract.path}/config
        kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
          .zip および.tar.gz アーカイブの場合: {extract.path}/ssl
      Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks C:\logstash-7.xx.x\config
    3. Logstash 設定ファイルには、Kafka 認証情報、LogAnalytics ワークスペース ID、プライマリキーなどの機密情報が含まれています。これらの機密認証情報はプレーンテキストとして保存しないことをお勧めします。統合を確実にするために、Logstashキーストアを使用してキーにそれぞれの値を追加し、そのキーを設定ファイル内のキー名を使用して参照できます。Logstashキーストアの詳細と、これによって設定のセキュリティがどのように強化されるかについては、「 Secretsキーストアによる安全な設定」を参照してください。

    4. Logstash 設定ファイルを開き、次の操作を行います。

      ファイルの input セクションに、次の情報を入力します。

      • パスワード:Citrix Analytics for Securityで構成ファイルを準備するために作成したアカウントのパスワード。

      • SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。

      その他の SIEM 入力セクション

      ファイルの出力セクションに、データを送信する宛先パスまたは詳細を入力します。出力プラグインについては、 Logstash のドキュメントを参照してください。

      次のスニペットは、出力がローカルログファイルに書き込まれることを示しています。

      その他の SIEM 出力セクション

    5. ホストマシンを再起動して、処理されたデータをCitrix Analytics for SecurityからSIEMサービスに送信します。

構成が完了したら、SIEM サービスにログインし、SIEM の Citrix Analytics データを確認します。

データ伝送をオンまたはオフにする

Citrix Analytics for Securityが構成ファイルを準備すると、SIEMのデータ転送がオンになります。

セキュリティ向けCitrix Analytics からのデータの送信を停止するには:

  1. [設定] > [データエクスポート]に移動します。
  2. トグルボタンをオフにしてデータ転送を無効にします。デフォルトでは、データ転送は常に有効になっています。

    SIEM 送信がオフになる

    確認用の警告ウィンドウが表示されます。データ送信を停止するには、[ データ送信をオフにする ] ボタンをクリックします。

    SIEM 送信がオフになる警告

データ転送を再度有効にするには、トグルボタンをオンにします。

< CAS-PM-Ext@cloud.com >SIEM 統合、SIEM へのデータのエクスポートに関するサポートの依頼、またはフィードバックの提供については、お問い合わせください。

Kafka または Logstash ベースのデータコネクタを使用した SIEM 統合