Citrix Analytics for Security

Splunk 統合

< CAS-PM-Ext@citrix.com >Splunk との統合、Splunk へのデータのエクスポート、またはフィードバックの提供に関するサポートの要請については、にお問い合わせください。

Citrix Analytics for SecurityをSplunk と統合して、ユーザーのデータをCitrix IT環境からSSplunk にエクスポートして関連付け、組織のセキュリティ体制についてより深い洞察を得ることができます。

統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください

サポートされるバージョン

Citrix Analytics for Securityは、次のオペレーティングシステムで Splunk 統合をサポートしています。

  • CentOS Linux 7 以降
  • Debian GNU/Linux 10.0 以降
  • Red Hat エンタープライズ Linux サーバー 7.0 以降
  • Ubuntu 18.04 LTS以降

重要

  • Citrix では、上記のオペレーティングシステムの最新バージョンを使用するか、各ベンダーのサポートを受けているバージョンのオペレーティングシステムを使用することをお勧めします。

  • Linux カーネル (64 ビット) オペレーティングシステムの場合は、Splunk でサポートされているカーネルバージョンを使用します。詳細については、 Splunk のドキュメントを参照してください

Splunk 統合は、次の Splunk バージョンで設定できます。

  • Splunk クラウド入力データマネージャー (IDM)

  • Splunk 8.1 (64 ビット) およびそれ以降

前提条件

  • Splunk 用の Citrix Analytics アドオンは 、セキュリティ向け Citrix Analytics の以下のエンドポイントに接続します。エンドポイントがネットワークの許可リストに含まれていることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • 少なくとも 1 つのデータソースのデータ処理を有効にします。Citrix Analytics for SecurityがSplunkの統合プロセスを開始するのに役立ちます。

セキュリティのためのCitrix Analytics と Splunk の統合

Citrix Analytics for SecurityとSplunkを統合するには、前述のガイドラインに従ってください。

Citrix Analytics 構成ファイルが準備されたら、以下を参照してください。

Splunk 用の Citrix Analytics アドオンを構成したら、以下を参照してください。

データのエクスポート

  1. 設定 > データソース >セキュリティ > データエクスポートに移動します

  2. SIEM サイトカードで、[ はじめに] を選択します。

    SIEM データエクスポート

Citrix Analytics のセキュリティに関する構成を取得する

  1. [Citrix Analytics の構成 ]セクションで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    [設定] セクション

  2. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  3. [ 構成] を選択します。

    Citrix Analytics for Security は、Splunk の統合に必要な構成の詳細を準備します。

    SIEM の設定

  4. [ Splunk] を選択します。

  5. ユーザー名、ホスト、Kafka トピック名、グループ名などの設定の詳細をコピーします。

    以降の手順でSSplunk 用Citrix Analytics アドオンを構成するには、これらの詳細が必要です。

    重要

    これらの情報は機密情報であるため、安全な場所に保存する必要があります。

    構成の詳細

Splunk 用 Citrix Analytics アドオンをダウンロードしてインストールする

  1. Splunk フォワーダまたは Splunk スタンドアロン環境にログオンします。

  2. Splunk用のCitrix Analytics アドオンをインストールするには、Splunk kbaseからダウンロードするか 、Splunk k内からインストールします。

ファイルからアプリをインストールする

  1. Splunkbaseに行け

  2. Splunk 用 Citrix Analytics アドオンファイルをダウンロードします。

  3. Splunk Web ホームページで、[ アプリ] の横にある歯車アイコンをクリックします。

  4. [ ファイルからアプリをインストール] をクリックします。

  5. ダウンロードしたファイルを探し、[ アップロード] をクリックします。

    メモ

    • 古いバージョンのアドオンを使用している場合は、[ アプリのアップグレード ] を選択して上書きします。

    • Citrix Analytics Splunk for Splunkを2.0.0より前のバージョンからアップグレードする場合は 、アドオンインストールフォルダーの /bin フォルダー内にある以下のファイルとフォルダーを削除し、Splunk Forwarder または Splunk スタンドアロン環境を再起動する必要があります。

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. アプリが [アプリ] リストに表示されていることを確認します。

Splunk 内からアプリをインストールする

  1. Splunk Web ホームページから、[ + その他のアプリを検索] をクリックします。

  2. [その他のアプリの参照]ページで、[ Splunk]の[Citrix Analytics アドオン]を検索します。

  3. アプリの横にある [ インストール ] をクリックします。

  4. アプリが [アプリ] リストに表示されていることを確認します。

Splunk 用のCitrix Analytics アドオンを構成する

Citrix Analytics for Securityが提供する構成の詳細を使用して、SplunkのCitrix Analytics アドオンを構成します。アドオンが正常に構成されると、SplunkはCitrix Analytics for Securityからイベントの消費を開始します。

  1. Splunk のホームページで、[ 設定] > [データ入力 ] の順に選択します。

    Splunk の設定

  2. ローカル入力 ]セクションで、[ Citrix Analytics アドオン]をクリックします。

    Splunk の設定

  3. [New] をクリックします。

    Splunk の設定

  4. [データの追加 ]ページで、Citrix Analytics 構成ファイルに記載されている詳細を入力します。

    Splunk の設定

  5. デフォルト設定をカスタマイズするには、[ 詳細設定 ] をクリックしてデータ入力を設定します。独自の Splunk インデックス、ホスト名、ソースタイプを定義できます。

    Splunk の設定

  6. [次へ] をクリックします。Citrix Analytics データ入力が作成され、Splunk 用の Citrix Analytics アドオンが正常に構成されました。

Citrix Analytics 構成パスワードのリセット

Citrix Analytics for Securityで構成パスワードをリセットする場合は、次の手順に従います。

  1. Citrix Analytics での構成 ページで、[パスワードのリセット] をクリックします。

    SIEM パスワードリセット

  2. [パスワードのリセット ]ウィンドウで、[新しいパスワード]フィールドと[ 新しいパスワードの確認]フィールドに、更新されたパスワードを指定します 。表示されるパスワードルールに従います。

    SIEM パスワードの要件

  3. [ リセット] をクリックします。設定ファイルの準備が開始されます。

    SIEM パスワードリセット

注:

設定パスワードをリセットしたら、Splunk 環境の [Add Data]ページでデータ入力を設定するときに、必ず新しいパスワードを更新してください。Citrix Analytics for Securityは、Splunkにデータを送信し続けるのに役立ちます。

Splunk でイベントを使用する方法

アドオンの構成後、Splunk はセキュリティ向けCitrix Analytics からリスクインテリジェンスの取得を開始します。設定したデータ入力に基づいて、Splunk 検索ヘッドで組織のイベントの検索を開始できます。

検索結果は次の形式で表示されます。

Splunk イベントの消費

出力例:

Splunk イベントの消費

アドオンの問題を検索してデバッグするには、次の検索クエリを使用します。

Splunk イベントの消費

結果は次の形式で表示されます。

Splunk イベントの消費

データ形式について詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

Splunk 向けCitrix Analytics アプリ

このアプリはプレビュー版です。

Splunk 向けの Citrix Analytics アプリを使用すると、Splunk エンタープライズ管理者は、セキュリティ向け Citrix Analytics から収集されたユーザーデータを、Splunk 上の洞察力に富んだ実用的なダッシュボードの形式で表示できます。これらのダッシュボードを使用すると、組織におけるユーザーの危険な行動を詳細に把握し、タイムリーにアクションを実行して内部関係者の脅威を軽減できます。また、セキュリティ向け Citrix Analytics から収集されたデータを、Splunk で構成された他のデータソースと関連付けることもできます。この相関関係により、複数のソースからのユーザーの危険なアクティビティを可視化し、IT環境を保護するためのアクションを実行します。

サポートされている Splunk バージョン

Splunk 向けCitrix Analytics アプリは、次のバージョンの Splunk で実行されます。

  • Splunk 8.2 64 ビット

  • Splunk 8.1 64 ビット

  • Splunk 8.0 64 ビット

  • Splunk 7.3 64 ビット

Splunk 用Citrix Analytics アプリケーションの前提条件

インストールと構成

アプリをインストールする場所はどこですか

Splunk 検索ヘッド

アプリをインストールして設定する方法は

Splunk 用 Citrix Analytics アプリをインストールするには、 Splunkbase からダウンロードするか、Splunk 内からインストールします。

ファイルからアプリをインストールする
  1. Splunkbaseに行け

  2. Splunk 用Citrix Analytics アプリファイルをダウンロードします。

  3. Splunk Web ホームページで、[ アプリ] の横にある歯車アイコンをクリックします。

  4. [ ファイルからアプリをインストール] をクリックします。

  5. ダウンロードしたファイルを探し、[ アップロード] をクリックします。

    古いバージョンのアプリを使用している場合は、[ アプリのアップグレード ] を選択して上書きします。

  6. アプリが [アプリ] リストに表示されていることを確認します。

Splunk 内からアプリをインストールする
  1. Splunk Web ホームページから、[ + その他のアプリを検索] をクリックします。

  2. [その他のアプリの参照]ページで、 Citrix Analytics アプリで Splunkを検索します。

  3. アプリの横にある [ インストール ] をクリックします。

インデックスとソースタイプを設定してデータを関連付ける
  1. アプリをインストールしたら、[ 今すぐ設定] をクリックします。

    アプリをセットアップする

  2. 次のクエリを入力します。

    • Citrix Analytics for Securityのデータが保存されるインデックスとソースタイプ。

      これらのクエリ値は、Splunk の Citrix Analytics アドオンで指定されている値と同じである必要があります。詳しくは、「 Splunk 用の Citrix Analytics アドオンを構成する」を参照してください。

    • データとセキュリティ向け Citrix Analytics を関連付けるインデックスです。

      ソースとインデックス

  3. [ アプリのセットアップを終了 ] をクリックして、構成を完了します。

SSplunk 用のCitrix Analytics アプリを構成してセットアップしたら、 Citrix Analytics ダッシュボードを使用して 、SSplunk のユーザーイベントを表示します。

データ伝送をオンまたはオフにする

Citrix Analytics for Securityが構成ファイルを準備すると、Splunk のデータ転送がオンになります。

セキュリティ向けCitrix Analytics からのデータの送信を停止するには:

  1. 設定 > データソース > セキュリティ > データエクスポートの順に移動します

  2. SIEM サイトカードで、縦の省略記号 (⋮) を選択し、[ データ転送をオフにする] をクリックします。

    SIEM 送信の電源を切る

データ転送を再度有効にするには、 SIEM サイトカードで [ データ転送を有効にする] をクリックします。

SIEM トランスミッションの電源を入れます

Splunk 用 Citrix Analytics アドオンのトラブルシューティング

Splunk ダッシュボードにデータが表示されない場合や、Splunk 用の Citrix Analytics アドオンの構成中に問題が発生した場合は、デバッグ手順を実行して問題を修正します。詳しくは、「 Splunk 用 Citrix Analytics アドオンの構成に関する問題」を参照してください。

Splunk 統合