Citrix Analytics for Security

データエクスポートのトラブルシューティング

セキュリティ用データエクスポートビューには、管理者がSIEMとCitrix Analytics統合のトラブルシューティングに役立つサマリータブが含まれています概要ダッシュボードでは 、トラブルシューティングプロセスに役立つチェックポイントを通すことで、データの状態とフローを可視化できます。

データエクスポートのトラブルシューティング

「概要」タブ

サマリ 」タブは、「データエクスポート」ビューのセルフ・サービス・トラブルシューティング・ワークフローの基礎となります。以下の 3 つのカードを使用して SIEM を設定する方法について説明します。

  • Citrix Analytics で利用可能なデータ:このカードには、データソース構成の状態が表示されます。
  • SIEM で使用可能なイベント:このカードには、ご使用の SIEM 環境で処理できるイベントの数が表示されます。
  • SIEM によるデータ消費量:このカードには、SIEM 環境のデータフローの状態が表示されます。

Citrix Analytics で利用可能なデータ

Citrix Analytics で利用可能なデータ

Citrix Analytics で利用可能なデータカードには 、Citrix Analytics for Security に組み込まれたデータの中で、最終的にSIEMのインサイトに貢献できるデータソースの数が表示されます。現在、データエクスポートでは、アプリとデスクトップ、ゲートウェイ、セキュアプライベートアクセスの3つのデータソースがサポートされています。これらのデータソースがオンボードされていても、データ処理がオフになっているデータソースのデータエクスポートは機能しません。このようなデータソースが検出されると、上の画像のような適切な警告メッセージが表示されます。

過去7日間のイベントを表示 」ボタンをクリックすると、管理者はセルフサービス検索ビューにリダイレクトされます。管理者はこのビューを使用して、イベントがCitrix Analytics for Securityに流入したことを確認できます。 オンボードデータソースボタンはデータソースビューにリダイレクトされ 、オンボーディングプロセスを詳しく説明できます。

オンボードされたデータソースがない場合は、次のスクリーンショットのように適切な警告メッセージが表示されます。

データソースがない場合の警告メッセージ

SIEM で使用できるイベント

SIEM で使用できるイベント

SIEM 消費で利用可能なイベント 」カードには、SIEM 環境に流入すると予想されるインサイトイベントとデータソースイベントの数とその内訳が表示されます。拡張すると、エクスポート用の各タイプのデータイベントの詳細も表示されます。

SIEM によるデータ消費

SIEMごとのデータ消費量カードは 、Citrix Analyticsによって準備されたデータのSIEM環境へのフローの状態を示しています。データ消費状況は、 Kafka トピック内のオフセットの動きに基づいています。使用可能な場合、カードには最後にデータ消費が成功したときのタイムスタンプも表示されます。データ消費ステータスとタイムスタンプの両方が 10 分ごとに更新されます。Kafkaコンシューマーグループ/オフセット管理の詳細については、 ここをクリックしてください

データ消費状況は次のような状態になります。

  1. 非アクティブ消費

    • データエクスポートの履歴なし:この状態はオレンジ色の点で表されます。これは、Citrix Analytics で作成されたデータが SIEM 環境に正常に転送されたことがないことを示します。

      データエクスポートの履歴なし

      これには以下の原因が考えられます-

      • データソースの設定が正しくないか不完全です。 Citrix Analytics の「利用可能なデータ」カードを使用して、データソースが十分にあるかどうか 、およびそれらのデータソースのデータ処理がエクスポート可能になっているかどうかを確認できます。

      • ユーザーアクティビティの欠如。 Citrix Analytics カードの[利用可能なデータ ]の[ 過去7日間のイベントを表示 ]ボタンを使用して、ユーザーアクティビティがないことを確認できます。さらに、「 SIEM消費対象イベント 」カードを使用して、Citrix AnalyticsがSIEMに送る準備が整っているインサイトまたはデータソースイベントがあるかどうかを確認できます。

      • SIEMの設定が正しくないか不完全です。「 構成」タブのアカウント設定ステージが正常に完了したことを確認します 。設定が完了すると、アカウント設定段階で緑色のチェックマークが表示されます。

        アカウントの設定が正常に完了しても状態が変わらない場合は、次の点を確認してさらにトラブルシューティングを行います。

    • アクティブな消費が検出されない:この状態は、少なくとも過去10分間、データがSIEM環境に正常に送信されなかったことを示します。カードには、最後に成功したデータ移動のタイムスタンプも表示されます。「 データエクスポートの履歴なし」と同様に、 Citrix Analyticsの「使用可能なデータ」と「SIEM消費カードで利用可能なイベント** 」を使用してこの問題を解決できます。ユーザーアクティビティが十分にあり、利用可能なイベント数が増えている場合は、最後に成功したタイムスタンプに注目して、そのタイムスタンプ以降にファイアウォールの変更やパスワードのローテーションが行われていないかを確認するとよいでしょう。

      アクティブな消費は検出されませんでした

    • エクスポートから7日以上前:この状態は、SIEMでのアクティブな消費が最後に検出されたのが1週間以上前であることを示しています。上記の2つの状態と同様に、 データ消費状態が検出された場合は、「Citrix Analytics で利用可能なデータ」と「SIEM消費カードで利用できるイベント 」を使用して、SIEM設定のトラブルシューティングを行います。

      7日以上前にエクスポート

      Kafka保持ポリシー:Citrix Analytics Kafkaトピックは、最大7日間のみイベントを保持します。潜在的なデータ損失を回避または防止するために、データポーリング間隔を 7 日を超えないように設定することをお勧めします。

    使用頻度の低い状態では、トラブルシューティングプロセスを進めるのに役立つ次の警告メッセージが表示されます。

    データエクスポートの履歴がないケースで強調したように 、SIEMの設定が完了していないと、データがSIEM環境に流れ込むことはありません。したがって、次のスクリーンショットに示すように、ユーザーは [ 設定 ] タブにリダイレクトされ、アカウントの設定を完了します。

    Configuration-tab-data-setup

    SIEM のセットアップが完了しても、「 アクティブな消費量が検出されていない、または7 日以上前にエクスポートされていない」状態に示されているように、データがアクティブに流れていない場合があります 。そのため、次の警告メッセージで強調表示されているように、 ユーザーはテストイベント生成セクションに移動して SIEM 接続をテストするように求められます。

    テストイベント生成警告

  2. アクティブ消費

    • アクティブ消費が検出されました:この状態は、SIEMでアクティブ消費が検出されたことを示します。

      アクティブ消費が検出されました

データエクスポートクイックガイド

サマリ 」タブには、SIEM 設定の導入、管理、 トラブルシューティングを容易にするデータエクスポートクイックガイドブレードが追加されています 。クイックガイドには、セキュリティビュー用のデータエクスポートに関する包括的なガイドのほかに、関連するドキュメントへのリンクが掲載されており、SIEM環境の設定と管理方法に関する役立つヒントも含まれています。

データエクスポートクイックガイド1

データエクスポートクイックガイド2

データエクスポートクイックガイド3

クイックガイドブレードには、 ユーザーをSIEM環境設定段階内のSIEM接続テスト段階にリダイレクトするテストSIEM接続セクションもあります 。これにより、ユーザーはSIEM統合自体が壊れているかどうかを調査できるため、Citrix Analytics for Securityがイベントを処理する際に問題が発生する可能性を排除できます。その後、ユーザーはSIEM接続を修正してデータフローを有効にできます。

SIEM 接続 1 のテスト

構成 」タブは、導入セットアップのガイドとなると同時に、管理者がSIEMをセットアップする際に役立つヒント、警告メッセージ、よくある落とし穴を知るのにも役立ちます。次の場合に適切な警告が表示されます。

  • Citrix Analytics は、データソースがオンボードされていないことを検出します。ユーザーアクティビティに基づいてテレメトリを収集するには、Apps and Desktops をオンボーディングすることをお勧めします。データソースがオンボードされていない場合、SIEMの設定は正常に完了したとしても、データフローは観察されません。

    データソースはオンボードされていません

  • 次の図に示すように、SIEM Environment Setup と Export ステージのデータイベントは、アカウントの設定が正常に完了するまで無効になります。

    SIEM 環境設定とデータイベントの無効化

  • データエクスポートはオフになっています。Data Events for Export ステージの警告は、データエクスポートで何らかの変更が反映されるよう促すものです。

    データエクスポートはオフになっています

  • Data Events for Export ステージでは、特定のデータソースのデータエクスポートが無効になっている場合、データソースイベントは SIEM に流れません。これを有効にするには、目的のデータソースイベントタイプを設定および選択する必要があります。さらに、データがCitrix Analyticsに確実に届くように、それぞれのデータソースのデータ処理が有効になっていることを確認してください。

    エクスポートステージのデータイベントについて

テストイベント生成

テストイベントの生成は、 SIEM環境設定段階の一部として提供され 、トラブルシューティングのしやすさを向上させます。ユーザーが SIEM の設定を完了すると、テストイベントの生成により、テストイベントを顧客の SIEM データエクスポート Kafka トピックに直接送信することで、SIEM 接続をすばやくテストできます。

また、新規ユーザーは、新しいデータソースを明示的にオンボーディングしてユーザーアクティビティを生成しなくても、Citrix Analytics とのSIEM統合を迅速にテストできます。

SIEM 環境

この機能をテストするには、ユーザーは [ テストデータの送信 ] ボタンをクリックする必要があります。これによりダミーのテストイベントが生成され、顧客の SIEM データエクスポート Kafka トピックに送信されます。次のスクリーンショットに示すように、このテストイベント生成プロセスには最大 1 分かかる場合があります。

SIEM 接続のテスト

テストイベントデータが顧客の Kafka トピックに正常に書き込まれると、SIEM 接続が成功したことを示す成功メッセージが表示されます。選択した環境(SplunkとSentinel)に応じて、管理者はクエリをコピーして、テストイベントのSIEM環境を確認できます。

テストデータ1

テストデータ2

Elasticsearch およびその他の環境では、次の成功メッセージが表示されます。

テストデータ3

注:

テストイベントが生成されると、[ テストデータの送信 ] ボタンは 24 時間は無効になり、ボタンにカーソルを合わせると次のポップアップが表示されます。最新の成功タイムスタンプから 24 時間が経過すると、ボタンが有効になり、ユーザーが機能を再度テストできるようになります。

成功シナリオに表示されるポップアップ

テストイベントデータが顧客の Kafka トピックに正常に書き込まれなかった場合、次のスクリーンショットに示すように失敗メッセージが表示されます。ユーザーはデータを再送信して接続をテストできます。

SIEM 障害メッセージ

SIEM メールアラート

Citrix Analytics は、SIEM環境へのデータフローの中断につながる可能性のあるシナリオを管理者に通知する電子メールアラートを送信します。これには、一時的または永続的なセキュリティ対策によるデータ損失につながる可能性のあるアクティビティに関する状況情報が含まれています。また、SIEMデータエクスポートのセルフサービスによるトラブルシューティングの進め方にも役立ちます。

この一連のメールアラートには、受信トレイから同じものを見つけるのに役立つ重要なプロパティがいくつかあります。

  • メールは、Citrix Cloud管理者、セキュリティフル管理者、セキュリティ読み取り専用管理者、およびセキュリティとパフォーマンスの読み取り専用管理者に配信されます。

  • < donotreplynotifications@citrix.com >送信者はCitrix Cloud **です。

  • 件名は以下のとおりです:

    • SIEM データエクスポートアラート-パスワードリセットメールアラートのパスワードがリセットされました
    • SIEM データエクスポートアラート-データフロー中断の電子メールアラートでデータフローが停止しました

メール通知を有効にするにはどうすればいいですか

セキュリティ分析を管理するためのカスタムアクセス権(セキュリティフル管理者、セキュリティ読み取り専用管理者、セキュリティ、パフォーマンス読み取り専用)を持つCitrix Cloud管理者の場合、メール通知は常にCitrix Cloudアカウントで有効になります。デフォルトでは、毎週のメール通知はCitrixセキュリティ管理者(デフォルトリスト)に送信されます。このアラートを受け取る配布リストを変更することもできます。詳細については、「 管理者メール設定」を参照してください。

セキュリティ分析を管理するためのカスタムアクセス権限(セキュリティフル管理者、セキュリティ読み取り専用管理者、セキュリティとパフォーマンス読み取り専用)を持つCitrix Cloud管理者の場合、電子メール通知はCitrix Cloudアカウントで常に有効になります。

SIEM メールアラートの種類

  1. SIEM パスワードリセットメールアラート

    SIEM パスワードリセットアラートメールは、データエクスポートページでアカウントパスワードがリセットされたときに受信されます。Citrix Analytics UIだけでSIEMパスワードをリセットすると、SIEMで構成されているものとパスワードが一致しなくなる可能性があります。これはデータフローの中断につながります。このメールアラートには、パスワードがリセットされた時刻が含まれています。データフローが停止した場合は、[ 概要 ] タブに移動し、「最終エクスポート日」のタイムスタンプがパスワードリセットのタイムスタンプに近いかどうかを確認して、必要なパスワード変更を中継できます。これにより、デバッグプロセスが短縮され、SIEM環境への正常なデータフローをすぐに戻すことができます。

    SIEM パスワードリセットメールアラート

    SIEM パスワードリセットメールアラート 1

  2. 24時間のデータフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが24時間以上中断されたときに送信されます。メールには、最後のイベントがエクスポートされた時刻と、データフローを元に戻すために実行できるトラブルシューティングに役立つクイックヒントが記載されています。今こそ、セキュリティ対策が施されたデータを失わないように、データフローを迅速に回復させる適切なタイミングです。

  3. 7 日間のデータフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが7日以上中断された場合に送信されます。お客様の Kafka トピックの保存期間は 7 日間であるため、トラブルシューティングのヒントに従い、 データエクスポートページにあるクイックガイドを参考にして、これ以上データを失わないようにすることが重要です 。このメールは、セキュリティ対策の情報が永久に失われる状況を警告するものです。

  4. 30 日間のデータフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが30日間以上中断された場合に送信されます。今では、お客様はセキュリティ対策済みのデータを失ってしまったため、トラブルシューティング機能を使用してできるだけ早くフローを回復することが不可欠です。

    30 日間のデータフロー中断メールアラート

    30 日間のデータフロー中断メールアラート1

    30 日間のデータフロー中断メールアラート2

データエクスポートのトラブルシューティング