-
-
用于安全见解的 Sigma 签名示例
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
用于安全洞察的 Sigma 签名示例
此页面包含查询示例,以帮助管理员使用 Citrix Security Analytics 获得有意义的结果。
这些示例涵盖了以下类别的风险:
- 受感染的端点
- 内部威胁
- 数据渗漏
如何使用这些示例
查看数据源并开启数据处理
要查看数据源,请在 Citrix Analytics GUI 中单击“设置 > 数据源 > 安全”。Apps and Desktops- Workspace app 站点卡片将显示在“数据源”页面上。单击“开启数据处理”以允许 Citrix Analytics 开始处理此数据源的数据。
Citrix Analytics for Security™ 将以下两种类型的风险洞察数据发送到您的 SIEM 服务:
- 风险洞察事件(默认导出)
- 数据源事件(可选导出)
作为 SIEM 环境的一部分,风险洞察事件数据源默认可用且始终开启。有关详细信息,请参阅从 Citrix Analytics for Security 导出到 SIEM 服务的数据事件。
您可以使用 CAS 或 Sigma 签名来验证数据源中的任何特定用户事件。CAS 查询可通过 Citrix Analytics GUI 上的“自助搜索”页面访问。Sigma 签名以简单或用户友好的格式编写,使其与各种 SIEM 环境兼容。
使用 CAS 查询
您可以使用“自助搜索”页面下的 CAS 查询来查找和筛选从各种数据源接收到的用户事件。从 Citrix Analytics GUI 中单击“搜索”并在搜索框中输入查询。有关详细信息,请参阅如何使用自助搜索。
您还可以使用现有模板创建自定义风险指示器。要创建自定义风险指示器,请导航到“安全 > 自定义风险指示器 > 创建指示器”。有关详细信息,请参阅创建自定义风险指示器。
使用 Sigma 签名
Sigma 是一种用户友好、开放的签名格式,用于创建基于文本的查询,分析师可以使用这些查询来描述日志事件,从而使检测更容易编写。有几种不同的方法可以将 Sigma 签名转换为 SIEM 工具的查询语言。
-
您可以使用 Sigma 提供的 CLI 工具和 Python SDK。有关 Sigma 签名的更多信息,请参阅规则用法。
-
您可以使用公共工具,例如 uncoder.io 的 Sigma 转换引擎,它提供免费套餐。
请参阅以下针对不同风险洞察的自定义指示器用例:
共享
共享
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.