Citrix Analytics for Security

安全洞察的 Sigma 签名示例

本页包含示例查询,可帮助管理员使用 Citrix Security Analytics 取得有意义的结果。

这些示例涵盖以下类别的风险:

  • 受损的端点
  • 内幕威胁
  • 数据泄露

如何使用这些示例

查看数据源并开启数据处理

要查看数据源,请在 Citrix Analytics GUI 中单击“设置”>“数据源”>“安全”。应用程序和桌面 - Workspace 应用程序站点卡显示在“数据源”页面上。单 击打开数据处理 以允许 Citrix Analytics 开始处理此数据源的数据。

Citrix Analytics for Security 将以下两种类型的风险洞察数据发送到您的 SIEM 服务:

  • 风险洞察事件(默认导出)
  • 数据源事件(可选导出)

作为 SIEM 环境的一部分,风险洞察事件数据源可用且默认情况下始终处于打开状态。有关更多信息,请参阅 从 Citrix Analytics for Security 导出到您的 SIEM 服务的数据事件

您可以使用 CAS 或 Sigma 签名来验证数据源中的任何特定用户事件。CAS 查询可通过 Citrix Analytics GUI 上的“自助搜索”页面进行访问。Sigma 签名以简单或用户友好的格式编写,使其与各种 SIEM 环境兼容。

使用 CAS 查询

您可以使用“自助搜索”页面下的 CAS 查询来查找和筛选从各种数据源收到的用户事件。在 Citrix Analytics GUI 中单击“搜索”,然后在搜索框中输入查询。有关更多详细信息,请参阅如何使用自助搜索

您还可以使用现有模板创建自定义风险指标。要创建自定义风险指标,请导航到安全 > 自定义风险指标 > 创建指标。有关更多详细信息,请参阅创建自定义风险指标

使用 Sigma 签名

Sigma 是一种用户友好的开放签名格式,用于创建基于文本的查询,分析人员可以使用这些查询来描述日志事件,从而使检测结果更易于编写。有几种不同的方法可以将 Sigma 签名转换为 SIEM 工具的查询语言。

  • 您可以使用 Sigma 提供的 CLI 工具和 Python SDK。有关 Sigma 签名的更多信息,请参阅规则用法

  • 您可以使用公共工具,例如 uncoder.io 的 Sigma 翻译引擎,它提供免费套餐。

有关不同的风险见解,请参阅以下不同的自定义指标用例:

安全洞察的 Sigma 签名示例