Azure Sentinel 集成

Citrix Analytics 现在使用户能够将分析的风险事件的数据从 Citrix Analytics 导出到其 Microsoft Azure Sentinel 环境中。通过此功能,您可以在单个平台上收集、搜索和分析来自多个数据源的数据。使用此数据,您可以监视事件、故障排除以及自动执行缓解操作。

Citrix Analytics 不会将原始数据发送到 Azure Sentinel。而是发送处理过的数据。发送到 Azure Sentinel 的处理数据包括:

  • 用户风险评分 — 用户的当前风险评分。Citrix Analytics 每 12 小时将此数据发送到 Azure Sentinel。

  • 风险评分变化 — 这是用户风险评分的变化。当用户的风险评分以任何速度增加或下降超过 10% 时,更改将发送到 Azure Sentinel。

  • 风险指示器摘要 — 当生成新的风险指示器时,与用户关联的所有风险指示器。

Azure Sentinel 集成的好处

  • 在集中位置提高安全警报的可见性。

  • 为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。

  • 能够在 Azure Sentinel 内将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。

必备条件

为至少一个数据源启用数据处理。它有助于 Citrix Analytics 开始执行 Azure Sentinel 集成过程。

如何将 Citrix Analytics 与 Azure Sentinel 集成

按照上述准则将 Citrix Analytics 与 Azure Sentinel 集成:

  • 数据导出。Citrix Analytics 创建一个渠道并导出风险智能。Azure Sentinel 从渠道中检索此风险智能。

  • 获取 Citrix Analytics 的配置。使用 Citrix Analytics 创建帐户以验证 Azure Sentinel 集成。Citrix Analytics 使用帐户准备集成所需的配置文件。配置文件用于配置 Citrix Analytics Adapter for Azure Sentinel

  • 下载 Citrix Analytics Adapter for Azure Sentinel。从 GitHub 下载 Citrix Analytics Adapter for Azure Sentinel 应用程序。适配器是一个 Python 程序,它使用来自 Citrix Analytics 托管的租户特定的 Kafka 主题的警报。您可以在任何使用 Python 2.7 或更高版本的物理机或虚拟机上运行适配器。使用 REST API 将已消耗警报发布到 Azure Sentinel。

  • 安装 Citrix Analytics Adapter for Azure Sentinel。在计算机上安装 Citrix Analytics Adapter for Azure Sentinel,以便其可以接收 Kafka 数据。适配器包含用于连接到 Azure Sentinel 和 Citrix Analytics 上的 Kafka 界面的占位符变量。安装适配器后,请执行以下操作:

    • 将与 Kafka 界面相关的占位符变量替换为从 Citrix Analytics 准备的配置文件中获取的值。

    • 将 Azure Sentinel 相关的占位符变量(对于工作区 ID 和 API 密钥)替换为 Azure 帐户中的相应值。

如何在 Azure Sentinel 中使用事件

安装并配置适配器后,请执行以下操作:

  1. 在 Azure 门户中打开 Azure Sentinel 工作区。

  2. 在“配置”部分中,选择“数据连接器”。

  3. 选择 Citrix Analytics 数据连接器 ,然后选择打开连接器页面。按照说明将事件连接到 Azure Sentinel。

  4. 选择“后 续步骤”选项卡,然后选择推荐的工作簿以查看示例查询。

注意

  • Azure Sentinel 与 Citrix Analytics 的集成目前通常不可用。因此,上述信息可能会发生变化。

  • 将数据添加到 Azure Sentinel 时,请联系 CAS-PM-Ext@citrix.com 以获取对 Citrix Analytics Adapter for Azure Sentinel 的访问权限以及获取帮助。