Citrix Analytics for Security

微软 Azure 哨兵集成

注意

  • Azure Sentinel 与 Citrix Analytics for Security 集成目前尚不可用。因此,以下信息可能会更改。

  • 将数据添加到 Azure Sentinel 时,请联系 CAS-PM-Ext@citrix.com 以获取对 Citrix Analytics Adapter for Azure Sentinel 的访问权限以及获取帮助。

Citrix Analytics for Security 使用户能够将分析过的风险事件的数据导出到他们的 Microsoft Azure Sentinel 环境中。通过此功能,您可以在单个平台上收集、搜索和分析来自多个数据源的数据。使用此数据,您可以监视事件、故障排除以及自动执行缓解操作。

Citrix Analytics for Security 不会向 Azure Sentinel 发送原始数据。相反,它会发送处理过的数据。发送到 Azure Sentinel 的处理数据包括:

  • 用户风险评分 — 用户的当前风险评分。Citrix Analytics for Security 每 12 小时将此数据发送到 Azure Sentinel。

  • 风险评分变化 — 这是用户风险评分的变化。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。

  • 风险指示器摘要 — 与用户关联的所有风险指标。

有关已处理数据的模式的信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

Azure Sentinel 集成的好处

  • 在集中位置提高安全警报的可见性。

  • 为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。

  • 能够在 Azure Sentinel 内将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。

必备条件

为至少一个数据源启用数据处理。它有助于 Citrix Analytics for Security 开始 Azure Sentinel 集成过程。

如何将 Citrix Analytics 与 Azure Sentinel 集成

遵循上述准则,将适用于安全的 Citrix Analytics 与 Azure Sentinel 集成:

  • 数据导出。适用于安全的 Citrix Analytics 创建渠道并导出风险情报。Azure Sentinel 从渠道中检索此风险智能。

  • 在 Citrix Analytics 上获取安全性的配置。使用 Citrix Analytics 针对安全创建帐户以验证 Azure Sentinel 集成。适用于安全的 Citrix Analytics 使用该帐户准备集成所需的配置文件。配置文件用于配置 Citrix Analytics Adapter for Azure Sentinel

  • 下载 Citrix Analytics Adapter for Azure Sentinel。从 GitHub 下载 Citrix Analytics Adapter for Azure Sentinel 应用程序。适配器是一个 Python 程序,它使用来自 Citrix Analytics 托管的租户特定的 Kafka 主题的警报。您可以在使用 Python 2.7 或更高版本的任何物理机或虚拟机上运行适配器。使用 REST API 将消耗的警报发布到 Azure Sentinel。

  • 安装 Citrix Analytics Adapter for Azure Sentinel。在计算机上安装 Citrix Analytics Adapter for Azure Sentinel,以便其可以接收 Kafka 数据。该适配器包含用于连接到 Azure Sentinel 的占位符变量和 Citrix Analytics 针对安全的 Kafka 界面。安装适配器后,请执行以下操作:

    • 将与 Kafka 界面相关的占位符变量替换为从 Citrix Analytics for Security 准备的配置文件中获取的值。

    • 将 Azure Sentinel 相关的占位符变量(对于 Workspace ID 和 API 密钥)替换为 Azure 帐户中的相应值。

如何在 Azure Sentinel 中使用事件

安装和配置适配器后,请执行以下操作:

  1. 在 Azure 门户中打开 Azure Sentinel Workspace。

  2. 在“配置”部分中,选择“数据连接器”。

  3. 选择 Citrix Analytics 数据连接器 ,然后选择打开连接器页面。按照说明将事件连接到 Azure Sentinel。

  4. 选择“后 续步骤”选项卡,然后选择推荐的工作簿以查看示例查询。

微软 Azure 哨兵集成