Citrix Analytics for Security

Splunk 集成

以前,用户无法关联有关其组织安全风险功能的信息,例如风险指示器、用户配置文件和风险评分。因此,用户无法获得对此信息的可行见解。为了满足此要求,适用于安全的 Citrix Analytics 允许用户与 Splunk 集成。

Splunk 集成可帮助您将针对风险事件分析的数据从 Citrix Analytics for Security 导出到您的 Splunk 环境中。您可以在单个平台上搜索、收集和分析来自多个数据源的数据。使用此数据,您可以对事件进行故障排除和监控。

Citrix Analytics for Security 不会向 Splunk 发送原始数据。相反,它会发送处理过的数据。发送到 Splunk 的处理过的数据包括:

  • 风险评分变 化 — 用户风险评分的变化。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。

  • 风险指示器摘要 — 与用户关联的所有风险指标。

  • 用户风险评分 — 用户的当前风险评分。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。

  • 户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics 安全版将从 Citrix Virtual Apps 中检索此数据,然后每 12 小时将其发送到 Splunk。

  • 用户设备 — 与用户关联的设备。适用于安全的 Citrix Analytics 会从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,然后每 12 小时将其发送到 Splunk。

  • 用户位置 — 上次检测到用户的城市。适用于安全的 Citrix Analytics 将从 Citrix Content Collaboration 和 Citrix Virtual Apps and Desktops 中检索此数据。这些数据每 12 小时发送到 Splunk。

  • 数据使用情况— 用户通过 Citrix Content Collaboration 上传和下载的数据。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。

有关已处理数据的模式的信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

Splunk 集成的好处

  • 在集中位置提高安全警报的可见性

  • 为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。

  • 能够在 Splunk 中将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。

支持的版本

适用于安全的 Citrix Analytics 支持在以下操作系统上集成 Splunk:

  • Ubuntu 18.04.1
  • 红帽企业 Linux 服务器 7.x
  • Debian GNU/Linux 9
  • CentOS Linux 7.x
  • SUSE Linux Enterprise Server 12

您可以在以下 Splunk 版本上配置 Splunk 集成:

  • Splunk 云输入数据管理器 (IDM)
  • Splunk 8.1 64 位
  • Splunk 8.0 64 位
  • Splunk 7.3 64 位
  • Splunk 7.2 64 位

必备条件

为至少一个数据源启用数据处理。它有助于 Citrix Analytics(安全分析)开始 Splunk 集成过程。

如何将 Citrix Analytics for Security 与 Splunk 集成

遵循上述准则,将适用于安全的 Citrix Analytics 与 Splunk 集成:

准备好 Citrix Analytics 配置文件后,请参阅:

配置 Citrix Analytics add-on for Splunk 后,请参阅:

数据导出

  1. 转到“设置”>“数据源”>“安全”>“数据导出”。

  2. Splunk 站点卡上,选择开始。您将被重定向到配置 Splunk 集成页面。

    数据导出

  3. 配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。

在 Citrix Analytics 上获取安全配置

  1. 通过更新密码确认密码字段为您的预定义帐户创建密码。

    Citrix Analytics 配置

    按照显示的密码规则进行操作。

    Citrix Analytics 配置

  2. 单击 配置。适用于安全的 Citrix Analytics 开始准备 Splunk 集成所需的配置文件。文件准备好后,您会收到通知。配置详细信息部分提供了诸如用户名、主机、主题名称和组名称等详细信息。

    Citrix Analytics 配置

下载 Citrix Analytics add-on for Splunk

  1. 转到 Citrix Analytics add-on for Splunk 下载 页面(需要登录)。

  2. 单击下载文件

    Citrix Analytics 配置

  3. 最终用户许可协议屏幕上,阅读条款和条件,然后选择是,我接受。下载过程已启动。

    Citrix Analytics 配置

  4. 下载协议屏幕上,阅读条款和条件。要确认,请选中我已阅读并证明我遵守上述出口管制法复选框。

  5. 单击 Accept(接受)。

    Citrix Analytics 配置

安装 Citrix Analytics add-on for Splunk

  1. 登录 Splunk 转发器或 Splunk 独立环境。

    Splunk 安装

  2. 导航到应用程序

    Splunk 安装

  3. 单击显示在应用程序旁边的管理应用程序图标。

    Splunk 安装

  4. 应用程序页上,单击从文件安装应用程序

    Splunk 安装

  5. 上载应用程序部分,选择 TA_CTXS_AS.tar.gz 应用程序。如果存在应用程序升级,请单击升级应用程序。如果应用程序已存在,选中此选项将覆盖应用程序

    Splunk 安装

  6. 单击上载。您会在应用程序页面上收到一条通知消息,说明已安装加载项。Citrix Analytics add-on for Splunk 应用程序将显示在“应用程序”列表中。

    Splunk 安装

配置 Citrix Analytics add-on for Splunk

使用针对安全性的 Citrix Analytics 提供的配置详细信息为 Splunk 配置 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics 中的安全性事件。

  1. 在 Splunk 主页上,转到设置 > 数据输入

    Splunk 配置

  2. 本地输入部分中,单击 Citrix Analytics 加载项

    Splunk 配置

  3. 单击新建

    Splunk 配置

  4. 添加数据页面上,输入 Citrix Analytics 配置文件中提供的详细信息。

    Splunk 配置

  5. 要自定义默认设置,请单击更多设置并设置数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。

    Splunk 配置

  6. 单击下一步。将创建您的 Citrix Analytics 数据输入,并成功配置 Citrix Analytics add-on for Splunk。

重置 Citrix Analytics 配置密码

如果要在 Citrix Analytics 上重置配置密码,请执行以下步骤:

  1. Citrix Analytics 上的配置页上,单击重置密码

    重置密码

  2. 重置密码窗口中,在新密码确认新密码字段中指定更新的密码。按照显示的密码规则进行操作。

    Citrix Analytics 配置

  3. 单击“重置”。配置文件准备工作已启动。

    重置密码

注意

重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics(安全分析)继续向 Splunk 传输数据。

打开或关闭数据传输

准备好 Citrix Analytics 配置文件后,将为 Splunk 打开数据传输。Citrix Analytics for Security 可以将风险情报信息传输给 Splunk。

要停止从 Citrix Analytics 针对安全性传输数据:

  1. 转到“设置”>“数据源”>“安全”>“数据导出”。

  2. Splunk 站点卡上,选择垂直省略号 (),然后单击关闭数据传输

    数据传输

  3. 要确认,请单击关闭数据传输

    数据传输

如何在 Splunk 中使用事件

配置附加组件后,Splunk 开始从 Citrix Analytics 针对安全检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。

搜索结果将按以下格式显示:

Splunk 活动消费

示例输出:

Splunk 活动消费

要搜索和调试附加组件的问题,请使用以下搜索查询:

Splunk 活动消费

结果以以下格式显示:

Splunk 活动消费

Splunk 集成