Splunk 集成

以前,用户无法关联有关其组织安全风险功能的信息,例如风险指示器、用户配置文件和风险评分。因此,用户无法获取有关此信息的可操作见解。为满足此要求,Citrix Analytics 允许用户与 Splunk 集成。

Splunk 集成可帮助您将 Citrix Analytics 中针对危险事件分析的数据导出到您的 Splunk 环境中。您可以在单个平台上搜索、收集和分析来自多个数据源的数据。使用此数据,您可以对事件进行故障排除和监视。

Citrix Analytics 不会将原始数据发送到 Splunk。相反,它会发送处理过的数据。发送到 Splunk 的处理数据包括:

  • 风险评分变化 — 这是用户风险评分变化。当用户的风险评分以任何速度增加或下降超过 10% 时,更改将发送到 Splunk。

  • 风险指示器摘要 — 当生成新的风险指示器时,与用户关联的所有风险指示器。

  • 用户风险评分 — 用户当前风险评分。Citrix Analytics 每 12 小时将此数据发送到 Splunk。

  • 户应 用程序 — 用户已启动和使用的应用程序。Citrix Analytics 从 Citrix Vitrual Apps 检索此数据,并每 12 小时将其发送到 Splunk。

  • 用户设备 — 与用户关联的设备。Citrix Analytics 从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 Splunk。

  • 用户位置 — 上次检测到用户的城市。Citrix Analytics 从 Citrix Content Collaboration 中检索此数据,并每 12 小时将其发送到 Splunk。

  • 数据使用情况— 用户通过 Citrix Content Collaboration 上载和下载的数据。Citrix Analytics 每 12 小时将此数据发送到 Splunk。

Splunk 集成的优势

  • 集中式安全警报的可见性更高

  • 为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。

  • 能够在 Splunk 中将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。

必备条件

为至少一个数据源启用数据处理。它有助于 Citrix Analytics 开始执行 Splunk 集成过程。

如何将 Citrix Analytics 与 Splunk 集成

按照上述准则将 Citrix Analytics 与 Splunk 集成:

准备好 Citrix Analytics 配置文件后,请参阅:

配置 Citrix Analytics add-on for Splunk 后,请参阅:

数据导出

  1. 转到“ 设置 ”>“ 数据源 ”>“ 数据导出 ”。

  2. Splunk 站点卡上,选择开始。您将被重定向到配置 Splunk 集成页面。

    数据导出

  3. 配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。

获取 Citrix Analytics 上的配置

  1. 通过更新密码和 **确认密码字段,为您的预定义帐户创建密码 。**请确保遵守显示的密码规则。

    Citrix Analytics 配置

  2. 单击 配置。Citrix Analytics 开始准备 Splunk 集成所需的配置文件。当文件准备好时,您会收到通知。配置详细信息部分提供了诸如用户名、主机、主题名称和组名称等详细信息。

    Citrix Analytics 配置

下载 Citrix Analytics add-on for Splunk

  1. 转到 Citrix Analytics add-on for Splunk 下载 页面(需要登录)。

  2. 点击 下载文件

    Citrix Analytics 配置

  3. 最终用户许可协议屏幕上,阅读条款和条件,然后选择是,我接受。下载过程已启动。

    Citrix Analytics 配置

  4. 下载协议屏幕上,阅读条款和条件。要确认,请选中我已阅读并证明我遵守上述出口管制法复选框。

  5. 单击 Accept(接受)。

    Citrix Analytics 配置

安装 Citrix Analytics add-on for Splunk

  1. 登录到您的 Splunk 转发器或 Splunk 独立环境。

    Splunk 安装

  2. 导航到 应用程序

    Splunk 安装

  3. 单击显示在应用程序旁边的管理应用程序图标。

    Splunk 安装

  4. 应用程序页上,单击从文件安装应用程序

    Splunk 安装

  5. 上载应用程序部分,选择 TA_CTXS_AS.tar.gz 应用程序。如果存在应用程序升级,请单击升级应用程序。如果应用程序已存在,选中此选项将覆盖应用程序

    Splunk 安装

  6. 单击上载。您会在 应用程序 页面上收到一条通知消息,说明安装了加载项。Citrix Analytics add-on for Splunk 应用程序将显示在“应用程序”列表中。

    Splunk 安装

配置 Citrix Analytics add-on for Splunk

使用 Citrix Analytics 提供的配置详细信息配置 Citrix Analytics add-on for Splunk。成功配置加载项后,Splunk 开始使用 Citrix Analytics 中的事件。

  1. 在 Splunk 主页上,转到设置 > 数据输入

    Splunk 配置

  2. 本地输入部分中,单击 Citrix Analytics 加载项

    Splunk 配置

  3. 单击新建

    Splunk 配置

  4. 添加数据页面上,输入 Citrix Analytics 配置文件中提供的详细信息。

    Splunk 配置

  5. 要自定义默认设置,请单击更多设置并设置数据输入。您可以定义您自己的 Splunk 索引、主机名和源类型。

    Splunk 配置

  6. 点击 下一步。将创建您的 Citrix Analytics 数据输入,并成功配置 Citrix Analytics add-on for Splunk。

重置 Citrix Analytics 配置密码

如果要在 Citrix Analytics 上重置配置密码,请按照以下步骤操作:

  1. Citrix Analytics 上的配置 页面上,单击 重置密码

    重置密码

  2. 重置密码窗口中,在新密码确认新密码字段中指定更新的密码。按照显示的密码规则进行操作。

  3. 点击 重置。配置文件准备已启动。

    重置密码

注意

重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics 继续将数据传输到 Splunk。

打开或关闭数据传输

准备好 Citrix Analytics 配置文件后,将为 Splunk 打开数据传输。Citrix Analytics 可以将风险 智能信息传输到 Splunk。

要停止从 Citrix Analytics 传输数据,请执行以下操作:

  1. 转到“ 设置 ”>“ 数据源 ”>“ 数据导出 ”。

  2. Splunk 站点卡上,选择垂直省略号 (),然后单击关闭数据传输

    数据传输

  3. 若要确认,请单击 关闭数据传输

    数据传输

如何在 Splunk 中使用事件

配置加载项后,Splunk 开始从 Citrix Analytics 中检索风险智能。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。

搜索结果显示为以下格式:

Splunk 事件消耗量

下面提供了示例输出:

Splunk 事件消耗量

若要搜索和调试附加组件的问题,请使用以下搜索查询:

Splunk 事件消耗量

结果显示为以下格式:

Splunk 事件消耗量

支持的版本

Citrix Analytics 在 Ubuntu 18.04.1Red Hat Enterprise Linux Server 7.xDebian GNU/Linux 9CentOS Linux 7.xSUSE Linux Enterprise Server 12 操作系统中支持 Splunk 集成。

您可以在以下 Splunk 版本上配置 Splunk 集成:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位
  • Splunk 7.2 64 位
  • Splunk 7.1 64 位
  • Splunk 7.0 64 位
  • Splunk 6.6 64 位
  • Splunk 6.5 64 位