Splunk 集成
以前,用户无法关联有关其组织安全风险功能的信息,例如风险指示器、用户配置文件和风险评分。因此,用户无法获得对此信息的可行见解。为了满足此要求,适用于安全的 Citrix Analytics 允许用户与 Splunk 集成。
Splunk 集成可帮助您将针对风险事件分析的数据从 Citrix Analytics for Security 导出到您的 Splunk 环境中。您可以在单个平台上搜索、收集和分析来自多个数据源的数据。使用此数据,您可以对事件进行故障排除和监控。
Citrix Analytics for Security 不会向 Splunk 发送原始数据。相反,它会发送处理过的数据。发送到 Splunk 的处理过的数据包括:
-
风险评分变 化 — 用户风险评分的变化。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。
-
风险指示器摘要 — 与用户关联的所有风险指标。
-
用户风险评分 — 用户的当前风险评分。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。
-
用户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics 安全版将从 Citrix Virtual Apps 中检索此数据,然后每 12 小时将其发送到 Splunk。
-
用户设备 — 与用户关联的设备。适用于安全的 Citrix Analytics 会从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,然后每 12 小时将其发送到 Splunk。
-
用户位置 — 上次检测到用户的城市。适用于安全的 Citrix Analytics 将从 Citrix Content Collaboration 和 Citrix Virtual Apps and Desktops 中检索此数据。这些数据每 12 小时发送到 Splunk。
-
数据使用情况— 用户通过 Citrix Content Collaboration 上传和下载的数据。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。
有关已处理数据的模式的信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。
Splunk 集成的好处
-
在集中位置提高安全警报的可见性
-
为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。
-
能够在 Splunk 中将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。
支持的版本
适用于安全的 Citrix Analytics 支持在以下操作系统上集成 Splunk:
- Ubuntu 18.04.1
- 红帽企业 Linux 服务器 7.x
- Debian GNU/Linux 9
- CentOS Linux 7.x
- SUSE Linux Enterprise Server 12
您可以在以下 Splunk 版本上配置 Splunk 集成:
- Splunk 云输入数据管理器 (IDM)
- Splunk 8.1 64 位
- Splunk 8.0 64 位
- Splunk 7.3 64 位
- Splunk 7.2 64 位
必备条件
为至少一个数据源启用数据处理。它有助于 Citrix Analytics(安全分析)开始 Splunk 集成过程。
如何将 Citrix Analytics for Security 与 Splunk 集成
遵循上述准则,将适用于安全的 Citrix Analytics 与 Splunk 集成:
-
数据导出. 适用于安全的 Citrix Analytics 创建渠道并导出风险情报。Splunk 从渠道检索此风险智能。
-
在 Citrix Analytics 上获取配置. 为您的预定义帐户创建密码以进行身份验证。适用于安全的 Citrix Analytics 为 Splunk 准备配置 Citrix Analytics 加载项所需的配置文件。
-
下载 Citrix Analytics add-on for Splunk. 下载 Citrix Analytics Add-on for Splunk (TA_CTXS_AS.tar.gz) 应用程序。
-
安装 Citrix Analytics add-on for Splunk. 在 Splunk 中上载 Citrix Analytics add-on for Splunk 并完成安装过程。
-
配置 Citrix Analytics add-on for Splunk. 使用 Citrix Analytics 针对安全性提供的配置详细信息来设置数据输入,并为 Splunk 配置 Citrix Analytics 加载项。
准备好 Citrix Analytics 配置文件后,请参阅:
配置 Citrix Analytics add-on for Splunk 后,请参阅:
数据导出
-
转到“设置”>“数据源”>“安全”>“数据导出”。
-
在 Splunk 站点卡上,选择开始。您将被重定向到配置 Splunk 集成页面。
![数据导出]()
-
在配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。
在 Citrix Analytics 上获取安全配置
-
通过更新密码和确认密码字段为您的预定义帐户创建密码。
![Citrix Analytics 配置]()
按照显示的密码规则进行操作。
![Citrix Analytics 配置]()
-
单击 配置。适用于安全的 Citrix Analytics 开始准备 Splunk 集成所需的配置文件。文件准备好后,您会收到通知。配置详细信息部分提供了诸如用户名、主机、主题名称和组名称等详细信息。
![Citrix Analytics 配置]()
下载 Citrix Analytics add-on for Splunk
-
转到 Citrix Analytics add-on for Splunk 下载 页面(需要登录)。
-
单击下载文件。
![Citrix Analytics 配置]()
-
在最终用户许可协议屏幕上,阅读条款和条件,然后选择是,我接受。下载过程已启动。
![Citrix Analytics 配置]()
-
在下载协议屏幕上,阅读条款和条件。要确认,请选中我已阅读并证明我遵守上述出口管制法复选框。
-
单击 Accept(接受)。
![Citrix Analytics 配置]()
安装 Citrix Analytics add-on for Splunk
-
登录 Splunk 转发器或 Splunk 独立环境。
![Splunk 安装]()
-
导航到应用程序。
![Splunk 安装]()
-
单击显示在应用程序旁边的管理应用程序图标。
![Splunk 安装]()
-
在应用程序页上,单击从文件安装应用程序。
![Splunk 安装]()
-
在上载应用程序部分,选择 TA_CTXS_AS.tar.gz 应用程序。如果存在应用程序升级,请单击升级应用程序。如果应用程序已存在,选中此选项将覆盖应用程序。
![Splunk 安装]()
-
单击上载。您会在应用程序页面上收到一条通知消息,说明已安装加载项。Citrix Analytics add-on for Splunk 应用程序将显示在“应用程序”列表中。
![Splunk 安装]()
配置 Citrix Analytics add-on for Splunk
使用针对安全性的 Citrix Analytics 提供的配置详细信息为 Splunk 配置 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics 中的安全性事件。
-
在 Splunk 主页上,转到设置 > 数据输入。
![Splunk 配置]()
-
在本地输入部分中,单击 Citrix Analytics 加载项。
![Splunk 配置]()
-
单击新建。
![Splunk 配置]()
-
在添加数据页面上,输入 Citrix Analytics 配置文件中提供的详细信息。
![Splunk 配置]()
-
要自定义默认设置,请单击更多设置并设置数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。
![Splunk 配置]()
-
单击下一步。将创建您的 Citrix Analytics 数据输入,并成功配置 Citrix Analytics add-on for Splunk。
重置 Citrix Analytics 配置密码
如果要在 Citrix Analytics 上重置配置密码,请执行以下步骤:
-
在 Citrix Analytics 上的配置页上,单击重置密码。
![重置密码]()
-
在重置密码窗口中,在新密码和确认新密码字段中指定更新的密码。按照显示的密码规则进行操作。
![Citrix Analytics 配置]()
-
单击“重置”。配置文件准备工作已启动。
![重置密码]()
注意
重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics(安全分析)继续向 Splunk 传输数据。
打开或关闭数据传输
准备好 Citrix Analytics 配置文件后,将为 Splunk 打开数据传输。Citrix Analytics for Security 可以将风险情报信息传输给 Splunk。
要停止从 Citrix Analytics 针对安全性传输数据:
-
转到“设置”>“数据源”>“安全”>“数据导出”。
-
在 Splunk 站点卡上,选择垂直省略号 (),然后单击关闭数据传输。
![数据传输]()
-
要确认,请单击关闭数据传输。
![数据传输]()
如何在 Splunk 中使用事件
配置附加组件后,Splunk 开始从 Citrix Analytics 针对安全检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。
搜索结果将按以下格式显示:
示例输出:
要搜索和调试附加组件的问题,请使用以下搜索查询:
结果以以下格式显示:
