Splunk 集成

以前,用户无法关联有关其组织安全风险功能的信息,例如风险指示器、用户配置文件和风险评分。因此,用户无法获得对此信息的可操作见解。为了满足此要求,Citrix Analytics 允许用户与 Splunk 集成。

Splunk 集成可帮助您将针对风险事件分析的数据从 Citrix Analytics 导出到 Splunk 环境中。您可以在单个平台上搜索、收集和分析来自多个数据源的数据。使用此数据,您可以排除故障并监视事件。

Citrix Analytics 不会将原始数据发送到 Splunk。而是发送处理过的数据。发送到 Splunk 的处理数据包括:

  • 风险评分变化 — 这是用户风险评分的变化。当用户的风险评分以任何速度增加或下降超过 10% 时,更改将发送到 Splunk。

  • 风险指示器摘要 — 当生成新的风险指示器时,与用户关联的所有风险指示器。

  • 用户风险评分 — 用户的当前风险评分。Citrix Analytics 每 12 小时将此数据发送到 Splunk。

  • 用户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics 从 Citrix Virtual Apps 检索此数据,并每 12 小时将其发送到 Splunk。

  • 用户设备 — 与用户关联的设备。Citrix Analytics 从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 Splunk。

  • 用户位置 — 上次检测到用户的城市。Citrix Analytics 从 Citrix Content Collaboration 中检索此数据,并每 12 小时将其发送到 Splunk。

  • 数据使用情况— 用户通过 Citrix Content Collaboration 上载和下载的数据。Citrix Analytics 每 12 小时将此数据发送到 Splunk。

Splunk 集成的优势

  • 在集中位置提高安全警报的可见性

  • 为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。

  • 能够在 Splunk 中将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。

必备条件

为至少一个数据源启用数据处理。它有助于 Citrix Analytics 开始执行 Splunk 集成过程。

如何将 Citrix Analytics 与 Splunk 集成

请按照上述指南将 Citrix Analytics 与 Splunk 集成:

准备好了 Citrix Analytics 配置文件后,请参阅:

配置 Citrix Analytics add-on for Splunk 后,请参阅:

数据导出

  1. 转到“设置”>“数据源”>“安全”>“数据导出”。

  2. Splunk 站点卡上,选择开始。您将被重定向到配置 Splunk 集成页面。

    数据导出

  3. 配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。

获取有关 Citrix Analytics 的配置

  1. 通过更新密码确认密码字段为您的预定义帐户创建密码。

    Citrix Analytics 配置

    按照显示的密码规则进行操作。

    Citrix Analytics 配置

  2. 单击 配置。Citrix Analytics 开始准备 Splunk 集成所需的配置文件。准备文件时,您会收到通知。配置详细信息部分提供了诸如用户名、主机、主题名称和组名称等详细信息。

    Citrix Analytics 配置

下载 Citrix Analytics add-on for Splunk

  1. 转到 Citrix Analytics add-on for Splunk 下载 页面(需要登录)。

  2. 单击下载文件

    Citrix Analytics 配置

  3. 最终用户许可协议屏幕上,阅读条款和条件,然后选择是,我接受。下载过程已启动。

    Citrix Analytics 配置

  4. 下载协议屏幕上,阅读条款和条件。要确认,请选中我已阅读并证明我遵守上述出口管制法复选框。

  5. 单击 Accept(接受)。

    Citrix Analytics 配置

安装 Citrix Analytics add-on for Splunk

  1. 登录到您的 Splunk 转发器或 Splunk 独立环境。

    Splunk 安装

  2. 导航到应用程序

    Splunk 安装

  3. 单击显示在应用程序旁边的管理应用程序图标。

    Splunk 安装

  4. 应用程序页上,单击从文件安装应用程序

    Splunk 安装

  5. 上载应用程序部分,选择 TA_CTXS_AS.tar.gz 应用程序。如果存在应用程序升级,请单击升级应用程序。如果应用程序已存在,选中此选项将覆盖应用程序

    Splunk 安装

  6. 单击上载。您会在应用程序页面上收到一条通知消息,说明已安装加载项。Citrix Analytics add-on for Splunk 应用程序将显示在“应用程序”列表中。

    Splunk 安装

配置 Citrix Analytics add-on for Splunk

使用 Citrix Analytics 提供的配置详细信息配置 Citrix Analytics add-on for Splunk。成功配置插件后,Splunk 会开始使用 Citrix Analytics 中的事件。

  1. 在 Splunk 主页上,转到设置 > 数据输入

    Splunk 配置

  2. 本地输入部分中,单击 Citrix Analytics 加载项

    Splunk 配置

  3. 单击新建

    Splunk 配置

  4. 添加数据页面上,输入 Citrix Analytics 配置文件中提供的详细信息。

    Splunk 配置

  5. 要自定义默认设置,请单击更多设置并设置数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。

    Splunk 配置

  6. 单击下一步。将创建您的 Citrix Analytics 数据输入,并成功配置 Citrix Analytics add-on for Splunk。

重置 Citrix Analytics 配置密码

如果要在 Citrix Analytics 上重置配置密码,请按照下面提到的步骤操作:

  1. Citrix Analytics 上的配置页上,单击重置密码

    重置密码

  2. 重置密码窗口中,在新密码确认新密码字段中指定更新的密码。按照显示的密码规则进行操作。

    Citrix Analytics 配置

  3. 单击“重置”。配置文件准备已启动。

    重置密码

注意

重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它可以帮助 Citrix Analytics 继续将数据传输到 Splunk。

打开或关闭数据传输

准备好了 Citrix Analytics 配置文件后,Splunk 会打开数据传输。Citrix Analytics 可以将风险 智能信息传输到 Splunk。

要停止从 Citrix Analytics 传输数据,请执行以下操作:

  1. 转到“设置”>“数据源”>“安全”>“数据导出”。

  2. Splunk 站点卡上,选择垂直省略号 (),然后单击关闭数据传输

    数据传输

  3. 要确认,请单击关闭数据传输

    数据传输

如何在 Splunk 中使用事件

配置加载项后,Splunk 开始从 Citrix Analytics 中检索风险智能。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。

搜索结果将按以下格式显示:

Splunk 事件消耗量

下面提供了示例输出:

Splunk 事件消耗量

要搜索和调试附加组件的问题,请使用以下搜索查询:

Splunk 事件消耗量

结果显示为以下格式:

Splunk 事件消耗量

支持的版本

Citrix Analytics 在 Ubuntu 18.04.1Red Hat Enterprise Linux Server 7.xDebian GNU/Linux 9CentOS Linux 7.xSUSE Linux Enterprise Server 12 操作系统中支持 Splunk 集成。

您可以在以下 Splunk 版本上配置 Splunk 集成:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位
  • Splunk 7.2 64 位
  • Splunk 7.1 64 位
  • Splunk 7.0 64 位
  • Splunk 6.6 64 位
  • Splunk 6.5 64 位

Splunk 集成