Splunk 集成
以前,用户无法关联有关其组织安全风险功能的信息,例如风险指示器、用户配置文件和风险评分。因此,用户无法获得对此信息的可行见解。为了满足这一要求,Citrix Analytics 允许用户与 Splunk 集成。
Splunk 集成可帮助您将分析为风险事件分析的数据从 Citrix Analytics 导出到 Splunk 环境中。您可以在单个平台上搜索、收集和分析来自多个数据源的数据。使用此数据,您可以对事件进行故障排除和监控。
Citrix Analytics 不会向 Splunk 发送原始数据。相反,它会发送处理过的数据。发送到 Splunk 的处理过的数据包括:
-
风险评分变 化 — 用户风险评分的变化。当用户的风险评分以任何速度增加或下降 10% 以上时,更改将发送到 Splunk。
-
风险指示器摘要 — 当生成新的风险指示器时,与用户关联的所有风险指示器。
-
用户风险评分 — 用户的当前风险评分。Citrix Analytics 每 12 小时将此数据发送到 Splunk。
-
用户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics 从 Citrix Virtual Apps 检索此数据,并每 12 小时将其发送到 Splunk。
-
用户设备 — 用户关联的设备。Citrix Analytics 从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 Splunk。
-
用户位置 — 上次检测到用户的城市。Citrix Analytics 从 Citrix Content Collaboration 中检索此数据,并每 12 小时将其发送到 Splunk。
-
数据使用情况— 用户通过 Citrix Content Collaboration 上载和下载的数据。Citrix Analytics 每 12 小时将此数据发送到 Splunk。
Splunk 集成的好处
-
在集中位置提高安全警报的可见性
-
为组织风险分析功能(如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。
-
能够在 Splunk 中将用户帐户的 Citrix Analytics 风险智能信息与外部数据源进行组合和关联。
支持的版本
Citrix Analytics 支持在以下操作系统上集成 Splunk:
- Ubuntu 18.04.1
- 红帽企业 Linux 服务器 7.x
- Debian GNU/Linux 9
- CentOS Linux 7.x
- SUSE Linux Enterprise Server 12
您可以在以下 Splunk 版本上配置 Splunk 集成:
- Splunk 云输入数据管理器 (IDM)
- Splunk 8.1 64 位
- Splunk 8.0 64 位
- Splunk 7.3 64 位
- Splunk 7.2 64 位
必备条件
为至少一个数据源启用数据处理。它有助于 Citrix Analytics 开始执行 Splunk 集成过程。
如何将 Citrix Analytics 与 Splunk 集成
按照提到的准则将 Citrix Analytics 与 Splunk 集成:
-
数据导出。Citrix Analytics 创建一个渠道并导出风险智能。Splunk 从渠道检索此风险智能。
-
在 Citrix Analytics 上获取配置。为您的预定义帐户创建密码以进行身份验证。Citrix Analytics 准备您配置 Citrix Analytics add-on for Splunk 所需的配置文件。
-
下载 Citrix Analytics add-on for Splunk。下载 Citrix Analytics Add-on for Splunk (TA_CTXS_AS.tar.gz) 应用程序。
-
安装 Citrix Analytics add-on for Splunk。在 Splunk 中上载 Citrix Analytics add-on for Splunk 并完成安装过程。
-
配置 Citrix Analytics add-on for Splunk。使用 Citrix Analytics 提供的配置详细信息设置数据输入,并配置 Citrix Analytics add-on for Splunk。
准备好 Citrix Analytics 配置文件后,请参阅:
配置 Citrix Analytics add-on for Splunk 后,请参阅:
数据导出
-
转到“设置”>“数据源”>“安全”>“数据导出”。
-
在 Splunk 站点卡上,选择开始。您将被重定向到配置 Splunk 集成页面。
-
在配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。
在 Citrix Analytics 上获取配置
-
通过更新密码和确认密码字段为您的预定义帐户创建密码。
按照显示的密码规则进行操作。
-
单击 配置。Citrix Analytics 开始准备 Splunk 集成所需的配置文件。文件准备好后,您会收到通知。配置详细信息部分提供了诸如用户名、主机、主题名称和组名称等详细信息。
下载 Citrix Analytics add-on for Splunk
-
转到 Citrix Analytics add-on for Splunk 下载 页面(需要登录)。
-
单击下载文件。
-
在最终用户许可协议屏幕上,阅读条款和条件,然后选择是,我接受。下载过程已启动。
-
在下载协议屏幕上,阅读条款和条件。要确认,请选中我已阅读并证明我遵守上述出口管制法复选框。
-
单击 Accept(接受)。
安装 Citrix Analytics add-on for Splunk
-
登录 Splunk 转发器或 Splunk 独立环境。
-
导航到应用程序。
-
单击显示在应用程序旁边的管理应用程序图标。
-
在应用程序页上,单击从文件安装应用程序。
-
在上载应用程序部分,选择 TA_CTXS_AS.tar.gz 应用程序。如果存在应用程序升级,请单击升级应用程序。如果应用程序已存在,选中此选项将覆盖应用程序。
-
单击上载。您会在应用程序页面上收到一条通知消息,说明已安装加载项。Citrix Analytics add-on for Splunk 应用程序将显示在“应用程序”列表中。
配置 Citrix Analytics add-on for Splunk
使用 Citrix Analytics 提供的配置详细信息配置 Citrix Analytics add-on for Splunk。成功配置加载项后,Splunk 开始使用来自 Citrix Analytics 的事件。
-
在 Splunk 主页上,转到设置 > 数据输入。
-
在本地输入部分中,单击 Citrix Analytics 加载项。
-
单击新建。
-
在添加数据页面上,输入 Citrix Analytics 配置文件中提供的详细信息。
-
要自定义默认设置,请单击更多设置并设置数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。
-
单击下一步。将创建您的 Citrix Analytics 数据输入,并成功配置 Citrix Analytics add-on for Splunk。
重置 Citrix Analytics 配置密码
如果要在 Citrix Analytics 上重置配置密码,请执行以下步骤:
-
在 Citrix Analytics 上的配置页上,单击重置密码。
-
在重置密码窗口中,在新密码和确认新密码字段中指定更新的密码。按照显示的密码规则进行操作。
-
单击“重置”。配置文件准备工作已启动。
注意
重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它可以帮助 Citrix Analytics 继续向 Splunk 传输数据。
打开或关闭数据传输
准备好 Citrix Analytics 配置文件后,将为 Splunk 打开数据传输。Citrix Analytics 可以将风险 智能信息传输到 Splunk。
要停止从 Citrix Analytics 传输数据:
-
转到“设置”>“数据源”>“安全”>“数据导出”。
-
在 Splunk 站点卡上,选择垂直省略号 (),然后单击关闭数据传输。
-
要确认,请单击关闭数据传输。
如何在 Splunk 中使用事件
配置加载项后,Splunk 开始从 Citrix Analytics 中检索风险智能。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。
搜索结果将按以下格式显示:
示例输出:
要搜索和调试附加组件的问题,请使用以下搜索查询:
结果以以下格式显示:
