Splunk 集成
将 Citrix Analytics for Security 与 Splunk 集成,以从 Citrix IT 环境中导出和关联用户的数据,并更深入地了解组织的安全状况。这种集成增强了 Citrix Analytics for Security 和 Splunk 部署的价值。它使安全运营团队能够关联、分析和搜索来自不同日志的数据,从而帮助他们识别并快速补救安全风险。此外,您还可以在 Splunk 环境中查看 Citrix Analytics for Security 专用的富有洞察力的控制板。您可以根据自己的安全要求创建自定义视图。
Citrix Analytics for Security 处理 Citrix IT 环境中多个产品中的用户数据。Citrix Analytics for Security 不会向 Splunk 发送原始数据。相反,它会发送处理过的数据,其中包括:
-
风险评分变 化 — 用户风险评分的变化。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。
-
风险指示器摘要 — 与用户关联的所有风险指标。
-
用户风险评分 — 用户的当前风险评分。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。
-
用户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics for Security 将从 Citrix Virtual Apps 中检索此数据,然后每 12 小时将其发送到 Splunk。
-
用户设备 — 与用户关联的设备。Citrix Analytics for Security 会从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,然后每 12 小时将其发送到 Splunk。
-
用户位置 — 上次检测到用户的城市。Citrix Analytics for Security 从 Citrix Content Collaboration 中检索此数据。这些数据每 12 小时发送到 Splunk。
-
数据使用情况— 用户通过 Citrix Content Collaboration 上传和下载的数据。Citrix Analytics for Security 每 12 小时向 Splunk 发送此数据。
有关已处理数据架构的信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。
Splunk 集成的好处
-
在集中位置提高安全警报的可见性
-
为组织风险分析功能(例如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。
-
能够在 Splunk 中将用户帐户的 Citrix Analytics 风险情报信息与外部数据源进行组合和关联。
支持的版本
Citrix Analytics for Security 支持在以下操作系统上集成 Splunk:
- CentOS Linux 7 及更高版本
- Debian GNU/Linux 10.0 及更高版本
- 红帽企业 Linux 服务器 7.0 及更高版本
- Ubuntu 18.04 LTS 及更高版本
重要的
Citrix 建议使用之前的操作系统的最新版本或相应供应商仍在支持下的版本。
对于 Linux 内核(64 位)操作系统,请使用 Splunk 支持的内核版本。有关更多信息,请参阅 Splunk 文档。
您可以在以下 Splunk 版本上配置 Splunk 集成:
-
Splunk 云输入数据管理器 (IDM)
-
Splunk 7.3(64 位)及更高版本
必备条件
-
适用于 Splunk 的 Citrix Analytics 附加组件 连接到 Citrix Analytics for Security 上的以下端点。确保终端节点位于网络中的允许列表中。
端点 美国地区 欧盟地区 Kafka 中转站 casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094 -
为至少一个数据源启用数据处理。它有助于 Citrix Analytics for Security 开始 Splunk 集成过程。
如何将 Citrix Analytics for Security 与 Splunk 集成
遵循上述准则,将 Citrix Analytics for Security 与 Splunk 集成:
-
数据导出。Citrix Analytics for Security 创建渠道并导出风险情报。Splunk 从渠道检索此风险智能。
-
在 Citrix Analytics 上获取配置。为您的预定义帐户创建密码以进行身份验证。Citrix Analytics for Security 为 Splunk 准备配置 Citrix Analytics 加载项所需的配置文件。
-
下载适用于 Splunk 的 Citrix Analytics 插件。下载适用于 Splunk 的 Citrix Analytics 附加组件 (TA_CTXS_AS.tar.gz) 应用程序。
-
为 Splunk 安装 Citrix Analytics 附加组件。在 Splunk 中上传适用 于 Splunk 的 Citrix Analytics 加 载项应用程序并完成安装过程。
-
为 Splunk 配置 Citrix Analytics 附加组件。使用 Citrix Analytics for Security 提供的配置详细信息来设置数据输入,并为 Splunk 配置 Citrix Analytics 加载项。
准备好 Citrix Analytics 配置文件后,请参阅:
配置适用于 Splunk 的 Citrix Analytics 加载项后,请参阅:
数据导出
-
转到 设置 > 数据源 >安全 > 数据导出。
-
在 Splunk 站点卡片上,选择 “ 开始使用”。您将被重定向到 配置 Splunk 集成 页面。
-
在配置 Splunk 集成页面上,导航到 Citrix Analytics 上的配置部分。
在 Citrix Analytics for Security 上获取安全配置
-
通过更新密码和确认密码字段为您的预定义帐户创建密码。
遵循显示的密码规则。
-
单击 配置。Citrix Analytics for Security 开始准备 Splunk 集成所需的配置文件。文件准备好后,您会收到通知。用户名、主机、主题名称和组名等详细信息在 配置详细信息 部分中提供。
下载适用于 Splunk 的 Citrix Analytics 插件
-
转到适用于 Splunk 下载的 Citrix Analytics 加载 项页面(需要登录)。
-
单击 下载文件。
-
在最 终用户许可协议 屏幕上,阅读条款和条件,然后选择 是,我接受。下载过程已启动。
-
在 “下 载协议” 屏幕上,阅读条款和条件。要确认,请选中 我已阅读并证明我遵守上述出口管制法律 复选框。
-
单击 Accept(接受)。
为 Splunk 安装 Citrix Analytics 附加组件
-
登录到您的 Splunk 转发器或 Splunk 独立版环境。
-
导航到 应用程序。
-
单击 应用程序旁边显示的管理应用程序图标。
-
在 应用程序 页面上,单击 从文件安装应用程序。
-
在上 传应用程序 部分中,选择 TA_CTXS_AS.tar.gz 应用程序。如果有应用程序升级,请单击 升级应用程序。选中此选项将覆盖应用程序(如果已存在)。
-
单击上载。您会在 应用程序 页面上收到一条通知消息,告知加载项已安装。 适用于 Splunk 应用程序的 Citrix Analytics 加载项 显示在应用程序列表中。
配置 Citrix Analytics add-on for Splunk
使用 Citrix Analytics for Security 提供的配置详细信息为 Splunk 配置 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics for Security 中的事件。
-
在 Splunk 主页上,转到设置 > 数据输入。
-
在 本地输入 部分中,单击 Citrix Analytics 加载项。
-
单击新建。
-
在 添加数据 页面上,输入 Citrix Analytics 配置文件中提供的详细信息。
-
要自定义默认设置,请单击 更多设置并设置 数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。
-
单击下一步。您的 Citrix Analytics 数据输入已创建,并且已成功配置适用于 Splunk 的 Citrix Analytics 加载项。
重置 Citrix Analytics 配置密码
如果要在 Citrix Analytics for Security 上重置配置密码,请执行以下步骤:
-
在 Citrix Analytics 上的配置页上,单击重置密码。
-
在 “ 重置密码 ” 窗口中,在 “新密码” 和 “ 确认新密码” 字段中指定更新的密码 。遵循显示的密码规则。
-
单击 “ 重置”。配置文件准备工作已启动。
注意
重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics for Security 继续向 Splunk 传输数据。
打开或关闭数据传输
准备好 Citrix Analytics 配置文件后,将为 Splunk 打开数据传输。Citrix Analytics for Security 可以将风险情报信息传输给 Splunk。
要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:
-
转到“设置”>“数据源”>“安全”>“数据导出”。
-
在 Splunk 站点卡片上,选择垂直省略号 (),然后单击 关闭数据传输。
-
要进行确认,请单击 “ 关闭数据传输”。
如何在 Splunk 中使用事件
配置附加组件后,Splunk 开始从 Citrix Analytics for Security 检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。
搜索结果按以下格式显示:
输出示例:
要搜索和调试插件的问题,请使用以下搜索查询:
结果按以下格式显示:
有关数据格式的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。
适用于 Splunk 的 Citrix Analytics 应用
注意
此应用程序处于预览中。
适用于 Splunk 的 Citrix Analytics 应用程序使 Splunk Enterprise 管理员能够在 Splunk 上以富有洞察力且可操作的控制板形式查看从 Citrix Analytics for Security 收集的用户数据。使用这些仪表板,您可以详细了解组织中用户的风险行为,并及时采取措施来缓解任何内部威胁。您还可以将从 Citrix Analytics for Security 收集的数据与 Splunk 上配置的其他数据源关联起来。通过这种关联,您可以了解来自多个来源的用户的风险活动,并采取措施保护您的 IT 环境。
支持的 Splunk 版本
适用于 Splunk 的 Citrix Analytics 应用程序在以下 Splunk 版本上运行:
-
Splunk 8.2 64 位
-
Splunk 8.1 64 位
-
Splunk 8.0 64 位
-
Splunk 7.3 64 位
适用于 Splunk 的 Citrix Analytics 应用的先决条
-
安装 适用于 Splunk 的 Citrix Analytics 附加组件。
-
确保已满足针对 Splunk 的 Citrix Analytics 加载项提及的 先 决条件。
-
确保数据从 Citrix Analytics for Security 传输到 Splunk。
安装和配置
在哪里安装应用程序
Splunk 搜索头
如何安装和配置应用程序
您可以通过从 Spl unkbase 下载适用于 Splunk 的 Citrix Analytics 应用程序或从 Splunk 中安装来安装该应用程序。
从文件安装应用
-
转到 Splunkbase。
-
下载适用于 Splunk 的 Citrix Analytics 应用程序文件。
-
在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。
-
单击 从文件安装应用程序。
-
找到下载的文件,然后单击 上传。
注意
如果您使用的是旧版本的应用程序,请选择 升级应用程序 以覆盖它。
-
验证应用程序是否显示在应用程 序 列表中。
从 Splunk 内部安装应用
-
在 Splunk Web 主页上,单击 + 查找更多应用程序。
-
在浏览更多应用程序页面上,搜索适用于 Splunk 的 Citrix Analytics 应用程序。
-
单击应用程序旁边的 安装 。
配置索引和源类型以关联数据
-
安装应用程序后,单击 立即设置。
-
输入以下查询:
-
存储来自 Citrix Analytics for Security 的数据的索引和源类型。
注意
这些查询值必须与适用于 Splunk 的 Citrix Analytics 加载项中指定的相同。有关更多信息,请参阅 为 Splunk 配置 Citrix Analytics 加载项。
-
要从中将数据与 Citrix Analytics for Security 关联起来的索引。
-
-
单击 完成应用程序安装程序 以完成配置。
配置并设置适用于 Splunk 的 Citrix 分析应用程序后,使用 Citrix Analytics 仪表板 查看 Splunk 上的用户事件。