产品文档
Citrix Analytics for Security™
查看 PDF

安全信息和事件管理 (SIEM) 集成

September 16, 2025
投稿者: 
C C

注意

请联系 CAS-PM-Ext@cloud.com 以获取 SIEM 集成、将数据导出到 SIEM 以及提供反馈方面的帮助。

将 Citrix Analytics for Security™ 与您的 SIEM 服务集成,并将用户数据从 Citrix IT 环境导出到您的 SIEM。将导出的数据与 SIEM 中可用的数据关联起来,以深入了解组织的安全状况。

此集成可提升 Citrix Analytics for Security 和 SIEM 的价值。

优势

  • 使您的安全运营团队能够关联、分析和搜索来自不同日志的数据。

  • 帮助您的安全运营团队识别并快速补救安全风险。

  • 在一个集中位置查看安全警报。

  • 集中检测潜在安全威胁的方法,以实现组织风险分析功能,例如风险指标、用户配置文件和风险评分。

  • 能够将用户帐户的 Citrix Analytics 风险情报信息与 SIEM 中连接的外部数据源结合并关联。

SIEM 集成架构

您的 SIEM 集成连接到部署在 Citrix Analytics for Security 云上的北向 Kafka。这可以通过以下两种方式实现:

  • Kafka 端点:如果您的 SIEM 支持 Kafka 端点,请使用 Logstash 配置文件中提供的参数以及 JKS 文件或 PEM 文件中的证书详细信息,将您的 SIEM 与 Citrix Analytics for Security 集成。使用 Kafka 端点,您可以连接并将数据拉取到所选的 SIEM。

  • Logstash 引擎:如果您的 SIEM 不支持 Kafka 端点,则可以使用 Logstash 数据收集引擎。您可以将 Citrix Analytics for Security 中的风险洞察数据发送到 Logstash 支持的 输出插件 之一。

请参阅以下 SIEM 解决方案架构图,了解数据如何从 Citrix Analytics for Security 流向您的 SIEM 服务:

SIEM 解决方案架构

开启或关闭数据传输

要停止从 Citrix Analytics for Security 传输数据:

  1. 转至“设置”>“数据导出”。

  2. 关闭切换按钮以禁用“数据传输”。

    注意 默认情况下,SIEM 的数据传输始终处于开启/启用状态。

    数据传输已开启

要再次启用数据传输,请开启切换按钮。

设置 SIEM 环境

要将数据导出到 SIEM,您必须执行以下操作:

  • 设置您的 Kafka 帐户和身份验证凭据
  • 下载预填充的配置并设置 SIEM 环境
  • 用于导出的数据事件

SIEM 导出帐户设置

  1. 要设置您的帐户,请导航到“设置”>“数据导出”> 展开“帐户设置”。通过指定用户名和密码来创建帐户。设置帐户后,将生成您的 Kafka 详细信息。这些详细信息在生成配置文件时会自动嵌入。

    帐户设置

  2. 单击“配置”以生成配置文件。配置文件包含 Kafka 端点、您的特定订阅主题和组 ID 等详细信息。此外,它还预配置了完成身份验证和数据流所需的 Kafka 和 SSL 属性。

SIEM 配置和环境设置

根据需要选择 SIEM 环境。您可以将 Citrix Analytics for Security 与以下服务集成。请参阅以下链接以获取详细信息和 SIEM 特定配置:

SIEM 环境

从 Citrix Analytics for Security 导出到 SIEM 服务的数据事件

作为 SIEM 导出的一部分,有两种类型的数据集:

  1. 风险洞察事件(默认导出) – 完成帐户配置和 SIEM 设置后,默认数据(风险洞察事件)将开始流向您的 SIEM 部署。风险洞察数据包含用户风险评分、用户配置文件和风险指标警报。这些由 Citrix Analytics 机器学习算法、用户行为分析以及基于用户事件生成。有关可用事件类型、元数据和架构的信息,请参阅 SIEM 的风险洞察数据

  2. 数据源事件(可选导出) - 此外,您可以配置“数据导出”功能,以从已启用 Citrix Analytics for Security 的产品数据源导出用户事件。当您在 Citrix 环境中执行任何活动时,会生成数据源事件。导出的事件是未处理的实时用户和产品使用数据,可在自助服务视图中查看。这些事件中包含的元数据可进一步用于深入的威胁分析、创建新仪表板,并与您的安全和 IT 基础架构中的其他非 Citrix 数据源事件相关联。

    目前,Citrix Analytics for Security 将用户事件发送到您的 SIEM,适用于以下数据源:Citrix Virtual Apps and Desktops™、Secure Private Access 和 Device Posture service。

    有关可用事件类型、元数据和架构的信息,请参阅 数据源事件

    注意

    使用 Logstash 数据代理的客户,建议从 Citrix Analytics for Security 门户下载最新的配置文件,并在 Logstash 服务部署上进行更新。这可确保创建正确的数据源事件表,并且事件现在可在 SIEM 索引中找到。

    数据导出

SIEM 集成故障排除

“安全数据导出”视图包含一个“摘要”选项卡,可帮助管理员排查其 SIEM 与 Citrix Analytics 的集成问题。“摘要”仪表板通过检查点提供数据运行状况和流动的可见性,从而帮助故障排除过程。

数据导出故障排除

要了解有关此功能的更多信息,请参阅 数据导出故障排除

安全信息和事件管理 (SIEM) 集成
September 16, 2025
投稿者: 
C C
September 16, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.