安全信息和事件管理 (SIEM) 集成
注意
联系 CAS-PM-Ext@citrix.com 以请求 SIEM 集成方面的帮助,将数据导出到 SIEM,并提供反馈。
将Citrix Analytics for Security 与 SIEM 服务集成,并将用户的数据从 Citrix IT 环境导出到 SIEM。将导出的数据与 SIEM 中的可用数据相关联,以更深入地了解组织的安全状况。
这种集成增强了 Citrix Analytics for Security 和 SIEM 的价值。
优势
-
使您的安全运营团队能够关联、分析和搜索来自不同日志的数据。
-
帮助您的安全运营团队识别并快速补救安全风险。
-
在集中的位置查看安全警报。
-
为组织风险分析功能(例如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。
-
能够将用户帐户的 Citrix Analytics 风险情报信息与 SIEM 中连接的外部数据源进行组合和关联。
SIEM 集成架构
您的 SIEM 集成与部署在 Citrix Analytics for Security 云上的北向 Kafka 相连。这可以通过以下两种方式实现:
-
Kafka 端点:如果您的 SIEM 支持 Kafka 端点,请使用 Logstash 配置文件中提供的参数以及 JKS 文件或 PEM 文件中的证书详细信息将您的 SIEM 与 Citrix Analytics for Security 集成。使用 Kafka 端点,您可以将数据连接并拉取到所选的 SIEM。
-
Logstash 引擎:如果您的 SIEM 不支持 Kafka 端点,则可以使用 Logstash 数据收集引擎。您可以将来自 Citrix Analytics for Security 的风险洞察数据发送到 Logstash 支持的 输出插件 之一。
请参阅以下 SIEM 解决方案架构图,了解数据如何从 Citrix Analytics for Security 流向您的 SIEM 服务:
打开或关闭数据传输
要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:
-
转至“设置”>“数据导出”。
-
关闭切换按钮以禁用数据传输。
注意 默认情况下,SIEM 的数据传输始终处于开启/启用状态。
要再次启用数据传输,请打开切换按钮。
设置 SIEM 环境
要将数据导出到 SIEM,必须执行以下操作:
- 设置您的 Kafka 帐户和身份验证凭证
- 下载预先填充的配置并设置 SIEM 环境
- 要导出的数据事件
SIEM 导出帐户设置
-
要设置您的帐户,请导航到 设置 > 数据导出 > 展开帐户设置。通过指定用户名和密码来创建帐户。一旦您设置了帐户,您的 Kafka 详细信息就会生成。这些详细信息会在生成配置文件时自动嵌入。
-
单击“配置”生成配置文件。配置文件包含诸如 Kafka 终端节点、您的特定订阅主题和组 ID 之类的详细信息。此外,它还预先配置了完成身份验证和数据流所需的 Kafka 和 SSL 属性。
SIEM 配置和环境设置
根据需要选择 SIEM 环境。您可以将 Citrix Analytics for Security 与以下服务集成。请参阅以下链接以获取详细信息和 SIEM 特定配置:
数据事件从 Citrix Analytics for Security 导出到您的 SIEM 服务
作为 SIEM 导出的一部分,有两种类型的数据集:
-
风险洞察事件(默认导出) — 完成帐户配置和 SIEM 设置后,默认数据(风险洞察事件)开始流向您的 SIEM 部署。风险洞察数据包含用户风险评分、用户资料和风险指标警报。它们由 Citrix Analytics 计算机学习算法、用户行为分析生成,并基于用户事件。有关可用事件类型、元数据和架构的信息,请参阅 SIEM 的风险洞察数据。
-
数据源事件(可选导出) -此外,您可以配置数据导出功能以从启用了 Citrix Analytics for Security 的产品数据源中导出用户事件。在 Citrix 环境中执行任何活动时,都会生成数据源事件。导出的事件是自助服务视图中提供的未经处理的实时用户和产品使用数据。这些事件中包含的元数据可以进一步用于更深入的威胁分析、创建新的控制板,以及与安全和 IT 基础架构中的其他非 Citrix 数据源事件相关联。
目前,Citrix Analytics for Security 会向您的 SIEM 发送以下数据源的用户事件:
-
Citrix Content Collaboration
-
Citrix Virtual Apps and Desktops
有关可用事件类型、元数据和架构的信息,请参阅 数据源事件。
注意
使用 Logstash 数据代理的客户,建议从 Citrix Analytics for Securit y 门户下载最新的配置文件,并在 Logstash 服务部署时进行更新。这样可以确保创建正确的数据源事件表,并且这些事件现在在 SIEM 索引中可用。
-
排除 SIEM 集成
安全数据导出视图包含摘要选项卡,可帮助管理员解决其 SIEM 与 Citrix Analytics 的集成问题。摘要控制板通过有助于故障排除过程的检查点,让您可以查看数据的运行状况和流向。
要了解有关此功能的更多信息,请参阅 数据导出疑难解答。