安全信息和事件管理 (SIEM) 集成
注意
联系 CAS-PM-Ext@citrix.com 以请求 SIEM 集成方面的帮助,将数据导出到 SIEM,并提供反馈。
将Citrix Analytics for Security 与 SIEM 服务集成,并将用户的数据从 Citrix IT 环境导出到 SIEM。将导出的数据与 SIEM 中的可用数据相关联,以更深入地了解组织的安全状况。
这种集成增强了 Citrix Analytics for Security 和 SIEM 的价值。
优势
-
使您的安全运营团队能够关联、分析和搜索来自不同日志的数据。
-
帮助您的安全运营团队识别并快速补救安全风险。
-
在集中的位置查看安全警报。
-
为组织风险分析功能(例如风险指示器、用户配置文件和风险评分)检测潜在安全威胁的集中式方法。
-
能够将用户帐户的 Citrix Analytics 风险情报信息与 SIEM 中连接的外部数据源进行组合和关联。
支持的 SIEM
您可以将 Citrix Analytics for Security 与以下服务集成:
已处理从 Citrix Analytics for Security 到 SIEM 服务的数据
Citrix Analytics for Security 处理 Citrix IT 环境中多个产品中的用户数据。Citrix Analytics for Security 不会将原始数据发送到您的 SIEM。相反,它会发送处理过的数据,其中包括:
-
风险评分变 化 — 用户风险评分的变化。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。
-
风险指示器摘要 — 与用户关联的所有风险指标。
-
用户风险评分 — 用户的当前风险评分。Citrix Analytics for Security 每 12 小时将这些数据发送到您的 SIEM。
-
用户应用程序 — 用户已启动和使用的应用程序。Citrix Analytics for Security 会从 Citrix Virtual Apps and Desktops 或 Citrix DaaS (以前称为 Citrix Virtual Apps and Desktops 服务)检索此数据,并每 12 小时将其发送到您的 SIEM。
-
用户设备 — 与用户关联的设备。Citrix Analytics for Security 会从 Citrix Virtual Apps and Desktops、Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到您的 SIEM。
-
用户位置 — 上次检测到用户的城市。Citrix Analytics for Security 从 Citrix Content Collaboration 中检索此数据。这些数据每 12 小时发送一次到你的 SIEM。
-
数据使用情况— 用户通过 Citrix Content Collaboration 上传和下载的数据。Citrix Analytics for Security 每 12 小时将这些数据发送到您的 SIEM。
处理的数据架构
有关已处理数据架构的信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。