Citrix Analytics for Security

Elasticsearch 集成

注意

联系 CAS-PM-Ext@citrix.com 以请求 Elasticsearch 集成方面的帮助、将数据导出到 Elasticsearch 或提供反馈。

通过使用 Logstash 引擎将 Citrix Analytics for Security 与 Elasticsearch 集成在一起。通过此集成,您可以将 Citrix IT 环境中的用户数据导出并将其关联到 Elasticsearch,从而更深入地了解组织的安全状况。您还可以将 Elasticsearch 与可视化服务和 SIEM(例如 KibanaLogrHthm )分别结合使用。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

必备条件

  • 为至少一个数据源启用数据处理。它可以帮助 Citrix Analytics for Security 开始 Elasticsearch 集成过程。

  • 确保以下终端节点位于网络的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 中转站 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

与 Elasticsearch 集成

  1. 前往“设置”>“数据源”>“安全”>“数据导出”。

  2. SIEM 站点卡片上,选择开始

    SIEM 数据导出

  3. 配置 SIEM 集成 页面上,通过指定用户名和密码创建账户。此帐户用于准备集成所需的配置文件。

    SIEM 配置页

  4. 确保密码满足以下条件:

    SIEM 密码要求

  5. 单击 配置 以生成 Logstash 配置文件。

    配置 Elasticsearch

  6. 选择 弹性搜索 选项卡以下载配置文件:

    • Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics 安全版发送到 Elasticsearch 的配置数据(输入、筛选和输出部分)。有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。

    • JKS 文件:包含 SSL 连接所需的证书。

      注意

      这些文件包含敏感信息。将它们存放在安全可靠的地方。

      选择弹性搜索

  7. 配置 Logstash:

    1. 在你的 Linux 或 Windows 主机上,安装 Logstash。您也可以使用现有的 Logstash 实例。

    2. 在安装了 Logstash 的主机上,将以下文件放在指定的目录中:

      主机类型 文件名 目录路径
      Linux cas_elasticSearch_logstash_config.config 对于 Debian 和 RPM 软件包: /etc/logstash/conf.d/
          对于 .zip 和 .tar.gz 存档: {extract.path}/config
        kafka.client.truststore .jks 对于 Debian 和 RPM 软件包: /etc/logstash/ssl/
          对于 .zip 和 .tar.gz 存档: {extract.path}/ssl
      Windows cas_elasticSearch_logstash_config.config C:\logstash-7.xx.x\config
        kafka.client.truststore .jks  

      有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档。

    3. 打开 Logstash 配置文件并执行以下操作:

      1. 在文件的输入部分,输入以下信息:

        • 密码:您在 Citrix Analytics 安全版中创建的用于准备配置文件的帐户的密码。

        • SSL 信任库位置:SSL 客户端证书的位置。这是主机中 kafka.client.truststore.jks 文件的位置。

        弹性搜索输入部分

      2. 在文件的输出部分,输入运行 Elasticsearch 的主机或集群的地址。

        弹性搜索输出部分

    4. 重新启动主机,将 Citrix Analytics for Security 中的已处理数据发送到 Elasticsearch。

配置完成后,确认您可以在 Elasticsearch 中查看 Citrix Analytics 数据。

打开或关闭数据传输

Citrix Analytics for Security 准备配置文件后,将为 Elasticsearch 开启数据传输。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据源”>“安全”>“数据导出”。

  2. SIEM 站点卡上,选择垂直省略号 (⋮),然后单击关闭数据传输

    SIEM 变速箱关闭

要再次启用数据传输,请在 SIEM 站点卡片上单击打开数据传输

SIEM 传输已开启

Elasticsearch 集成