利用 Citrix Analytics SIEM 数据模型进行威胁分析和数据关联
本文解释了发送到客户的 SIEM 环境的事件所表现出的实体数据关系。为了阐明这一点,让我们举一个威胁猎捕场景的例子,其中,客户端 IP 和操作系统是重点。将讨论将上述属性与用户关联的以下方法:
- 使用自定义风险指标见解
- 使用数据源事件
Splunk 是选择在以下示例中展示的 SIEM 环境。也可以使用 Citrix Analytics 的工作簿模板在 Sentinel 上执行类似的数据关联。要进一步探讨这个问题,请参阅 Microsoft Sentinel 的 Citrix Analytics 工作簿。
自定义风险指标见解
正如 SIEM 的 Citrix Analytics 数据导出格式中提到的那样,指标摘要和事件详细信息见解是默认风险洞察数据集的一部分。对于 Citrix Virtual Apps and Desktops 指标数据集,默认情况下会导出客户端 IP 和操作系统。因此,如果管理员设置了带有或不包含这些字段的条件的自定义指标,则所述数据点将流入您的 Splunk 环境。
在 Citrix Analytics 中设置自定义风险指标
-
导航到 Citrix Analytics for Security 控制板 > 自定义风险指标 > 创建指标。您可以创建包含任何条件的自定义风险指标,以帮助您监视用户的行为。设置自定义指标后,触发相关条件的所有用户都将在 Splunk 环境中可见。
-
要在 Citrix Analytics for Security 上查看创建的风险指标出现情况,请导航到 安全 > 用户。导航到页面底部,然后单击加号 (+) 图标。
出现“风险指标”卡。您可以查看风险指标、严重程度和发生率的详细信息。
-
单击“查看更多”。将出现“风险指标 概述”页面。
在风险指标概述页面中,您可以通过详细的时间表视图和用户摘要查看触发该指标的用户的详细信息。要了解有关时间表的更多信息,请参阅 用户风险时间表和概况。
Splunk 上出现的风险指标-原始查询
您还可以使用 Splunk 基础架构管理员在 Splunk Enterprise for Citrix Analytics for Security 加载项上设置数据输入时使用的索引和源类型来获取客户端 IP 和操作系统信息。
-
导航到 Splunk > 新建搜索。在搜索查询中,输入并运行以下查询:
index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>" <!--NeedCopy-->
-
选取 indicator_uuid 并运行以下查询:
index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>" <!--NeedCopy-->
事件结果包含指标事件摘要和指标事件详情(由您的指标触发的活动)。事件详细信息包含客户端 IP 和操作系统信息(名称、版本、额外信息)。
要了解有关数据格式的更多信息,请参阅 SIEM 的 Citrix Analytics 数据导出格式。
Splunk 上出现的风险指标-控制板应用程序
有关如何安装适用于 Splunk 的 Citrix Analytics 应用程序的指导,请参阅以下文章:
-
单击 Citrix Analytics — 控制面板 选项卡,然后从下拉列表中选择“风险指标详细信息”选项。
-
从下拉列表中适当筛选内容,然后单击“提交”。
-
单击用户实例以获取详细信息。
-
您可以在此页面底部查看客户端 IP 和操作系统信息(名称、版本、其他信息):
数据源事件
在 Splunk 环境中获取客户端 IP 和操作系统详细信息的另一种方法是配置要导出的数据源事件。此功能允许在自助搜索视图中出现的事件直接流入您的 Splunk 环境。有关如何为要导出到 SIEM 的 Virtual Apps and Desktops 配置事件类型的更多信息,请参阅以下文章:
-
导航到 Citrix Analytics for Security 控制板 > 搜索。在此自助搜索页面中,所有事件类型及其相关信息都可用。在以下屏幕截图中,您可以将 Session.Logon 事件类型作为示例:
-
将 Session.Logonin 数据源事件配置为导出,然后单击“保存”以使其流入您的 Splunk 环境。
-
转到 Splunk 然后输入并运行以下查询:
index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon" AND "<user you’re interested in>" <!--NeedCopy-->与客户端 IP 和操作系统相关的字段会突出显示。
