Citrix Analytics for Security

使用基于 Kafka 或 Logstash 的数据连接器进行 SIEM 集成

注意

联系 CAS-PM-Ext@citrix.com 以请求有关 SIEM 集成的帮助、将数据导出到 SIEM 或提供反馈。

您可以将 Citrix Analytics for Security 与支持 Kafka 端点或 Logstash 引擎的 SIEM 解决方案集成。通过此集成,您可以将 Citrix IT 环境中的用户数据导出并将其关联到 SIEM 环境,并更深入地了解组织的安全状况。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

如果您的 SIEM 支持 Kafka 端点,请使用 Logstash 配置文件中提供的参数以及 JKS 文件或 PEM 文件中的证书详细信息将 SIEM 与 Citrix Analytics 安全集成。

使用 Kafka 进行集成需要以下参数:

  • 用户名

  • 主机

  • 主题名

  • 安全协议

  • SASL 机制

  • SSL 信任库位置

  • 会话超时

  • 自动偏移复位

如果你的 SIEM 不支持 Kafka 端点,那么你可以使用 Logstash 数据 收集引擎。您可以将 Citrix Analytics 的安全处理后的数据发送到 Logstash 支持的 输出插件 之一。

本文介绍了使用 Logstash 将 SIEM 与 Citrix Analytics 集成以确保安全性所必须遵循的步骤。

必备条件

  • 为至少一个数据源启用数据处理。它可以帮助 Citrix Analytics for Security 开始与 SIEM 工具的集成。

  • 确保以下终端节点位于网络的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 中转站 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

使用 Logstash 与 SIEM 服务集成

  1. 前往“设置”>“数据源”>“安全”>“数据导出”。

  2. SIEM 站点卡片上,选择开始

    SIEM 数据导出

  3. 配置 SIEM 集成 页面上,通过指定用户名和密码创建账户。此帐户用于准备集成所需的配置文件。

    SIEM 配置页

  4. 确保密码满足以下条件:

    SIEM 密码要求

  5. 选择 配置 以生成 Logstash 配置文件。

    配置其他 SIEM

  6. 选择“其他”选项卡以下载配置文件。

    • Logstash 配置文件:此文件包含用于使用 Logstash 数据收集引擎从 Citrix Analytics 安全版发送事件的配置数据(输入、筛选器和输出部分)。有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。

    • JKS 文件:此文件包含 SSL 连接所需的证书。当你使用 Logstash 集成你的 SIEM 时,这个文件是必需的。

    • PEM 文件:此文件包含 SSL 连接所需的证书。使用 Kafka 集成 SIEM 时需要此文件。

      注意

      这些文件包含敏感信息。将它们存放在安全可靠的地方。

    选择其他选项卡

  7. 配置 Logstash:

    1. 在你的 Linux 或 Windows 主机上,安装 Logstash。您也可以使用现有的 Logstash 实例。

    2. 在安装了 Logstash 的主机上,将以下文件放在指定的目录中:

      主机类型 文件名 目录路径
      Linux cas_others_logstash_config.config 对于 Debian 和 RPM 软件包: /etc/logstash/conf.d/
          对于 .zip 和 .tar.gz 存档: {extract.path}/config
        kafka.client.truststore .jks 对于 Debian 和 RPM 软件包: /etc/logstash/ssl/
          对于 .zip 和 .tar.gz 存档: {extract.path}/ssl
      Windows cas_others_logstash_config.config C:\logstash-7.xx.x\config
        kafka.client.truststore .jks  
    3. 打开 Logstash 配置文件并执行以下操作:

      在文件的输入部分,输入以下信息:

      • 密码:您在 Citrix Analytics 安全版中创建的用于准备配置文件的帐户的密码。

      • SSL 信任库位置:SSL 客户端证书的位置。这是主机中 kafka.client.truststore.jks 文件的位置。

      其他 SIEM 输入部分

      在文件的输出部分,输入要将数据发送到的目标路径或详细信息。有关输出插件的信息,请参阅 Logstash 文档。

      以下代码段显示输出已写入本地日志文件。

      其他 SIEM 输出部分

    4. 重新启动主机,将 Citrix Analytics 安全处理后的数据发送到 SIEM 服务。

配置完成后,登录 SIEM 服务并验证 SIEM 中的 Citrix Analytics 数据。

打开或关闭数据传输

Citrix Analytics for Security 准备配置文件后,将为您的 SIEM 启用数据传输。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据源”>“安全”>“数据导出”。

  2. SIEM 站点卡上,选择垂直省略号 (⋮),然后单击关闭数据传输

    SIEM 变速箱关闭

要再次启用数据传输,请在 SIEM 站点卡片上单击打开数据传输

SIEM 传输已开启

使用基于 Kafka 或 Logstash 的数据连接器进行 SIEM 集成