Citrix Analytics for Security

Microsoft Sentinel 的 Citrix Analytics 工作簿

注意

此功能在预览版中提供。

本文介绍了 Microsoft Sentinel 工作区中提供的 Citrix Analytics 工作簿。

必备条件

要使用 Citrix Analytics 工作簿,请确保已将 Microsoft Sentinel 与 Citrix Analytics for Security 集成在一起。有关详细信息,请参阅 Microsoft Sentinel 集成

查看Citrix Analytics 活动

将 Citrix Analytics for Security 与 Microsoft Sentinel 集成后,Logstash 连接器开始将事件从 Citrix Analytics for Security 推送到 Microsoft Sentinel 工作区。在您的 Azure 门户上,打开你用于集成的 Microsoft Sentinel 工作区。

要验证 Microsoft Sentinel 是否正在接收来自 Citrix Analytics for Security 的事件,请选择日志 > 自定义日志

Sentinel 日志

自定义日志 部分中,您可以查看为存储从 Citrix Analytics for Security 接收的事件而自动创建的日志表。这些日志表充当 Citrix Analytics 工作簿上控制板的源。

注意

从 Citrix Analytics for Security 发送的事件可能需要几个小时才能显示在 Microsoft Sentinel 工作区中。因此,您可能会看到在为事件创建日志表时出现延迟。

Sentinel 中的分析日志

查看 Citrix Analytics 工作簿

成功创建日志表后,请执行以下操作:

  1. 选择 工作簿 并搜索 Citrix Analytics。选择 Citrix Analytics

    分析工作簿

  2. 选择 查看模板 以打开 Citrix Analytics 工作簿。

    查看 Citrix Analytics 工作簿

在 Citrix Analytics 工作簿中,您可以在以下控制板中查看用户事件:

  • 用户风险评分概述:提供组织中风险用户的综合视图。

  • 用户详细信息:提供用户及其危险行为的详细信息。

  • 用户配置文件:提供与用户关联的事件量度。

  • 收到的事件:提供从 Citrix Analytics for Security 收到的事件。

  • 风险指示器详细信息:提供有关用户触发的内置和自定义风险指示器的详细信息。

  • 风险指示器概述:提供用户触发的风险指示器的综合视图。

    圣天诺的分析控制板

用户风险评分概述

此控制板提供了组织中存在风险的用户的综合视图。用户按风险级别进行分类-高、中和低。风险级别基于用户事件中的异常情况,因此会分配风险评分。有关风险用户类型的更多信息,请参阅用 户控制板

选择一个时间段以查看组织中存在风险的用户。

用户风险评分概述

用户详情

此控制板提供与用户关联的风险评分和风险指示器。

搜索用户并查看他们可能对您的组织构成威胁的危险活动。要缓解威胁,您可以根据用户帐户的风险严重程度对其采取适当的措施。

用户详情

用户资料

此控制面板提供在选定时间段内与用户关联的事件指标的详细信息。这些指标提供了对用户活动的见解,例如:

  • 用户使用的前 10 个应用程序

  • 用户使用的十大设备

  • 用户登录的前 10 个位置

  • 上传到 Content Collaboration 服务的文件数

  • 从Content Collaboration 服务下载的文件数

  • 从Content Collaboration 服务共享的文件数

  • 从Content Collaboration 服务中删除的文件数

使用这些报告,您可以:

  • 确定用户的使用趋势

  • 发现用于访问资源的不合规设备

  • 检查您的用户是否有任何潜在的危险访问

    用户配置文件工作簿

收到的事件

在选定的时间段内,您可以查看从 Citrix Analytics for Security 接收的事件总数。收到的事件总数包括以下各项:

  • 风险指示器摘要:指示与用户风险指标摘要关联的事件。有关各种风险指示器摘要事件的信息,请参阅 风险指示器架构

  • 风险指示器事件详细信息:指示与用户风险指示器详细信息相关的事件。有关各种风险指示器详细信息事件的信息,请参阅 风险指示器架构

  • 用户配置文件风险评分:指示与用户风险评分相关的事件。有关信息,请参阅“用户”控制板

  • 风险评分变化:指示与用户风险评分变化相关的事件。有关信息,请参阅“用户”控制板

  • 用户配置文件位置:指示与用户登录的位置相关联的事件。

  • 用户配置文件应用程序:指示与用户使用的应用程序关联的事件。

  • 用户配置文件使用情况:指示与用户的数据使用相关的事件。

  • 用户配置文件 device:指示与用户使用的设备关联的事件。

通过定期查看控制板,您可以确保事件是否正确地流向您的 Microsoft Sentinel 工作区。收到的事件总数中的任何差异都可能表示与 Citrix Analytics for Security 的集成存在问题。您可以执行必要的步骤来调试问题。

收到的事件工作簿

风险指标详情

此控制板提供用户触发的风险指示器的详细信息。

您可以通过选择一个或多个类别来查看风险指示器详细信息:

  • 时间范围:选择时间范围以查看该期间触发的风险指标的详细信息。

  • 实体类型:选择用户或共享 ID 以查看相关风险指示器的详细信息。

  • 风险指示器类型:选择 内置自定义 风险指示器以查看其详细信息。

  • 数据源:选择 数据源 以查看关联的风险指示器。

  • 风险指示器类别:选择 风险类别 以查看关联的风险指示器。

  • 风险指示器:按名称选择风险指示器并查看其详细信息。

    风险指示器详细信息工作簿

风险指标概述

此控制板提供用户触发的所有风险指示器的综合视图。

您可以通过选择一个或多个类别来查看风险指示器:

  • 时间范围:选择一个时间段以查看在该时段内触发的风险指示器。

  • 风险指示器类型:选择 内置自定义 以查看关联的风险指示器。

  • 实体类型:选择用户或共享 ID 以查看关联的风险指示器。

    风险指示器概述工作簿

Microsoft Sentinel 的 Citrix Analytics 工作簿