适用于 Splunk 的 Citrix Analytics 控制板
注意
注意:Citrix Content Collaboration™ 和 ShareFile 已终止服务,用户无法再使用。
此功能为预览版。
先决条件
要使用以下 Citrix Analytics 控制板,请确保您已配置并设置了 适用于 Splunk 的 Citrix Analytics 应用程序。
用户风险评分概览
此控制板提供组织中高风险用户的综合视图。用户按风险级别(高、中、低)进行分类。风险级别基于用户活动中的异常情况,并据此分配风险评分。有关高风险用户类型的更多信息,请参阅用户控制板。
要查看此控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 用户风险评分概览”。
选择预设时间范围或自定义时间范围,以查看高风险用户的时间线及其详细信息。
“高风险用户”表提供以下信息:
-
用户:指示用户名。单击用户名可在“Citrix Analytics - 实体详细信息”控制板上查看有关用户风险行为的详细信息。
-
发现受感染端点风险:指示用户触发的属于受感染端点风险类别的风险指标数量。
-
发现受感染用户风险:指示用户触发的属于受感染用户风险类别的风险指标数量。
-
发现数据渗漏风险:指示用户触发的属于数据渗漏风险类别的风险指标数量。
-
发现内部威胁风险:指示用户触发的属于内部威胁风险类别的风险指标数量。
-
风险评分:指示用户的风险评分。
您还可以按用户名搜索用户并获取所需详细信息。
有关详细信息,请参阅风险类别。
风险指标概览
此控制板提供组织中用户触发的风险指标的综合视图。
要查看控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 风险指标概览”。
选择类别以查看报告
通过选择一个或多个类别来搜索风险指标:
-
时间范围:选择预设时间范围或自定义时间范围,以查看该时间段内触发的风险指标。
-
风险指标类型:选择风险指标类型:内置或自定义。
-
实体类型:选择用户以查看关联的风险指标。
-
组:选择一个条件,按数据源、指标类别、指标名称、指标类型或实体类型对用户事件进行分组,并查看关联的风险指标。
查看报告
使用以下报告,通过选择一个或多个类别来查看有关风险指标的详细信息:
-
触发的风险指标数量:显示所选时间段内触发的风险指标数量。使用此报告可识别风险活动的模式和领域。此外,还可以识别组织中的主要风险活动。
-
风险指标事件的总实体计数和不同实体计数:显示与风险指标对应的总事件和唯一事件。使用此报告可识别每个风险指标的发生情况以及组织中的主要风险指标。您还可以识别有多少唯一用户触发了特定风险指标,并检查风险指标是由较大还是较小的用户组触发的。
-
按位置划分的风险指标:显示用户在不同位置触发的风险指标数量。使用此报告可识别显示更多风险活动的位置,并检查这些位置是否在组织运营区域之外。
-
风险指标详细信息:显示有关风险指标的详细信息,例如关联的数据源、指标类别、指标名称、指标类型和发生次数。
风险指标详细信息
此控制板提供有关用户触发的内置和自定义风险指标的详细信息。有关详细信息,请参阅 Citrix 用户风险指标和自定义风险指标。
要查看控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 风险指标详细信息”。
选择类别以查看报告
通过选择一个或多个类别来查看风险指标的详细信息:
-
时间范围:选择预设时间范围或自定义时间范围,以查看该时间段内触发的风险指标的详细信息。
-
实体类型:选择用户以查看关联风险指标的详细信息。
-
风险指标类型:选择风险指标类型(内置或自定义)以查看其详细信息。
-
数据源:选择数据源以查看关联风险指标的详细信息。
-
风险指标类别:选择风险类别以查看关联风险指标的详细信息。
-
风险指标:选择风险指标以查看其详细信息。
查看报告
例如,从“选择风险指标”列表中,选择“异常身份验证失败 (Citrix Content Collaboration)”,单击“提交”,然后查看以下信息:
-
与风险指标关联的排名前 10 的用户
-
有关风险指标的详细信息,例如
-
触发日期和时间
-
关联的数据源
-
关联的风险类别
-
关联的实体 ID 和用户实体类型
-
风险严重性(高、中或低)
-
用户事件的风险概率
-
风险指标的唯一标识 (UUID)
-
在“按风险指标划分的排名前 10 的实体”上,单击实体可在“Citrix Analytics- 实体详细信息”控制板上查看其详细信息。
单击“风险指标详细信息”表中的每一行,可查看所选风险指标的事件摘要、事件详细信息和原始事件。
在“风险指标事件摘要”部分中,单击“Citrix Analytics UI 链接”可直接从 Splunk 转到 Citrix Analytics for Security™ 上的用户时间线。在用户时间线上,查看风险指标、关联事件以及为用户应用的任何操作。
有关事件摘要和事件详细信息的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。
实体详细信息
使用此控制板可查看用户实体及其风险行为的详细信息。
要查看控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 实体详细信息”。
查看报告
输入时间范围和实体(用户名),然后单击“提交”以查看详细信息。
或者,您也可以从以下控制板查看有关实体的详细信息:
- 在“Citrix Analytics- 风险指标详细信息”上,转到“按风险指标划分的排名前 10 的实体”,然后单击实体。
- 在“Citrix Analytics- 风险评分概览”上,转到“高风险用户”,然后单击用户名。
将显示以下详细信息:
-
所选时间范围的当前风险评分和风险评分时间线。
-
风险指标的百分比分布。帮助您分析实体的风险活动模式。
-
风险指标的地理分布。帮助您识别异常和高风险位置。
-
与风险活动关联的客户端 IP 详细信息。
-
与风险活动关联的用户设备详细信息。
-
风险指标详细信息,例如关联的数据源、风险类别、风险严重性等。
将与风险活动关联的客户端 IP 和用户设备与从连接到 Splunk 的其他安全源收集的事件相关联。例如,单击“客户端 IP 详细信息”表中的一行。
在“Citrix Analytics 事件关联”控制板上,您可以查看与所选客户端 IP 关联的事件,这些事件是根据索引和源类型从其他安全数据源关联的。这些事件提供了对与客户端 IP 关联的恶意活动的更深入见解。
用户配置文件概览
使用此控制板可查看与组织中用户关联的事件指标。
要查看控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 用户配置文件概览”。
查看事件
选择时间范围并查看以下指标:
-
用户使用的排名前 10 的应用程序
-
用户使用的排名前 10 的设备
-
用户使用的排名前 10 的位置
-
使用的 Web 和 SaaS 应用程序数量
-
使用的设备数量
-
跨位置访问的用户数量
-
数据使用情况指标,例如已上传、已下载、已共享的文件
这些指标可让您深入了解组织中的用户活动。您可以识别最常用的应用程序和设备、使用模式、不合规的设备和应用程序、异常位置、风险访问以及异常文件活动。
接收到的事件
使用此控制板可查看从 Citrix Analytics for Security 接收到的事件。事件指示一种用户活动类型。
要查看控制板,请单击“Citrix Analytics- 控制板 > Citrix Analytics- 接收到的事件”。
查看报告
选择时间范围以查看和比较接收到的各种类型的事件。此控制板提供以下信息:
-
接收到的事件总数:它是从 Citrix Analytics for Security 接收到的所有事件的聚合,包括以下内容:
-
风险指标事件总数:指示与用户触发的风险指标关联的事件。
-
风险指标详细信息事件总数:指示与触发的风险指标详细信息关联的事件。
-
风险评分更改事件总数:指示与用户风险评分更改关联的事件。
-
用户配置文件风险评分事件总数:指示与用户风险评分关联的事件。
-
用户配置文件应用程序事件总数:指示与用户使用的应用程序关联的事件。
-
用户配置文件设备事件总数:指示与用户使用的设备关联的事件。
-
用户配置文件数据使用情况事件总数:指示与用户数据使用情况关联的事件。
-
用户配置文件位置事件总数:指示与用户访问的位置关联的事件。
-
示例事件关联
使用此控制板可将从 Citrix Analytics for Security 接收到的事件与从 Splunk 中配置的其他安全数据源收集的事件相关联。您可以更深入地了解从多个数据源收集的用户风险活动,查找事件之间的关系,并识别任何威胁。
要查看控制板,请单击“SIEM 关联- 示例控制板 > Citrix Analytics 事件关联”。
先决条件
要执行关联,请确保以下各项:
-
您必须拥有来自其他安全数据源的事件才能进行关联。例如,从 Splunk 中配置的其他数据源接收到的与用户、设备和客户端 IP 地址关联的事件。
-
您必须在配置期间已定义关联索引。
关联事件
您可以查看 Citrix Analytics for Security 检测到的排名前列的高风险实体和高风险 IP 地址。要将这些事件与其他数据源(在索引和源类型中定义)相关联,请单击表中的实体或 IP 地址。
查询字段中显示的索引值是在应用程序配置期间定义的。您可以根据要求将索引值更改为不同的安全数据源。
无事件故障排除
如果您在所有控制板上都找不到任何事件,则可能是由于适用于 Splunk 的 Citrix Analytics 应用程序和适用于 Splunk 的 Citrix Analytics 附加组件中的配置问题。在这种情况下,请验证索引值和源类型值。确保应用程序和附加组件中的索引和源类型值相同。
要查看适用于 Splunk 的 Citrix Analytics 应用程序的配置设置:
- 单击“应用程序 > 管理应用程序”。
- 从列表中找到适用于 Splunk 的 Citrix Analytics 应用程序。单击“设置”。
- 检查源类型和索引。
要查看适用于 Splunk 的 Citrix Analytics 附加组件的配置设置:
- 单击“设置 > 数据输入”。
- 单击“Citrix Analytics 附加组件”。
-
单击从中获取事件的租户。
-
选择“更多设置”。
- 检查源类型和索引。
有关配置的更多信息,请参阅 配置适用于 Splunk 的 Citrix Analytics 附加组件。