Citrix Analytics for Security

Splunk 集成

将 Citrix Analytics for Security 与 Splunk 集成,将用户数据从您的 Citrix IT 环境导出并关联到 Splunk,从而更深入地了解组织的安全状况。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

要全面了解 Splunk 部署方法并采用有效规划的策略,请参阅 Splunk 中托管的 Splunk 体系结构和 Citrix Analytics 应用程序文档。

将 Citrix Analytics for Security 与 Splunk 集成

遵循上述准则,将 Citrix Analytics for Security 与 Splunk 集成:

  • 数据导出。Citrix Analytics for Security 创建 Kafka 频道并导出风险洞察和数据源事件。Splunk 从渠道检索此风险智能。

  • 在 Citrix Analytics 上获取配置。为您的预定义帐户创建密码以进行身份验证。Citrix Analytics for Security 准备您配置适用于 Splunk 的 Citrix Analytics 加载项所需的配置文件。

  • 下载并安装适用于 Splunk 的 Citrix Analytics 加载项。使用 Splunkbase 或 Splunk Cloud 下载适用于 Splunk 的 Citrix Analytics 加载项以完成安装过程。

  • 配置适用于 Splunk 的 Citrix Analytics 加载项。使用 Citrix Analytics for Security 提供的配置详细信息来设置数据输入,并配置适用于 Splunk 的 Citrix Analytics 加载项。

准备好 Citrix Analytics 配置文件后,请参阅:

配置适用于 Splunk 的 Citrix Analytics 加载项后,请参阅:

数据导出

  1. 前往“设置”>“数据导出”。

  2. 在“帐户设置”部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。

    SIEM 数据导出

  3. 确保密码满足以下条件:

    SIEM 密码要求

  4. 选择 配置

    Citrix Analytics for Security 准备了 Splunk 集成所需的配置详细信息。

    配置 SIEM

  5. 选择 Splunk

  6. 复制配置详细信息,包括用户名、主机、Kafka 主题名称和组名。

    在后续步骤中,您需要这些详细信息才能配置适用于 Splunk 的 Citrix Analytics 加载项。

    重要

    这些详细信息是敏感的,您必须将它们存储在安全的位置。

    配置详细信息

要为 Splunk Integration 生成候选数据,请为 至少一个数据源开启数据处理或使用 测试事件生成功能。它有助于 Citrix Analytics for Security 启动 Splunk 集成流程。

重置密码功能

如果要在 Citrix Analytics for Security 上重置配置密码,请执行以下步骤:

  1. 在“帐户设置”页面上,单击“重置密码”。

    SIEM 重置密码

  2. 重置密码窗口中,在新密码确认新密码字段中指定更新后的密码 。遵循显示的密码规则。

    SIEM 密码要求

  3. 单击重置。配置文件准备工作已启动。

    SIEM 重置密码

注意

重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics for Security 继续向 Splunk 传输数据。

打开或关闭数据传输

默认情况下,从 Citrix Analytics 导出的 Splunk 数据传输处于启用状态。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据导出”。

  2. 关闭切换按钮以禁用数据传输

    SIEM 传输已关闭

要再次启用数据传输,请打开切换按钮。

适用于 Splunk 的 Citrix Analytics 加载项

您可以选择在以下任一平台上安装附加应用程序:

适用于 Splunk 的 Citrix Analytics 插件(本地/企业版)

支持的版本

Citrix Analytics for Security 支持在以下操作系统上集成 Splunk:

  • CentOS Linux 7 及更高版本
  • Debian GNU/Linux 10.0 及更高版本
  • 红帽企业 Linux 服务器 7.0 及更高版本
  • Ubuntu 18.04 LTS 及更高版本

注意

  • Citrix 建议使用先前操作系统的最新版本或 仍在相应供应商支持的版本。

  • 对于 Linux 内核(64 位)操作系统,请使用 Splunk 支持的内核版本。有关更多信息,请参阅 Splunk 文档

您可以在以下 Splunk 版本上配置我们的 Splunk 集成:Splunk 8.1 (64 位)及更高版本。

必备条件

  • 适用于 Splunk 的 Citrix Analytics 加载项连接到 Citrix Analytics for Security 上的以下端点。确保终端节点位于网络中的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 代理 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

注意:

尝试使用端点名称而不是 IP 地址。终端节点的公有 IP 地址可能会更改。

下载并安装适用于 Splunk 的 Citrix Analytics 加载项

您可以选择使用 从文件安装应用程序或从 Splunk 环境中安装插件。

从文件安装应用

  1. 转到 Splunkbase

  2. 下载适用于 Splunk 的 Citrix Analytics 加载项文件。

  3. 在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。

  4. 单击 从文件安装应用程序

  5. 找到下载的文件,然后单击 上传

    备注

    • 如果您有旧版本的加载项,请选择 升级应用程序 以覆盖它。

    • 如果要从 2.0.0 之前的版本升级适用于 Splunk 的 Citrix Analytics 加载项,则必须删除附加组件安装文件夹的 /bin 文件夹中的以下文件和文件夹,然后重新启动 Splunk 转发器或 Splunk 独立版环境:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. 验证应用程序是否显示在应用程序列表中。

从 Splunk 内部安装应用

  1. 在 Splunk Web 主页上,单击 + 查找更多应用程序

  2. 在浏览更多应用程序页面上,搜索 Citrix Analytics Add-on for Splunk(适用于 Splunk 的 Citrix Analytics 加载项)。

  3. 单击应用程序旁边的 安装

  4. 验证应用程序是否显示在应用程序列表中。

配置适用于 Splunk 的 Citrix Analytics 加载项

使用 Citrix Analytics for Security 提供的配置详细信息配置适用于 Splunk 的 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics for Security 中的事件。

  1. 在 Splunk 主页上,转到设置 > 数据输入

    Splunk 配置

  2. 本地输入 部分中,单击 Citrix Analytics 加载项

    Splunk 配置

  3. 单击新建

    Splunk 配置

  4. 添加数据 页面上,输入 Citrix Analytics 配置文件中提供的详细信息。

    Splunk 配置

  5. 要自定义默认设置,请单击 更多设置并设置 数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。

    Splunk 配置

  6. 单击下一步。您的 Citrix Analytics 数据输入已创建,并且已成功配置适用于 Splunk 的 Citrix Analytics 加载项。

适用于 Splunk(云端)的 Citrix Analytics 插件

您可以在以下 Splunk 版本上配置我们的 Splunk 集成:Splunk 8.1 及更高版本。

必备条件

适用于 Splunk 的 Citrix Analytics 插件连接到以下 IP 和出站端口,以连接到 Citrix Analytics for Security。确保以下 IP 和出站端口(取决于您的 Citrix Cloud 区域)位于您的网络的允许列表中。要配置这些 IP 和出站端口,请参阅使用 Admin Configuration Service (ACS) 将 Citrix Analytics IP 和出站端口添加到 Splunk Cloud 允许列表部分。

美国地区 IP 出站端口 欧盟区域 IP 出站端口 亚太南部地区 IP 出站端口
casnb-0 citrix.com 20.242.21.84 9094 casnb-eu-0 citrix.com 20.229.150.41 9094 casnb-aps-0 citrix.com 20.211.0.214 9094
casnb-1.citrix.com 20.98.232.61 9094 casnb-eu-1.citrix.com 20.107.97.59 9094 casnb-aps-1 citrix.com 20.211.38.102 9094
casnb-2.citrix.com 20.242.21.108 9094 casnb-eu-2.citrix.com 51.124.223.162 9094 casnb-aps-2 citrix.com 20.211.36.180 9094
casnb-3.citrix.com 20.242.57.140 9094            

注意

这些 IP 可能会轮换。如上所示, 确保使用最新的 IP 更新您的 IP 允许列表。

Admin Configuration Service (ACS) 将 Citrix Analytics IP 和出站端口添加到 Splunk Cloud 允许列表

  1. 根据您的 Citrix Cloud 区域,必须将零个 IP 添加到允许列表中。
  2. 在 Splunk 云平台上启用 Admin Configuration Service (ACS)。
  3. 使用具有管理员权限的本地帐户为允许列表创建令牌。
  4. 运行 cURL GET 和 POST 命令将子网添加到相应端口的允许列表中,并验证它们是否已成功添加。
  5. 运行 cURL GET 和 POST 命令 将出站端口添加到允许列表中,并验证它们是否已成功添加。

下载并安装适用于 Splunk 的 Citrix Analytics 加载项

  1. 转到应用程序 > 查找更多应用程序 > 搜索适用于 Splunk 的 Citrix Analytics 加载项。

    适用于 Splunk 的加载项

  2. 安装应用程序。
  3. 验证应用程序是否显示在应用程序列表中。

配置适用于 Splunk 的 Citrix Analytics 加载项

  1. 前往“设置”>“数据输入”> Citrix Analytics 加载项

    Citrix Analytics 加载项

  2. 添加输入:Splunk 集成 Citrix Analytics for Security。单击添加新项

    Splunk 集成输入

  3. 通过输入 Citrix Analytics 数据导出页面上配置的详细信息来配置数据输入。

    Splunk 数据输入详细信息

  4. 验证您的数据输入是否已成功添加。

    已成功添加 Splunk 数据输入

如何在 Splunk 环境中使用事件

配置附加组件后,Splunk 开始从 Citrix Analytics for Security 检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。

搜索结果按以下格式显示:

消费事件格式

输出示例:

消费事件示例输出

要搜索和调试插件的问题,请使用以下搜索查询:

消费者事件搜索查询

结果按以下格式显示:

消费者活动搜索结果

有关数据格式的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

对适用于 Splunk 的 Citrix Analytics 加载项进行故障排除

如果您在 Splunk 控制板中看不到任何数据,或者在配置适用于 Splunk 的 Citrix Analytics 加载项时遇到问题,请执行调试步骤来修复问题。有关更多信息,请参阅适用于 Splunk 的 Citrix Analytics 加载项的配置问题

注意

联系 CAS-PM-Ext@cloud.com 以请求有关 Splunk 集成、将数据导出到 Splunk 的帮助或提供反馈。

适用于 Splunk 的 Citrix Analytics 应用

注意

此应用程序处于预览中。

适用于 Splunk 的 Citrix Analytics 应用程序使 Splunk Enterprise 管理员能够在 Splunk 上以富有洞察力且可操作的控制板形式查看从 Citrix Analytics for Security 收集的用户数据。使用这些控制板,您可以详细了解组织中用户的风险行为,并及时采取措施来缓解任何内部威胁。您还可以将从 Citrix Analytics for Security 收集的数据与 Splunk 上配置的其他数据源关联起来。这种关联使您可以从多个来源了解用户的风险活动,并采取措施保护您的 IT 环境。

支持的 Splunk 版本

适用于 Splunk 的 Citrix Analytics 应用程序在以下 Splunk 版本上运行:

  • Splunk 9.0 64 位

  • Splunk 8.2 64 位

  • Splunk 8.1 64 位

适用于 Splunk 的 Citrix Analytics 应用的先决条

  • 安装适用于 Splunk 的 Citrix Analytics 加载项。

  • 确保已满足适用于 Splunk 的 Citrix Analytics 加载项提及的必备条件

  • 确保数据从 Citrix Analytics for Security 传输到 Splunk。

安装和配置

在哪里安装应用程序

Splunk 搜索头

如何安装和配置应用程序

您可以通过从 Spl unkbase 下载适用于 Splunk 的 Citrix Analytics 应用程序或从 Splunk 中安装来安装该应用程序。

从文件安装应用
  1. 转到 Splunkbase

  2. 下载适用于 Splunk 的 Citrix Analytics 应用程序文件。

  3. 在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。

  4. 单击 从文件安装应用程序

  5. 找到下载的文件,然后单击 上传

    注意

    如果您使用的是旧版本的应用程序,请选择 升级应用程序 以覆盖它。

  6. 验证应用程序是否显示在应用程序列表中。

从 Splunk 内部安装应用
  1. 在 Splunk Web 主页上,单击 + 查找更多应用程序

  2. 在浏览更多应用程序页面上,搜索适用于 Splunk 的 Citrix Analytics 应用程序

  3. 单击应用程序旁边的 安装

配置索引和源类型以关联数据
  1. 安装应用程序后,单击 立即设置。

    设置应用

  2. 输入以下查询:

    • 存储来自 Citrix Analytics for Security 的数据的索引和源类型。

      注意

      这些查询值必须与适用于 Splunk 的 Citrix Analytics 加载项中指定的相同。有关更多信息,请参阅配置适用于 Splunk 的 Citrix Analytics 加载项

    • 要从中将数据与 Citrix Analytics for Security 关联起来的索引。

      来源和索引

  3. 单击 完成应用程序安装程序 以完成配置。

配置并设置适用于 Splunk 的 Citrix 分析应用程序后,使用 Citrix Analytics 控制板 查看 Splunk 上的用户事件。

有关 Splunk 集成的更多信息,请参阅以下链接: