Citrix Analytics for Security

Splunk 集成

注意

联系 CAS-PM-Ext@citrix.com 以请求有关 Splunk 集成、将数据导出到 Splunk 或提供反馈的帮助。

将 Citrix Analytics for Security 与 Splunk 集成,将 Citrix IT 环境中的用户数据导出并关联到 Splunk,从而更深入地了解组织的安全态势。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

支持的版本

Citrix Analytics for Security 支持在以下操作系统上集成 Splunk:

  • CentOS Linux 7 及更高版本
  • Debian GNU/Linux 10.0 及更高版本
  • 红帽企业 Linux 服务器 7.0 及更高版本
  • Ubuntu 18.04 LTS 及更高版本

重要

  • Citrix 建议使用之前的操作系统的最新版本或相应供应商仍在支持下的版本。

  • 对于 Linux 内核(64 位)操作系统,请使用 Splunk 支持的内核版本。有关更多信息,请参阅 Splunk 文档

您可以在以下 Splunk 版本上配置 Splunk 集成:

  • Splunk 云输入数据管理器 (IDM)

  • Splunk 8.1(64 位)及更高版本

必备条件

  • 适用于 Splunk 的 Citrix Analytics 附加组件 连接到 Citrix Analytics for Security 上的以下端点。确保终端节点位于网络中的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 中转站 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • 为至少一个数据源启用数据处理。它有助于 Citrix Analytics for Security 开始 Splunk 集成过程。

将 Citrix Analytics for Security 与 Splunk 集成

遵循上述准则,将 Citrix Analytics for Security 与 Splunk 集成:

准备好 Citrix Analytics 配置文件后,请参阅:

配置适用于 Splunk 的 Citrix Analytics 加载项后,请参阅:

数据导出

  1. 转到 设置 > 数据源 >安全 > 数据导出

  2. SIEM 站点卡片上,选择开始

    SIEM 数据导出

在 Citrix Analytics for Security 上获取安全配置

  1. Citrix Analytics 上的配置部分 ,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。

    配置部分

  2. 确保密码满足以下条件:

    SIEM 密码要求

  3. 选择 配置

    Citrix Analytics for Security 准备了 Splunk 集成所需的配置详细信息。

    配置 SIEM

  4. 选择 Splunk

  5. 复制配置详细信息,包括用户名、主机、Kafka 主题名称和组名。

    在后续步骤中,您需要这些详细信息才能为 Splunk 配置 Citrix Analytics 加载项。

    重要

    这些详细信息是敏感的,您必须将它们存储在安全的位置。

    配置详细信息

下载并安装适用于 Splunk 的 Citrix Analytics 附加组件

  1. 登录到您的 Splunk 转发器或 Splunk 独立版环境。

  2. 通过从 Splun kbase 下载适用于 Splunk 的 Citrix Analytics 加载项或在 Sp lunk 中安装它,安装该插件。

从文件安装应用

  1. 转到 Splunkbase

  2. 下载适用于 Splunk 的 Citrix Analytics 加载项文件。

  3. 在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。

  4. 单击 从文件安装应用程序

  5. 找到下载的文件,然后单击 上传

    备注

    • 如果您有旧版本的加载项,请选择 升级应用程序 以覆盖它。

    • 如果要从 2.0.0 之前的版本升级 适用于 Splunk 的 Citrix Analytics 加载 项,则必须删除附加组件安装文件夹的 /bin 文件夹中的以下文件和文件夹,然后重新启动 Splunk 转发器或 Splunk 独立版环境:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. 验证应用程序是否显示在应用程 列表中。

从 Splunk 内部安装应用

  1. 在 Splunk Web 主页上,单击 + 查找更多应用程序

  2. 在浏览更多应用程序页面上,搜索 适用于 Splunk 的 Citrix Analytics 加载项

  3. 单击应用程序旁边的 安装

  4. 验证应用程序是否显示在应用程 列表中。

配置 Citrix Analytics add-on for Splunk

使用 Citrix Analytics for Security 提供的配置详细信息为 Splunk 配置 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics for Security 中的事件。

  1. 在 Splunk 主页上,转到设置 > 数据输入

    Splunk 配置

  2. 本地输入 部分中,单击 Citrix Analytics 加载项

    Splunk 配置

  3. 单击新建

    Splunk 配置

  4. 添加数据 页面上,输入 Citrix Analytics 配置文件中提供的详细信息。

    Splunk 配置

  5. 要自定义默认设置,请单击 更多设置并设置 数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。

    Splunk 配置

  6. 单击下一步。您的 Citrix Analytics 数据输入已创建,并且已成功配置适用于 Splunk 的 Citrix Analytics 加载项。

重置 Citrix Analytics 配置密码

如果要在 Citrix Analytics for Security 上重置配置密码,请执行以下步骤:

  1. Citrix Analytics 上的配置页上,单击重置密码

    SIEM 重置密码

  2. 重置密码 窗口中,在新密码确认 新密码字段中指定更新的密码 。遵循显示的密码规则。

    SIEM 密码要求

  3. 单击重置。配置文件准备工作已启动。

    SIEM 重置密码

注意

重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics for Security 继续向 Splunk 传输数据。

如何在 Splunk 中使用事件

配置附加组件后,Splunk 开始从 Citrix Analytics for Security 检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。

搜索结果按以下格式显示:

Splunk 事件消费量

输出示例:

Splunk 事件消费量

要搜索和调试插件的问题,请使用以下搜索查询:

Splunk 事件消费量

结果按以下格式显示:

Splunk 事件消费量

有关数据格式的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

适用于 Splunk 的 Citrix Analytics 应用

注意

此应用程序处于预览中。

适用于 Splunk 的 Citrix Analytics 应用程序使 Splunk Enterprise 管理员能够在 Splunk 上以富有洞察力且可操作的控制板形式查看从 Citrix Analytics for Security 收集的用户数据。使用这些控制板,您可以详细了解组织中用户的风险行为,并及时采取措施来缓解任何内部威胁。您还可以将从 Citrix Analytics for Security 收集的数据与 Splunk 上配置的其他数据源关联起来。通过这种关联,您可以了解来自多个来源的用户的风险事件,并采取措施保护您的 IT 环境。

支持的 Splunk 版本

适用于 Splunk 的 Citrix Analytics 应用程序在以下 Splunk 版本上运行:

  • Splunk 8.2 64 位

  • Splunk 8.1 64 位

  • Splunk 8.0 64 位

  • Splunk 7.3 64 位

适用于 Splunk 的 Citrix Analytics 应用的先决条

  • 安装 适用于 Splunk 的 Citrix Analytics 附加组件。

  • 确保已满足针对 Splunk 的 Citrix Analytics 加载项提及的 决条件。

  • 确保数据从 Citrix Analytics for Security 传输到 Splunk。

安装和配置

在哪里安装应用程序

Splunk 搜索头

如何安装和配置应用程序

您可以通过从 Spl unkbase 下载适用于 Splunk 的 Citrix Analytics 应用程序或从 Splunk 中安装来安装该应用程序。

从文件安装应用
  1. 转到 Splunkbase

  2. 下载适用于 Splunk 的 Citrix Analytics 应用程序文件。

  3. 在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。

  4. 单击 从文件安装应用程序

  5. 找到下载的文件,然后单击 上传

    注意

    如果您使用的是旧版本的应用程序,请选择 升级应用程序 以覆盖它。

  6. 验证应用程序是否显示在应用程 列表中。

从 Splunk 内部安装应用
  1. 在 Splunk Web 主页上,单击 + 查找更多应用程序

  2. 在浏览更多应用程序页面上,搜索适用于 Splunk 的 Citrix Analytics 应用程序

  3. 单击应用程序旁边的 安装

配置索引和源类型以关联数据
  1. 安装应用程序后,单击 立即设置。

    设置应用

  2. 输入以下查询:

    • 存储来自 Citrix Analytics for Security 的数据的索引和源类型。

      注意

      这些查询值必须与适用于 Splunk 的 Citrix Analytics 加载项中指定的相同。有关更多信息,请参阅 为 Splunk 配置 Citrix Analytics 加载项

    • 要从中将数据与 Citrix Analytics for Security 关联起来的索引。

      来源和索引

  3. 单击 完成应用程序安装程序 以完成配置。

配置并设置适用于 Splunk 的 Citrix 分析应用程序后,使用 Citrix Analytics 控制板 查看 Splunk 上的用户事件。

打开或关闭数据传输

Citrix Analytics for Security 准备配置文件后,Splunk 的数据传输将打开。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据源”>“安全”>“数据导出”。

  2. SIEM 站点卡上,选择垂直省略号 (⋮),然后单击关闭数据传输

    SIEM 变速箱关闭

要再次启用数据传输,请在 SIEM 站点卡片上单击打开数据传输

SIEM 传输已开启

针对 Splunk 的 Citrix Analytics 加载项进行

如果您在 Splunk 控制板中看不到任何数据,或者在为 Splunk 配置 Citrix Analytics 加载项时遇到问题,请执行调试步骤来修复问题。有关更多信息,请参阅适用于 Splunk 的 Citrix Analytics 加载项的配置问题