故障排除数据导出
“数据导出”的“安全”视图包含一个“摘要”选项卡,可帮助管理员排查其 SIEM 与 Citrix Analytics 的集成问题。“摘要”仪表板通过引导管理员完成有助于故障排除过程的检查点,提供数据运行状况和流动的可见性。
摘要选项卡
“摘要”选项卡构成了“数据导出”视图中自助故障排除工作流的基础。它通过以下三个卡片描述您的 SIEM 设置:
- Citrix Analytics 中的可用数据:此卡片显示数据源配置的状态。
- 可供 SIEM 使用的事件:此卡片显示可供 SIEM 环境使用的事件数量。
- SIEM 的数据消耗:此卡片显示 SIEM 环境中数据流的状态。
Citrix Analytics 中的可用数据
“Citrix Analytics 中的可用数据”卡片显示已载入 Citrix Analytics for Security 且最终可为 SIEM 洞察提供数据的数据源数量。目前支持三种数据源进行数据导出:Apps and Desktops、Gateway 和 Secure Private Access。即使这些数据源已载入,对于已关闭数据处理的数据源,数据导出功能也将不起作用。当检测到此类数据源时,将显示如上图所示的相应警告消息。
“查看过去 7 天的事件”按钮会将管理员重定向到“自助搜索”视图,管理员可以通过该视图验证事件是否已流入 Citrix Analytics for Security。“载入数据源”按钮会重定向到“数据源”视图,您可以在其中深入了解载入过程。
如果没有载入任何数据源,将显示相应的警告消息,如以下屏幕截图所示:
可供 SIEM 使用的事件
“可供 SIEM 使用的事件”卡片显示预期流入 SIEM 环境的洞察和数据源事件的数量及其细分。展开后,还可以查看每种数据导出事件类型的进一步细分。
SIEM 的数据消耗
“SIEM 的数据消耗”卡片描述了 Citrix Analytics 准备的数据流入 SIEM 环境的运行状况。数据消耗状态基于 Kafka 主题中的偏移量移动。如果可用,卡片还会显示上次检测到成功数据消耗的时间戳。数据消耗状态和时间戳每 10 分钟刷新一次。单击此处了解有关 Kafka 消费者组/偏移量管理的更多信息。
数据消耗状态可以采用以下状态:
-
非活动消耗
-
无数据导出历史记录:此状态由一个橙色点表示,表明 Citrix Analytics 准备的数据从未成功流入您的 SIEM 环境。
这可能是由于以下原因:
-
数据源配置不正确/不完整。“Citrix Analytics 中的可用数据”卡片可用于验证数据源是否充足,以及是否已启用其数据处理以允许导出。
-
缺少用户活动。“Citrix Analytics 中的可用数据”卡片中的“查看过去 7 天的事件”按钮可用于验证是否存在用户活动。此外,“可供 SIEM 使用的事件”卡片可用于验证 Citrix Analytics 是否已准备好任何洞察或数据源事件以流入您的 SIEM。
-
SIEM 设置不正确/不完整。验证“配置”选项卡中的“帐户设置”阶段是否已成功完成。如果设置完成,则在“帐户设置”阶段会显示一个绿色勾号。
如果即使在成功设置帐户后状态仍未改变,请通过检查以下内容进一步排查:
-
防火墙问题或 SIEM 设置错误 – 请参阅设置 SIEM 环境。
-
Kafka 帐户设置或 SIEM 环境的凭据问题 – 请参阅使用 Kafka 进行 SIEM 集成。
-
-
-
未检测到活动消耗:此状态表示至少在过去 10 分钟内,数据未成功流入您的 SIEM 环境。卡片还将显示上次成功数据移动的时间戳。与“无数据导出历史记录”一样,您可以使用“Citrix Analytics 中的可用数据”和“可供 SIEM 使用的事件”卡片进行故障排除。如果存在足够的用户活动且可用事件计数增加,则最好关注上次成功的时间戳,以检查在该时间戳之后是否发生了任何防火墙更改或密码轮换。
-
7 天前导出:此状态表示上次在您的 SIEM 上检测到活动消耗是在一周多以前。与上述两种状态类似,如果这是检测到的数据消耗状态,请使用“Citrix Analytics 中的可用数据”和“可供 SIEM 使用的事件”卡片来排查您的 SIEM 设置。
注意
Kafka 保留策略:Citrix Analytics Kafka 主题仅保留事件最长 7 天。为避免或防止潜在的数据丢失,建议设置不超过 7 天的数据轮询间隔。
在非活动消耗中,您可以查看以下警告消息,以帮助您完成故障排除过程。
如“无数据导出历史记录”案例中所述,如果 SIEM 设置未完成,则数据永远不会流入 SIEM 环境。因此,用户将被重定向到“配置”选项卡以完成帐户设置,如以下屏幕截图所示:
如果 SIEM 设置已完成,数据仍可能未主动流动,如“未检测到活动消耗”或“7 天前导出”状态所示。因此,建议用户转到“测试事件生成”部分以测试 SIEM 连接,如以下警告消息所示。
-
-
活动消耗
-
检测到活动消耗:此状态表示已在您的 SIEM 上检测到活动消耗。
-
数据导出快速指南
“摘要”选项卡辅以“数据导出快速指南”面板,以简化 SIEM 设置的部署、管理和故障排除。除了提供“数据导出”的“安全”视图的全面指南外,“快速指南”还通过提供相关文档链接,包含有关如何设置和管理 SIEM 环境的有用提示。
“快速指南”面板中还有一个“测试 SIEM 连接”部分,可将用户重定向到 SIEM 环境设置阶段中的“测试 SIEM 连接”阶段。这使用户能够调查 SIEM 集成本身是否已损坏,从而排除 Citrix Analytics for Security 处理事件的问题。然后,用户可以修复 SIEM 连接以启用数据流。
“配置”选项卡在指导部署设置的同时,还为管理员提供了有关 SIEM 设置的有用提示、警告消息和常见陷阱。在以下情况下会显示相应的警告:
-
Citrix Analytics 检测到未载入任何数据源。建议载入 Apps and Desktops 以根据用户活动收集遥测数据。在没有载入数据源的情况下,即使您的 SIEM 设置可能已成功完成,也无法观察到数据流。
-
如下图所示,SIEM 环境设置和数据导出事件阶段在帐户设置成功完成之前处于禁用状态。
-
数据导出已关闭。“数据导出事件”阶段的警告提醒您启用数据导出以生效任何更改。
-
在“数据导出事件”阶段,如果特定数据源的数据导出被禁用,则没有数据源事件流向 SIEM。您必须通过配置和选择所需的数据源事件类型来启用此功能。此外,请确保已为相应数据源启用数据处理,以确保数据到达 Citrix Analytics。
测试事件生成
“测试事件生成”作为“SIEM 环境设置”阶段的一部分提供,以增强故障排除体验。用户完成 SIEM 设置后,“测试事件生成”提供了一种通过将测试事件直接发送到客户的 SIEM 数据导出 Kafka 主题来快速测试 SIEM 连接的方法。
它还使新用户能够快速测试其与 Citrix Analytics 的 SIEM 集成,而无需显式载入新的数据源并随后生成用户活动。
要测试此功能,用户需要单击“发送测试数据”按钮。这将生成一个虚拟测试事件并将其发送到客户的 SIEM 数据导出 Kafka 主题。此测试事件生成过程可能需要长达 1 分钟,如以下屏幕截图所示:
如果测试事件数据成功写入客户 Kafka 主题,则会显示一条成功消息,表明 SIEM 连接成功。根据您选择的环境(Splunk 和 Sentinel),管理员可以复制查询并检查其 SIEM 环境中的测试事件。
对于 Elasticsearch 和其他环境,将显示以下成功消息。
注意
生成测试事件后,“发送测试数据”按钮将在接下来的 24 小时内禁用,用户将鼠标悬停在该按钮上时会看到以下弹出窗口。在上次成功时间戳后的 24 小时,该按钮将再次启用,供用户测试该功能。
如果测试事件数据未成功写入客户 Kafka 主题,则会显示失败消息,如以下屏幕截图所示。用户可以再次发送数据以测试连接。
SIEM 电子邮件警报
Citrix Analytics 会发送电子邮件警报,通知管理员可能导致数据流中断到其 SIEM 环境的场景。它包含有关可能导致临时/永久性安全态势数据丢失的活动的情境信息。它还有助于引导管理员完成 SIEM 数据导出的自助故障排除过程。
此组电子邮件警报的一些重要属性可帮助您在收件箱中找到它们:
-
该电子邮件分发给 Citrix Cloud™ 管理员、安全完全管理员、安全只读管理员以及安全和性能只读管理员。
-
发件人是 Citrix Cloud donotreplynotifications@citrix.com。
-
主题行是:
- 对于密码重置电子邮件警报:SIEM 数据导出警报 - 密码已重置。
- 对于数据流中断电子邮件警报:SIEM 数据导出警报 - 数据流已停止。
如何启用电子邮件通知
如果您是具有自定义访问权限(安全完全管理员、安全只读管理员、安全和性能只读管理员)以管理安全分析的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户始终启用电子邮件通知。默认情况下,每周电子邮件通知会发送给 Citrix 安全管理员 - 默认列表。您还可以修改接收此警报的分发列表。有关更多信息,请参阅 。
如果您是具有自定义访问权限(安全完全管理员、安全只读管理员、安全和性能只读管理员)以管理安全分析的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户始终启用电子邮件通知。
SIEM 电子邮件警报类型
-
SIEM 密码重置电子邮件警报
当通过“数据导出”页面重置帐户密码时,会收到 SIEM 密码重置警报电子邮件。仅在 Citrix Analytics UI 上重置 SIEM 密码可能导致与 SIEM 上配置的密码不匹配。这会导致数据流中断。此电子邮件警报包含密码重置的时间。如果数据流停止,您可以转到“摘要”选项卡,检查“上次导出时间”时间戳是否接近密码重置时间戳,从而传递必要的密码更改。这缩短了调试过程,并帮助您立即恢复到 SIEM 环境中的成功数据流。
-
数据流中断 24 小时电子邮件警报
当 Citrix Analytics 服务到 SIEM 环境的数据流中断超过 24 小时时,会发送此电子邮件警报。该电子邮件包含上次导出事件的时间以及可用于恢复数据流的有用故障排除快速提示。这将是快速恢复数据流以避免丢失任何安全态势数据的正确时机。
-
数据流中断 7 天电子邮件警报
当 Citrix Analytics 服务到 SIEM 环境的数据流中断超过 7 天时,会发送此电子邮件警报。由于客户 Kafka 主题的保留期为 7 天,因此遵循故障排除提示并借助“数据导出”页面上提供的快速指南至关重要,以避免丢失任何进一步的数据,因为此电子邮件警告存在永久丢失安全态势信息的情况。
-
数据流中断 30 天电子邮件警报
当 Citrix Analytics 服务到 SIEM 环境的数据流中断超过 30 天时,会发送此电子邮件警报。此时,客户已丢失安全态势数据,因此必须尽快使用故障排除功能来恢复数据流。
