数据导出故障排除
安全数据导出视图包含摘要选项卡,可帮助管理员解决其 SIEM 与 Citrix Analytics 的集成问题。摘要控制板通过有助于故障排除过程的检查点,让您可以查看数据的运行状况和流向。
摘要选项卡
摘要 选项卡构成了“数据导出”视图中自助故障排除工作流程的基础。它使用以下三张卡来描述您的 SIEM 设置:
- Citrix Analytics 中的可用数据:此卡显示您的数据源配置的状态。
- 可用于 SIEM 消费的事件:此卡显示您的 SIEM 环境已准备好使用的事件数量。
- SIEM 的数据消耗:此卡显示您的 SIEM 环境中数据流的状态。
Citrix Analytics 中的可用数据
Citrix Analytics 中的可用数据 卡显示了最终可为 Citrix Analytics for Security 提供的 SIEM 见解的数据源的数量。目前支持三个数据源进行数据导出:应用程序和桌面、网关和安全私有访问。即使这些数据源已加载,对于已关闭数据处理的数据源,数据导出也不会起作用。检测到此类数据源时,会显示相应的警告消息,例如上图所示的警告。
查看最近 7 天的事件 按钮可将管理员重定向到自助搜索视图,管理员可以通过该视图验证事件是否已流入 Citrix Analytics for Security。“载入数据源”按钮重定向到“数据源”视图,您可以在其中深入了解入职流程。
如果没有载入的数据源,则会显示相应的警告消息,如以下屏幕截图所示:
适用于 SIEM 消费的可用活动
SIEM 消费的可用事件 卡显示预计将流入您的 SIEM 环境的洞察和数据源事件的数量及其细分。扩展后,还可以进一步细分每种类型的导出数据事件。
SIEM 的数据消耗
SIEM 的数据消耗量 卡描述了 Citrix Analytics 准备的数据流到您的 SIEM 环境的运行状况。数据消耗状态基于您的 Kafka 主题内的偏移量。如果可用,该卡还会显示上次检测到成功数据消耗的时间戳。数据消耗状态和时间戳每隔 10 分钟刷新一次。单击 此处 了解有关 Kafka 消费者群体/抵消量管理的更多信息。
数据消耗状态可以呈现以下状态:
-
非活跃消费
-
没有数据导出历史记录:此状态由橙色圆点表示,表示 Citrix Analytics 准备的任何数据从未成功传送到您的 SIEM 环境。
这可能是由于-
-
数据源配置不正确/不完整。 Citrix Analytics 卡中的可用数据 可用于验证是否有足够的数据源,以及它们是否已开启数据处理以允许导出。
-
缺乏用户活动。 Citrix Analytics 卡中的可用数据中的“查看最近 7 天的事件”按钮可用于验证是否存在用户活动。此外, SIEM 消费的可用事件 卡可用于验证 Citrix Analytics 是否准备好流入您的 SIEM 的任何洞察或数据源事件。
-
SIEM 设置不正确/不完整。验证“配置”选项卡中的“帐户设置”阶段是否已成功完成。如果设置完成,则在帐户设置阶段会出现绿色勾号。
如果即使在成功设置帐户后状态仍未改变,请通过检查以下内容进一步排除故障:
-
防火墙问题或 SIEM 设置配置错误-请参阅 设置 SIEM 环境。
-
Kafka 帐户设置或您的 SIEM 环境存在凭据问题 — 请参阅使用 Kafka 进行 SIEM 集成。
-
-
-
未检测到活跃消耗:此状态表示至少在过去 10 分钟内,数据未成功流入您的 SIEM 环境。该卡片还将显示上次成功移动数据的时间戳。与 “ 无数据导出历史记录” 一样,您可以使用 Citrix Analytics 中的可用数据 和 SIEM 消费卡的 可用事件对此进行 故障排除。如果有足够的用户活动且可用事件数量增加,则最好将重点放在最后一次成功的时间戳上,以检查在所述时间戳之后是否发生了任何防火墙更改或密码轮换。
-
7 天前导出:此状态表示上次检测到您的 SIEM 上的活跃消费是在一周多以前。与上述两种状态类似,如果这是检测到的数据消耗状态,请使用 Citrix Analytics 中的可用数据和 SIEM 消费卡的可用事件对 SIEM 设置进行故障排除。
注意
Kafka 保留策略:Citrix Analytics Kafka 主题最多只能保留活动 7 天。为避免或防止潜在的数据丢失,建议将数据轮询间隔设置为不超过 7 天。
在非活跃消费中,您可以查看以下警告消息,以帮助您完成故障排除过程。
正如“无数据导出历史记录”案例中所强调的那样,如果 SIEM 设置未完成,则不会有数据流入 SIEM 环境。因此,用户被重定向到 “ 配置 ” 选项卡以完成帐户设置,如以下屏幕截图所示:
如果 SIEM 设置已完成,则仍可能出现数据不 活跃的情况,如7 天前未检测到或导出活动消耗量 状态所示。因此,我们敦促用户转到“测试事件生成”部分,测试 SIEM 连接,如以下警告消息所示。
-
-
主动消费
-
检测到有效消费:此状态表示已在您的 SIEM 上检测到主动消费。
-
数据导出快速指南
摘要 选项卡辅以 数据导出快速指南 刀片,可简化 SIEM 设置的部署、管理和故障排除。除了提供有关“数据导出安全性”视图的全面指南外,快速指南还通过提供相关文档的链接,包括有关如何设置和管理 SIEM 环境的有用提示。
快速指南中还有一个“测试 SIEM 连接”部分,可将用户重定向到 SIEM 环境设置阶段中的“测试 SIEM 连接”阶段。这使用户能够调查 SIEM 集成本身是否已中断,从而排除 Citrix Analytics for Security 在处理事件时出现问题的可能性。然后,用户可以修复 SIEM 连接以启用数据流。
配置 选项卡在指导部署设置的同时,还可以帮助管理员在设置 SIEM 时提供有用的提示、警告消息和常见陷阱。在以下情况下会显示相应的警告:
-
Citrix Analytics 检测到尚未载入任何数据源。建议安装应用程序和桌面,以便根据用户活动收集遥测数据。在没有载入数据源的情况下,即使您的 SIEM 设置可能已成功完成,也不会观察到任何数据流。
-
如下图所示,在成功完成账户设置之前,SIEM 环境设置和导出数据事件阶段将被禁用。
-
数据导出已关闭。导出数据事件阶段的警告旨在提醒用户启用“数据导出”以使所有更改生效。
-
在 “要导出的数据事件” 阶段,如果禁用了特定数据源的数据导出,则不会有数据源事件流向 SIEM。必须通过配置和选择所需的数据源事件类型来启用此功能。此外,请确保启用相应数据源的数据处理,以确保数据到达 Citrix Analytics。
测试事件生成
测试事件生成是作为 SIEM 环境设置 阶段的一部分提供的,旨在增强故障排除体验。用户完成 SIEM 设置后,生成测试事件提供了一种通过将测试事件直接发送到客户的 SIEM 数据导出 Kafka 主题来快速测试 SIEM 连接的方法。
它还使新用户能够快速测试他们的 SIEM 与 Citrix Analytics 的集成,无需明确加入新的数据源并随后生成用户活动。
要测试此功能,用户需要单击“发送测试数据”按钮。这会生成一个虚拟测试事件并将其发送到客户的 SIEM 数据导出 Kafka 主题。此测试事件生成过程最多可能需要 1 分钟,如以下屏幕截图所示:
如果在客户 Kafka 主题中成功写入测试事件数据,则会显示一条成功消息,表明 SIEM 连接成功。根据您选择的环境(Splunk 和 Sentinel),管理员可以复制查询并检查其 SIEM 环境中是否有测试事件。
对于 Elasticsearch 和其他环境,将显示以下成功消息。
注意
生成测试事件后,“ 发送测试数据 ” 按钮将在接下来的 24 小时内禁用,用户将鼠标悬停在该按钮上时会看到以下弹出窗口。距离最近的成功时间戳 24 小时后,该按钮将启用,供用户再次测试功能。
如果测试事件数据未成功写入客户 Kafka 主题,则会显示一条失败消息,如以下屏幕截图所示。用户可以再次发送数据来测试连接。
SIEM 电子邮件提醒
Citrix Analytics 会发送电子邮件警报,通知管理员有关可能导致其 SIEM 环境数据流中断的情况。它包含有关可能导致临时/永久安全姿势数据丢失的活动的情境信息。它还有助于顺利完成 SIEM 数据导出的自助故障排除之旅。
这组电子邮件警报的一些重要属性可帮助您在收件箱中找到相同的内容:
-
该邮件分发给 Citrix Cloud 管理员、安全完全管理员、安全只读管理员以及安全和性能只读管理员。
-
发件人是 Citrix Cloud donotreplynotifications@citrix.com。
-
主题行是:
- SIEM 数据导出警报 - 密码已重置,密码已重置电子邮件警报。
- SIEM 数据导出警报 - 数据流已停止,数据流已中断电子邮件警报。
如何启用电子邮件通知
如果您是具有管理安全分析的自定义访问权限(安全完全管理、安全只读管理、安全和性能只读)的 Citrix Cloud 管理员,则始终会为您的 Citrix Cloud 帐户启用电子邮件通知。默认情况下,每周电子邮件通知会发送到 Citrix 安全管理员-默认列表。您也可以修改接收此警报的分发列表。有关更多信息,请参阅 。
如果您是 Citrix Cloud 管理员,拥有管理 Security Analytics 的自定义访问权限(安全完全权限管理员、安全只读管理员、安全和性能只读),则始终为您的 Citrix Cloud 帐户启用电子邮件通知。
SIEM 电子邮件警报的类型
-
SIEM 密码重置电子邮件提醒
通过 “数据导出” 页面重置帐户密码时,会收到 SIEM 密码重置提醒电子邮件。仅在 Citrix Analytics 用户界面上重置 SIEM 密码就可能导致密码与在 SIEM 上配置的密码不匹配。这会导致数据流中断。此电子邮件警报包含密码重置的时间。如果数据流停止,则可以转到 “ 摘要 ” 选项卡,检查 “上次导出时间” 的时间戳是否接近密码重置时间戳,然后转发必要的密码更改。这缩短了调试过程,帮助您立即成功恢复数据流入 SIEM 环境的状态。
-
数据流中断 24 小时电子邮件提醒
当从 Citrix Analytics 服务流入您的 SIEM 环境的数据流中断超过 24 小时时,就会发送此电子邮件提醒。该电子邮件包括上次事件的导出时间以及有用的故障排除快速提示,这些提示可以用来恢复数据流。这是快速恢复数据流的正确时机,这样就不会丢失任何经过安全处理的数据。
-
数据流中断 7 天电子邮件提醒
当从 Citrix Analytics 服务流入您的 SIEM 环境的数据流中断超过 7 天时,就会发送此电子邮件提醒。由于客户的 Kafka 主题的保留期为 7 天,因此务必要遵循故障排除提示并借助 “ 数据导出 ” 页面上提供的快速指南,以免丢失任何其他数据,因为此电子邮件警告安全状态信息将永久丢失。
-
数据流中断 30 天电子邮件提醒
当从 Citrix Analytics 服务流入您的 SIEM 环境的数据流中断超过 30 天时,就会发送此电子邮件提醒。到目前为止,客户已经丢失了安全姿势数据,必须使用故障排除功能尽快恢复流程。