Splunk 的 Citrix Analytics 控制板
**注意事项**
:Citrix Content Collaboration 和 ShareFile 的使用寿命已接近尾声,不再向用户开放。
此功能在预览版中提供。
必备条件
要使用以下 Citrix Analytics 控制板,请确保您已经配置并设置了适用于 Splunk 的 Citrix Analytics 应用程序。
用户风险评分概述
此控制板提供了组织中存在风险的用户的综合视图。用户按风险级别进行分类-高、中和低。风险级别基于用户事件中的异常情况,因此会分配风险评分。有关风险用户类型的更多信息,请参阅用 户控制板。
要查看此控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-用户风险评分概述。
选择预设的时间范围或自定义时间范围以查看有风险的用户的时间轴及其详细信息。
“风险用户”表提供以下信息:
-
用户:表示用户名。单击用户名可在 Citrix Analytics-实体详细信息控制板上查看有关用户风险行为的详细信息。
-
发现的受损端点风险:表示属于受感染终端风险类别的用户触发的风险指示器的数量。
-
发现的受感染用户风险:表示属于受感染用户风险类别的用户触发的风险指示器的数量。
-
发现的数据泄露风险:表示属于数据泄露风险类别的用户触发的风险指示器的数量。
-
发现的内部威胁风险:表示属于内部威胁风险类别的用户触发的风险指示器的数量。
-
风险评分:表示用户的风险评分。
您还可以按用户名搜索用户并获取所需的详细信息。
有关更多信息,请参阅 风险类别。
风险指标概述
控制面板提供了组织中用户触发的风险指示器的综合视图。
要查看控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-风险指示器概述。
选择类别以查看报告
通过选择一个或多个类别来搜索风险指标:
-
时间范围:选择预设时间范围或自定义时间范围以查看该时间段内触发的风险指示器。
-
风险指示器类型:选择风险指示器的类型:内置或自定义。
-
实体类型:选择一个用户来查看相关的风险指标。
-
组:选择一个条件以按数据源、指标类别、指标名称、指标类型或实体类型对用户事件进行分组,然后查看关联的风险指标。
查看报告
通过选择一个或多个类别,使用以下报表查看有关风险指示器的详细信息:
-
触发的风险指示器数量:显示在选定期间内触发的风险指示器的数量。使用此报告可以确定风险事件的模式和区域。另外,确定组织中风险最大的事件。
-
风险指示器事件的总数和不同实体计数:显示与风险指示器对应的事件总数和唯一事件。使用此报告来确定组织中每个风险指标和主要风险指标的出现情况。您还可以确定有多少独立用户触发了特定的风险指标,并检查该风险指标是由更大还是更小的用户组触发的。
-
按位置划分的风险指示器:显示用户在不同位置触发的风险指示器的数量。使用此报告可以确定显示风险较高的事件的位置,并检查这些地点是否在组织的运营区域之外。
-
风险指示器详细信息:显示有关风险指示器的详细信息,例如关联的数据源、指标类别、指标类型和出现次数。
风险指标详情
控制板提供有关用户触发的内置和自定义风险指标的详细信息。有关详细信息,请参阅 Citrix 用户风险指示 器和 自定义风险指示器。
要查看控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-风险指示器详细信息。
选择类别以查看报告
通过选择一个或多个类别来查看风险指标的详细信息:
-
时间范围:选择预设的时间范围或自定义时间范围以查看该时间段内触发的风险指示器的详细信息。
-
实体类型:选择一个用户来查看相关风险指标的详细信息。
-
风险指示器类型-选择内置或自定义的风险指标类型以查看其详细信息。
-
数据源-选择数据源以查看相关风险指示器的详细信息。
-
风险指示器类别-选择风险类别以查看相关风险指标的详细信息。
-
风险指示器-选择风险指示器以查看其详细信息。
查看报告
例如,从选择风险指示器列表中,选择 异常身份验证失败 (Citrix Content Collaboration),单击 提交,然后查看以下信息:
-
与风险指标相关的前 10 位用户
-
有关风险指标的详细信息,例如
-
触发的日期和时间
-
关联的数据源
-
关联的风险类别
-
关联的实体 ID 和用户实体类型
-
风险严重程度-高、中或低
-
用户事件的风险概率
-
风险指示器的唯一标识 (UUID)
-
在 按风险指示器排名前 10 位的实体中,单击实体以在 Citrix Analytics-实体详细信息控制板上查看其详细信息 。
单击 “ 风险指标详细信息 ” 表的每一行,查看所选风险指标的事件摘要、事件详细信息和原始事件。
在风险指示器事件摘要部分中,单击 Citrix Analytics UI 链接,直接从 Splunk 转到 Citrix Analytics for Security 上的用户时间轴。在用户时间轴上,查看风险指示器、相关事件以及针对用户应用的任何操作。
有关事件摘要和事件详细信息的更多信息,请参阅 SIEM 的 Citrix Analytics 数据格式。
实体详情
使用仪表板查看有关用户实体用户及其风险行为的详细信息。
要查看控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-实体详细信息。
查看报告
输入时间范围和实体(用户名),然后单击 “ 提交 ” 以查看详细信息。
或者,您也可以从以下控制板中查看有关实体的详细信息:
-
在 Citrix Analytics-风险指示器详细信息上,转到 按风险指示器排名前 10 位的实体,然后单击一个实体。
-
在 Citrix Analytics-风险评分概述上,转到风 险用户,然后单击用户名。
将显示以下详细信息:
-
所选时间范围内的当前风险评分和风险评分时间表。
-
风险指标的百分比分布。帮助您分析实体的危险事件模式。
-
风险指标的地理分布。帮助您识别不寻常和高风险的地点。
-
与风险事件相关的客户端 IP 详细信息。
-
与风险事件相关的用户设备详细信息。
-
风险指示器详细信息,例如关联的数据源、风险类别、风险严重程度等。
将与危险活动相关的客户端 IP 和用户设备与从与 Splunk 关联的其他安全来源收集的事件关联起来。例如,单击“客 户端 IP 详细信息”表中的一行。
在 Citrix Analytics 事件关 联控制板上,您可以查看与所选客户端 IP 关联的事件,这些事件与其他安全数据源(基于索引和源类型)相关联。这些事件可以更深入地了解与客户端 IP 相关的恶意事件。
用户资料概述
使用控制面板查看与组织中的用户关联的事件量度。
要查看控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-用户配置文件概述。
查看事件
选择时间范围并查看以下指标:
-
用户使用的前 10 个应用程序
-
用户使用的十大设备
-
用户使用的前 10 个位置
-
使用的 Web 和 SaaS 应用程序的数量
-
使用的设备数量
-
跨位置访问过的用户数量
-
数据使用情况指标,例如上传、下载、共享的文件
这些指标可让您深入了解组织中的用户事件。您可以识别最重要的应用程序和设备、使用模式、不合规的设备和应用程序、异常位置、存在风险的访问以及异常的文件事件。
收到的事件
使用控制板查看从 Citrix Analytics for Security 接收的事件。事件表示用户事件的类型。
要查看控制板,请单击 Citrix Analytics-控制板 > Citrix Analytics-已收到的事件。
查看报告
选择时间范围来查看和比较收到的各种类型的事件。控制面板提供以下信息:
-
收到的事件总数:它是从 Citrix Analytics for Security 收到的所有事件的汇总,包括以下内容:
-
风险指示器事件总数:表示用户与触发的风险指示器关联的事件。
-
总风险指示器详细信息事件:表示与触发的风险指示器的详细信息相关联的事件。
-
风险评分变化事件总数:表示与用户风险评分变化相关的事件。
-
用户配置文件风险评分事件总数:表示与用户的风险评分关联的事件。
-
用户配置文件应用程序事件总数:表示与用户使用的应用程序相关联的事件。
-
用户配置文件设备事件总数:表示与用户使用的设备相关联的事件。
-
用户配置文件数据使用事件总数:表示与用户的数据使用情况相关联的事件。
-
用户配置文件位置事件总数:表示与用户访问的位置相关联的事件。
-
示例事件关联
使用控制板将从 Citrix Analytics for Security 接收的事件与从在 Splunk 中配置的其他安全数据源收集的事件关联起来。您可以更深入地了解从多个数据源收集的用户的风险活动,找出事件之间的关系,并识别任何威胁。
要查看控制板,请单击 SIEM 关联-示例控制板 > Citrix Analytics 事件关联。
必备条件
要执行关联,请确保执行以下操作:
-
您必须具有来自其他安全数据源的事件才能关联。例如,与从 Splunk 中配置的其他数据源接收的用户、设备和客户端 IP 地址相关联的事件。
-
在配置过程中,您必须已经定义了相关索引。
关联事件
可以查看 Citrix Analytics for Security 检测到的风险最高的实体和风险最高的 IP 地址。要将这些事件与其他数据源(在索引和源类型中定义)关联起来,请单击表中的实体或 IP 地址。
查询字段中显示的索引值是在应用程序配置期间定义的。您可以根据要求将索引值更改为不同的安全数据源。
没有事件的故障排除
如果未在所有控制板上找到任何事件,则可能是因为适用于 Splunk 的 Citrix Analytics 应用程序和适用于 Splunk 的 Citrix Analytics 附加组件中存在配置问题。在这种情况下,验证索引值和源类型值。确保应用程序和插件中索引和源类型的值相同。
要查看适用于 Splunk 的 Citrix Analytics 应用程序的配置设置:
-
单击 应用 > 管理应用程序。
-
从列表中找到适用于 Splunk 的 Citrix Analytics 应用程序。单击 设置。
-
检查源类型和索引。
要查看适用于 Splunk 的 Citrix Analytics 附加组件的配置设置:
-
单击 设置 > 数据输入。
-
单击 Citrix Analytics 加载项。
-
单击从中获取事件的租户。
-
选择 更多设置。
-
检查源类型和索引。
有关配置的更多信息,请参阅 为 Splunk 配置 Citrix Analytics 加载项。