Integration von SIEM-Systemen (Security Information and Event Management)
Hinweis
Kontakt CAS-PM-Ext@cloud.com Unterstützung bei der SIEM-Integration anzufordern, Daten nach SIEM zu exportieren und Feedback zu geben.
Integrieren Sie Citrix Analytics for Security in Ihre SIEM-Dienste und exportieren Sie die Benutzerdaten aus der Citrix IT-Umgebung in Ihr SIEM. Korrelieren Sie die exportierten Daten mit den in Ihrem SIEM verfügbaren Daten, um tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.
Diese Integration steigert den Wert sowohl von Citrix Analytics for Security als auch von SIEM.
Vorteile
-
Ermöglicht es Ihren Security Operations-Teams, Daten aus unterschiedlichen Protokollen zu korrelieren, zu analysieren und zu durchsuchen.
-
Hilft Ihren Security Operations-Teams, die Sicherheitsrisiken zu identifizieren und schnell zu beheben.
-
Sichtbarkeit von Sicherheitswarnungen an einem zentralen Ort.
-
Zentralisierter Ansatz zur Erkennung potenzieller Sicherheitsbedrohungen für organisatorische Risikoanalysefunktionen wie Risikoindikatoren, Benutzerprofile und Risikobewertungen.
-
Möglichkeit, die Citrix Analytics-Risikointelligenzinformationen eines Benutzerkontos mit den externen Datenquellen zu kombinieren und zu korrelieren, die in Ihrem SIEM verbunden sind.
SIEM-Integrationsarchitektur
Ihre SIEM-Integration stellt eine Verbindung mit dem Northbound-Kafka her, das in der Citrix Analytics for Security Cloud bereitgestellt wird. Dies kann auf zwei Arten erreicht werden:
-
Kafka-Endpunkte: Wenn Ihr SIEM Kafka-Endpunkte unterstützt, verwenden Sie die in der Logstash-Konfigurationsdatei angegebenen Parameter und die Zertifikatsdetails in der JKS-Datei oder der PEM-Datei, um Ihr SIEM in Citrix Analytics for Security zu integrieren. Mit den Kafka-Endpunkten können Sie eine Verbindung mit dem SIEM Ihrer Wahl herstellen und die Daten abrufen.
-
Logstash-Motor: Wenn Ihr SIEM keine Kafka-Endpunkte unterstützt, können Sie die Logstash-Datenerfassungs-Engine verwenden. Sie können die Risikoeinblicksdaten von Citrix Analytics for Security an einen der Ausgabe-Plug-Ins die von Logstash unterstützt werden.
Im folgenden Diagramm der SIEM-Lösungsarchitektur erfahren Sie, wie Daten von Citrix Analytics for Security zu Ihrem SIEM-Dienst fließen:
Datenübertragung ein- oder ausschalten
So beenden Sie die Übertragung von Daten von Citrix Analytics for Security:
-
Gehe zu Einstellungen > Datenexporte.
-
Deaktivieren Sie die Umschalttaste, um die Datenübertragung.
Hinweis Standardmäßig ist die Datenübertragung für SIEM immer aktiviert/aktiviert.
![Datenübertragung eingeschaltet](/en-us/citrix-analytics/media/data-transmission-turnedon.png)
Um die Datenübertragung wieder zu aktivieren, aktivieren Sie die Umschalttaste.
Einrichten einer SIEM-Umgebung
Um Daten nach SIEM zu exportieren, müssen Sie die folgenden Aktionen ausführen:
- Einrichten des Kafka-Kontos und der Authentifizierungsdaten
- Laden Sie die vorausgefüllte Konfiguration herunter und richten Sie die SIEM-Umgebung ein
- Datenereignisse für den Export
Einrichtung des SIEM-Exportkontos
-
Um Ihr Konto einzurichten, navigieren Sie zu Einstellungen > Datenexporte > Erweitern Sie die Kontoeinrichtung. Erstellen Sie ein Konto, indem Sie den Benutzernamen und das Kennwort angeben. Sobald Sie Ihr Konto eingerichtet haben, werden Ihre Kafka-Details generiert. Diese Details werden beim Generieren der Konfigurationsdatei automatisch eingebettet.
-
Klicken Konfigurieren , um die Konfigurationsdatei zu generieren. Die Konfigurationsdatei enthält Details wie Kafka-Endpunkte, Ihre spezifischen Abonnementthemen und Gruppen-IDs. Außerdem werden die Kafka- und SSL-Attribute vorkonfiguriert, die für die Authentifizierung und den Datenfluss erforderlich sind.
SIEM-Konfiguration und Einrichtung der Umgebung
Wählen Sie die SIEM-Umgebung nach Bedarf aus. Sie können Citrix Analytics for Security in die folgenden Dienste integrieren. Unter den folgenden Links finden Sie detaillierte Informationen und SIEM-spezifische Konfigurationen:
Datenereignisse, die von Citrix Analytics for Security an Ihren SIEM-Dienst exportiert werden
Im Rahmen von SIEM-Exporten gibt es zwei Arten von Datensätzen:
-
Risk Insights-Ereignisse (Standardexporte) – Sobald Sie die Kontokonfiguration und die SIEM-Einrichtung abgeschlossen haben, fließen Standarddaten (Risk Insights-Ereignisse) an Ihre SIEM-Bereitstellung. Risk Insights-Daten enthalten Warnungen zur Benutzerrisikobewertung, zum Benutzerprofil und zu Risikoindikatoren. Diese werden durch den Citrix Analytics-Algorithmus für maschinelles Lernen, die Analyse des Benutzerverhaltens und basierend auf Benutzerereignissen generiert. Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemas finden Sie unter Risiko-Insights-Daten für SIEM.
-
Datenquellenereignisse (optionale Exporte) - Darüber hinaus können Sie die Datenexportfunktion so konfigurieren, dass Benutzerereignisse aus Ihren Datenquellen für Citrix Analytics for Security-fähige Produkte exportiert werden. Wenn Sie eine Aktivität in der Citrix-Umgebung ausführen, werden die Datenquellenereignisse generiert. Bei den exportierten Ereignissen handelt es sich um unverarbeitete Echtzeit-Benutzer- und Produktnutzungsdaten, die in der Self-Service-Ansicht verfügbar sind. Die in diesen Ereignissen enthaltenen Metadaten können weiter für eine tiefere Bedrohungsanalyse, die Erstellung neuer Dashboards und Co-Verbindungen zu anderen Nicht-Citrix-Datenquellenereignissen in Ihrer Sicherheits- und IT-Infrastruktur verwendet werden.
Derzeit sendet Citrix Analytics for Security Benutzerereignisse an Ihr SIEM für die folgenden Datenquellen: Citrix Virtual Apps and Desktops, Secure Private Access und Device Posture Service.
Informationen zu den verfügbaren Ereignistypen, Metadaten und Schemas finden Sie unter Ereignisse aus der Datenquelle.
Hinweis
Für Kunden, die einen Logstash-Datenbroker verwenden, wird empfohlen, die neueste Konfigurationsdatei von Citrix Analytics für die Sicherheit -Portal und aktualisiert in der Bereitstellung des Logstash-Diensts. Dadurch wird sichergestellt, dass die richtigen Ereignistabellen der Datenquelle erstellt werden und die Ereignisse nun in SIEM-Indizes verfügbar sind.
Fehlerbehebung bei der SIEM-Integration
Die Ansicht Datenexporte für Sicherheit enthält eine Zusammenfassung Registerkarte, um Administratoren bei der Fehlerbehebung bei der SIEM-Integration mit Citrix Analytics zu unterstützen. Das Zusammenfassung Das Dashboard bietet Einblick in den Zustand und den Datenfluss, indem es sie durch die Prüfpunkte führt, die den Fehlerbehebungsprozess unterstützen.
Weitere Informationen zu dieser Funktion finden Sie unter Fehlerbehebung bei Datenexporten.
In diesem Artikel
- Vorteile
- SIEM-Integrationsarchitektur
- Datenübertragung ein- oder ausschalten
- Einrichten einer SIEM-Umgebung
- Einrichtung des SIEM-Exportkontos
- SIEM-Konfiguration und Einrichtung der Umgebung
- Datenereignisse, die von Citrix Analytics for Security an Ihren SIEM-Dienst exportiert werden
- Fehlerbehebung bei der SIEM-Integration