Microsoft Sentinel-Integration
Hinweise
Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die Microsoft Sentinel-Integration, den Export von Daten nach Microsoft Sentinel anzufordern oder Feedback zu geben.
Der Datenexport nach Microsoft Sentinel mithilfe der Logstash-Engine befindet sich in der Vorschau. Diese Funktion wird ohne Service Level Agreement bereitgestellt und wird nicht für Produktionsarbeitslasten empfohlen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation .
Integrieren Sie Citrix Analytics for Security mithilfe der Logstash-Engine in Ihren Microsoft Sentinel.
Diese Integration ermöglicht es Ihnen, die Benutzerdaten aus Ihrer Citrix IT-Umgebung zu Microsoft Sentinel zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Zeigen Sie in Ihrer Splunk-Umgebung die aufschlussreichen Dashboards an, die nur für Citrix Analytics for Security gelten. Sie können auch benutzerdefinierte Ansichten basierend auf Ihren Sicherheitsanforderungen erstellen.
Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.
Voraussetzungen
-
Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Microsoft Sentinel-Integrationsprozess zu beginnen.
-
Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.
Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd Kafka Broker casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
-
Stellen Sie sicher, dass Sie die Logstash-Versionen 7.17.7 oder höher (getestete Versionen auf Kompatibilität mit Citrix Analytics for Security: v7.17.7 und v8.5.3) mit dem Microsoft Sentinel-Ausgabe-Plug-In für Logstash verwenden.
Integrieren Sie mit Microsoft Sentinel
-
Gehen Sie zu Einstellungen > Datenexporte.
-
Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.
-
Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:
-
Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen
-
Wählen Sie die Registerkarte Azure Sentinel (Vorschau), um die Konfigurationsdateien herunterzuladen:
-
Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Microsoft Sentinel mithilfe des Logstash-Datenerfassungsmoduls.
Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .
-
JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.
Hinweis
Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.
-
-
Bereiten Sie Ihre Azure Sentinel-Integration vor:
-
Aktivieren Sie auf Ihrem Azure-Portal Microsoft Sentinel. Sie können einen Workspace erstellen oder Ihren vorhandenen Workspace verwenden, um Microsoft Sentinel auszuführen.
-
Wählen Sie im Hauptmenü DatenConnectoren aus, um die DatenConnectoren-Galerie zu öffnen.
-
Suchen Sie nach Citrix Analytics (Sicherheit).
-
Wählen Sie Citrix Analytics (Sicherheit) und wählen Sie Connector-Seite öffnen.
-
Kopieren Sie auf der Seite Citrix Analytics (Sicherheit) die Workspace-ID und den Primärschlüssel. Sie müssen diese Informationen in den nachfolgenden Schritten in die Logstash-Konfigurationsdatei eingeben.
-
Konfiguriere Logstash auf deinem Host-Computer:
-
Installieren Sie auf Ihrem Linux- oder Windows-Host-Computer Logstash und das Microsoft Sentinel-Ausgabe-Plug-in für Logstash.
-
Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:
Host-Maschinentyp Dateiname Pfad für das Verzeichnis Linux CAS_AzureSentinel_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
Für .zip- und .tar.gz-Archive: {extract.path}/config
kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
Für .zip- und .tar.gz-Archive: {extract.path}/ssl
Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks Informationen zur Standardverzeichnisstruktur der Logstash-Installationspakete finden Sie in der Logstash-Dokumentation.
-
Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:
-
Geben Sie im Eingabebereich der Datei Folgendes ein:
-
Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.
-
SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.
-
-
Geben Sie im Ausgabeabschnitt der Datei die Workspace-ID und den Primärschlüssel (den Sie von Microsoft Sentinel kopiert haben) im Ausgabeabschnitt der Datei ein.
-
-
Starten Sie den Logstash-Hostcomputer neu, um die verarbeiteten Daten von Citrix Analytics for Security an Microsoft Sentinel zu senden.
-
-
Gehen Sie zu Ihrem Microsoft Sentinel Workspace und zeigen Sie die Daten in der Citrix Analytics-Arbeitsmappean.
-
Aktivieren oder Deaktivieren der Datenübertragung
Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Microsoft Sentinel aktiviert.
So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:
-
Gehen Sie zu Einstellungen > Datenexporte.
-
Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert..
Zur Bestätigung wird ein Warnfenster angezeigt. Klicken Sie auf die Schaltfläche Datenübertragung ausschalten, um die Übertragungsaktivität zu beenden.
Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.
Weitere Informationen zur Microsoft Sentinel-Integration finden Sie unter den folgenden Links: