Elasticsearch-Integration
Hinweis
Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die Elasticsearch-Integration, den Export von Daten nach Elasticsearch anzufordern oder Feedback zu geben.
Integrieren Sie Citrix Analytics for Security mit Elasticsearch mithilfe der Logstash-Engine. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten. Sie können Elasticsearch auch mit den Visualisierungsdiensten und SIEMs wie Kibana und LogRhythm verwenden.
Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.
Voraussetzungen
-
Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, den Integrationsprozess von Elasticsearch zu starten.
-
Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.
Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd Kafka Broker casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
Integrieren Sie mit Elasticsearch
-
Gehen Sie zu Einstellungen > Datenexporte.
-
Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.
-
Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:
-
Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen
-
Wählen Sie im Abschnitt SIEM-Umgebung die Registerkarte Elastic Search, um die Konfigurationsdateien herunterzuladen:
-
Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security an Elasticsearch mithilfe der Logstash-Datenerfassungsmaschine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .
-
JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.
Hinweis
Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.
-
-
Konfigurieren Sie Logstash:
-
Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.
-
Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:
Host-Maschinentyp Dateiname Pfad für das Verzeichnis Linux CAS_Elasticsearch_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
Für .zip- und .tar.gz-Archive: {extract.path}/config
kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
Für .zip- und .tar.gz-Archive: {extract.path}/ssl
Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation .
-
Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:
-
Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:
-
Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.
-
SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.
-
-
Geben Sie im Ausgabebereich der Datei die Adresse Ihres Host-Computers oder des Clusters ein, in dem Elasticsearch ausgeführt wird.
-
-
Starten Sie Ihren Host-Computer neu, um verarbeitete Daten von Citrix Analytics for Security an Elasticsearch zu senden.
-
Stellen Sie nach Abschluss der Konfiguration sicher, dass Sie die Citrix Analytics-Daten in Ihrer Elasticsearch anzeigen können.
Aktivieren oder Deaktivieren der Datenübertragung
Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, ist die Datenübertragung für Elasticsearch aktiviert.
So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:
-
Gehen Sie zu Einstellungen > Datenexporte.
-
Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert..
Zur Bestätigung wird ein Warnfenster angezeigt. Klicken Sie auf die Schaltfläche Datenübertragung ausschalten, um die Übertragungsaktivität zu beenden.
Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.