Citrix Analytics für Sicherheit

Nutzung des SIEM-Datenmodells von Citrix Analytics für Bedrohungsanalysen und Datenkorrelation

In diesem Artikel wird die Beziehung zwischen Entitätsdaten erläutert, die sich aus den Ereignissen ergeben, die an die SIEM-Umgebung eines Kunden gesendet werden. Um dies zu verdeutlichen, nehmen wir ein Beispiel für ein Threat-Hunting-Szenario, bei dem die Attribute Client-IP und Betriebssystem im Mittelpunkt stehen. Die folgenden Möglichkeiten, die genannten Attribute dem Benutzer zuzuordnen, werden erörtert:

  • Verwendung benutzerdefinierter Erkenntnisse zu Risikoindikatoren
  • Datenquellenereignisse verwenden

Splunk ist die SIEM-Umgebung, die für das folgende Beispiel ausgewählt wurde. Eine ähnliche Datenkorrelation kann auch auf Sentinel mithilfe der Arbeitsmappenvorlage von Citrix Analytics durchgeführt werden. Weitere Informationen finden Sie in der Citrix Analytics-Arbeitsmappe für Microsoft Sentinel.

Benutzerdefinierte Einblicke in Risikoindikatoren

Wie im Citrix Analytics-Datenexportformat für SIEMerwähnt, sind Erkenntnisse zur Indikatorzusammenfassung und zu den Ereignisdetails Teil des Standarddatensatzes für Risikoeinblicke. Für den Indikatordatensatz von Citrix Virtual Apps and Desktops werden Client-IP und Betriebssystem standardmäßig exportiert. Wenn also ein Administrator einen benutzerdefinierten Indikator mit oder ohne die Bedingung einrichtet, die diese Felder enthält, würden die besagten Datenpunkte in Ihre Splunk-Umgebung fließen.

Festlegen eines benutzerdefinierten Risikoindikators in Citrix Analytics

  1. Navigieren Sie zum Citrix Analytics for Security Dashboard > Benutzerdefinierte Risikoindikatoren > Indikator erstellen. Sie können einen benutzerdefinierten Risikoindikator mit einer beliebigen Bedingung erstellen, der Sie bei der Überwachung des Benutzerverhaltens unterstützt. Nachdem Sie den benutzerdefinierten Indikator eingerichtet haben, sind alle Benutzer, die die zugehörige Bedingung auslösen, in Ihrer Splunk-Umgebung sichtbar.

    Benutzerdefinierten Risikoindikator einrichten

  2. Um das Auftreten der erstellten Risikoindikatoren in Citrix Analytics for Security zu sehen, navigieren Sie zu Sicherheit > Benutzer. Navigieren Sie zum Ende der Seite und klicken Sie auf das Pluszeichen (+).

    Vorkommnisse erstellter Risikoindikatoren anzeigen

    Die Karte mit den Risikoindikatoren wird angezeigt. Sie können die Details des Risikoindikators, des Schweregrads und des Vorkommens einsehen.

    Angaben zu Risikoindikatoren

  3. Klicken Sie auf Mehr anzeigen. Die Seite mit der Übersicht über den Risikoindikator wird angezeigt.

    Überblick über Risikoindikatoren

    Auf der Seite mit der Übersicht über den Risikoindikator können Sie die Details des Benutzers, der den Indikator ausgelöst hat, mit einer detaillierten Zeitleistenansicht und einer Benutzerübersicht einsehen. Weitere Informationen zum Zeitplan finden Sie unter Zeitplan und Profil für Benutzerrisiken.

    Zeitleiste und Profil des Benutzerrisikos

Vorkommen von Risikoindikatoren auf Splunk - Raw Queries

Sie können die Client-IP- und Betriebssysteminformationen auch abrufen, indem Sie den Index und den Quelltyp verwenden, die vom Splunk-Infrastrukturadministrator bei der Einrichtung der Dateneingabe im Splunk Enterprise for Citrix Analytics for Security Add-on verwendet wurden.

  1. Navigieren Sie zu Splunk > Neue Suche. Geben Sie in der Suchabfrage die folgende Abfrage ein und führen Sie sie aus:

    index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>"
    
    <!--NeedCopy-->
    

    Query1a

  2. Holen Sie sich die indicator_uuid und führen Sie die folgende Abfrage aus:

    index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>"
    
    <!--NeedCopy-->
    

    Query2a

    Das Ereignisergebnis enthält die Zusammenfassung des Indikatorereignisses und die Indikatorereignisdetails (die Aktivität, die durch Ihren Indikator ausgelöst wird). Die Ereignisdetails enthalten die Client-IP - und Betriebssysteminformationen (Name, Version, zusätzliche Informationen).

Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenexportformat für SIEM.

Vorkommen von Risikoindikatoren auf Splunk — Dashboard-App

In den folgenden Artikeln finden Sie Anleitungen zur Installation der Citrix Analytics-App für Splunk:

  1. Klicken Sie auf die Registerkarte Citrix Analytics — Dashboard und wählen Sie in der Dropdownliste die Option Risikoindikatordetails aus.

    Option „Details zum Risikoindikator“

  2. Filtern Sie den Inhalt entsprechend aus der Dropdownliste und klicken Sie auf Senden.

    Optionsfilter für Risikoindikatordetails

  3. Klicken Sie auf die Benutzerinstanz, um die Details abzurufen.

    Benutzerinstanz für Risikoindikatoren

  4. Sie können die Client-IP - und Betriebssysteminformationen (Name, Version, zusätzliche Informationen) unten auf dieser Seite einsehen:

    Client-IP- und Betriebssysteminformationen

Datenquellen-Ereignisse

Eine weitere Methode, um die Client-IP- und Betriebssystemdetails in Ihrer Splunk-Umgebung abzurufen, besteht darin, Datenquellenereignisse für den Export zu konfigurieren. Mit dieser Funktion können Ereignisse, die in der Self-Service Search-Ansicht angezeigt werden, direkt in Ihre Splunk-Umgebung fließen. Weitere Informationen zur Konfiguration von Ereignistypen für Virtual Apps and Desktops, die nach SIEM exportiert werden sollen, finden Sie in den folgenden Artikeln:

  1. Navigieren Sie zum Dashboard von Citrix Analytic for Security > Suchen. Auf dieser Self-Service-Suchseite sind alle Ereignistypen und die zugehörigen Informationen verfügbar. Im folgenden Screenshot sehen Sie den Ereignistyp Session.Logon als Beispiel:

    Sitzungsanmeldung

  2. Konfigurieren Sie Session.Logon in Data Source Events for Export und klicken Sie auf Speichern, damit es in Ihre Splunk-Umgebung einfließen kann.

    Sitzungsanmeldung konfigurieren

  3. Gehen Sie zu Splunk, geben Sie die folgende Abfrage ein und führen Sie sie aus:

    index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon"  AND "<user you’re interested in>"
    
    <!--NeedCopy-->
    

    Die Felder, die sich auf Client-IP und Betriebssystem beziehen, sind hervorgehoben.

    Query3a

Nutzung des SIEM-Datenmodells von Citrix Analytics für Bedrohungsanalysen und Datenkorrelation