Nutzung des SIEM-Datenmodells von Citrix Analytics für Bedrohungsanalysen und Datenkorrelation
In diesem Artikel wird die Beziehung zwischen Entitätsdaten erläutert, die sich aus den Ereignissen ergeben, die an die SIEM-Umgebung eines Kunden gesendet werden. Um dies zu verdeutlichen, nehmen wir ein Beispiel für ein Threat-Hunting-Szenario, bei dem die Attribute Client-IP und Betriebssystem im Mittelpunkt stehen. Die folgenden Möglichkeiten, die genannten Attribute dem Benutzer zuzuordnen, werden erörtert:
- Verwendung benutzerdefinierter Erkenntnisse zu Risikoindikatoren
- Datenquellenereignisse verwenden
Splunk ist die SIEM-Umgebung, die für das folgende Beispiel ausgewählt wurde. Eine ähnliche Datenkorrelation kann auch auf Sentinel mithilfe der Arbeitsmappenvorlage von Citrix Analytics durchgeführt werden. Weitere Informationen finden Sie in der Citrix Analytics-Arbeitsmappe für Microsoft Sentinel.
Benutzerdefinierte Einblicke in Risikoindikatoren
Wie im Citrix Analytics-Datenexportformat für SIEMerwähnt, sind Erkenntnisse zur Indikatorzusammenfassung und zu den Ereignisdetails Teil des Standarddatensatzes für Risikoeinblicke. Für den Indikatordatensatz von Citrix Virtual Apps and Desktops werden Client-IP und Betriebssystem standardmäßig exportiert. Wenn also ein Administrator einen benutzerdefinierten Indikator mit oder ohne die Bedingung einrichtet, die diese Felder enthält, würden die besagten Datenpunkte in Ihre Splunk-Umgebung fließen.
Festlegen eines benutzerdefinierten Risikoindikators in Citrix Analytics
-
Navigieren Sie zum Citrix Analytics for Security Dashboard > Benutzerdefinierte Risikoindikatoren > Indikator erstellen. Sie können einen benutzerdefinierten Risikoindikator mit einer beliebigen Bedingung erstellen, der Sie bei der Überwachung des Benutzerverhaltens unterstützt. Nachdem Sie den benutzerdefinierten Indikator eingerichtet haben, sind alle Benutzer, die die zugehörige Bedingung auslösen, in Ihrer Splunk-Umgebung sichtbar.
-
Um das Auftreten der erstellten Risikoindikatoren in Citrix Analytics for Security zu sehen, navigieren Sie zu Sicherheit > Benutzer. Navigieren Sie zum Ende der Seite und klicken Sie auf das Pluszeichen (+).
Die Karte mit den Risikoindikatoren wird angezeigt. Sie können die Details des Risikoindikators, des Schweregrads und des Vorkommens einsehen.
-
Klicken Sie auf Mehr anzeigen. Die Seite mit der Übersicht über den Risikoindikator wird angezeigt.
Auf der Seite mit der Übersicht über den Risikoindikator können Sie die Details des Benutzers, der den Indikator ausgelöst hat, mit einer detaillierten Zeitleistenansicht und einer Benutzerübersicht einsehen. Weitere Informationen zum Zeitplan finden Sie unter Zeitplan und Profil für Benutzerrisiken.
Vorkommen von Risikoindikatoren auf Splunk - Raw Queries
Sie können die Client-IP- und Betriebssysteminformationen auch abrufen, indem Sie den Index und den Quelltyp verwenden, die vom Splunk-Infrastrukturadministrator bei der Einrichtung der Dateneingabe im Splunk Enterprise for Citrix Analytics for Security Add-on verwendet wurden.
-
Navigieren Sie zu Splunk > Neue Suche. Geben Sie in der Suchabfrage die folgende Abfrage ein und führen Sie sie aus:
index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>" <!--NeedCopy-->
-
Holen Sie sich die indicator_uuid und führen Sie die folgende Abfrage aus:
index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>" <!--NeedCopy-->
Das Ereignisergebnis enthält die Zusammenfassung des Indikatorereignisses und die Indikatorereignisdetails (die Aktivität, die durch Ihren Indikator ausgelöst wird). Die Ereignisdetails enthalten die Client-IP - und Betriebssysteminformationen (Name, Version, zusätzliche Informationen).
Weitere Informationen zum Datenformat finden Sie unter Citrix Analytics-Datenexportformat für SIEM.
Vorkommen von Risikoindikatoren auf Splunk — Dashboard-App
In den folgenden Artikeln finden Sie Anleitungen zur Installation der Citrix Analytics-App für Splunk:
-
Klicken Sie auf die Registerkarte Citrix Analytics — Dashboard und wählen Sie in der Dropdownliste die Option Risikoindikatordetails aus.
-
Filtern Sie den Inhalt entsprechend aus der Dropdownliste und klicken Sie auf Senden.
-
Klicken Sie auf die Benutzerinstanz, um die Details abzurufen.
-
Sie können die Client-IP - und Betriebssysteminformationen (Name, Version, zusätzliche Informationen) unten auf dieser Seite einsehen:
Datenquellen-Ereignisse
Eine weitere Methode, um die Client-IP- und Betriebssystemdetails in Ihrer Splunk-Umgebung abzurufen, besteht darin, Datenquellenereignisse für den Export zu konfigurieren. Mit dieser Funktion können Ereignisse, die in der Self-Service Search-Ansicht angezeigt werden, direkt in Ihre Splunk-Umgebung fließen. Weitere Informationen zur Konfiguration von Ereignistypen für Virtual Apps and Desktops, die nach SIEM exportiert werden sollen, finden Sie in den folgenden Artikeln:
- Datenereignisse, die aus Citrix Analytics for Security in Ihren SIEM-Dienst exportiert wurden.
- Datenquellen-Ereignisse
-
Navigieren Sie zum Dashboard von Citrix Analytic for Security > Suchen. Auf dieser Self-Service-Suchseite sind alle Ereignistypen und die zugehörigen Informationen verfügbar. Im folgenden Screenshot sehen Sie den Ereignistyp Session.Logon als Beispiel:
-
Konfigurieren Sie Session.Logon in Data Source Events for Export und klicken Sie auf Speichern, damit es in Ihre Splunk-Umgebung einfließen kann.
-
Gehen Sie zu Splunk, geben Sie die folgende Abfrage ein und führen Sie sie aus:
index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon" AND "<user you’re interested in>" <!--NeedCopy-->Die Felder, die sich auf Client-IP und Betriebssystem beziehen, sind hervorgehoben.
