SIEM-Integration mit Kafka oder Logstash-basiertem DatenConnector
Die SIEM-Integration von Citrix Analytics for Security ermöglicht es Ihnen, die Benutzerdaten aus Citrix Analytics in Ihre SIEM-Umgebung zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.
Weitere Informationen zu den Vorteilen der Integration und zur Art der Datenereignisse (Risikoeinblicke und Datenquellenereignisse), die an Ihr SIEM gesendet werden, finden Sie unter Integration von Sicherheitsinformationen und Ereignismanagement.
Sie können Citrix Analytics for Security über die folgenden zwei Mechanismen in Ihre SIEM-Lösungen integrieren (unterstützt von Ihrer SIEM- und IT-Bereitstellung):
- Stellen Sie eine Verbindung über Kafka-Endpunkte her
- Stellen Sie eine Verbindung über den Logstash-Datenbroker mit Kafka-basierter Ingestion her
Voraussetzungen
-
Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Security, mit der Integration mit Ihrem SIEM-Tool zu beginnen.
-
Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.
Endpunkt Region der Vereinigten Staaten Region der Europäischen Union Asien-Pazifik Süd Kafka Broker casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
Integrieren mit Kafka in einen SIEM-Service
Kafka ist eine Open-Source-Software, die für das Streaming von Daten in Echtzeit verwendet wird. Mit Kafka können Sie die Echtzeitdaten analysieren, um schnellere Erkenntnisse zu gewinnen. Vor allem die großen Organisationen, die mit ausreichenden Daten umgehen, verwenden Kafka.
Northbound Kafka ist eine interne mittlere Ebene, die es Citrix Analytics ermöglicht, Echtzeit-Datenfeeds über Kafka-Endpunkte mit den SIEM-Kunden zu teilen. Wenn Ihr SIEM Kafka-Endpoints unterstützt, verwenden Sie die in der Logstash-Konfigurationsdatei angegebenen Parameter und die Zertifikatsdetails in der JKS-Datei oder der PEM-Datei, um Ihr SIEM in Citrix Analytics for Security zu integrieren.
Die folgenden Parameter sind für die Integration mit Kafka erforderlich:
Name des Attributs | Beschreibung | Beispiel für Konfigurationsdaten |
---|---|---|
Benutzername | Von Kafka bereitgestellter Benutzername. | 'sasl.username': cas_siem_user_name, |
Host | Hostname des Kafka-Servers, zu dem Sie eine Verbindung herstellen möchten. | 'bootstrap.servers': cas_siem_host, |
Topic name/Client ID | Einem Mandanten zugewiesene Client-ID. | 'client.id': cas_siem_topic, |
Gruppenname/ID | Gruppenname, den Sie benötigen, um die von den Verbrauchern geteilten Nachrichten zu lesen. | 'group.id': cas_siem_group_id, |
Sicherheitsprotokoll | Name des Sicherheitsprotokolls. | 'security.protocol': 'SASL_SSL', |
SASL-Mechanismen | Authentifizierungsmechanismus, der normalerweise für die Verschlüsselung verwendet wird, um eine sichere Authentifizierung zu implementieren. | 'sasl.mechanisms': 'SCRAM-SHA-256', |
SSL Truststore-Standort | Ort, an dem Sie die Zertifikatsdatei speichern können. Das Truststore-Kennwort des Clients ist optional und wird voraussichtlich leer gelassen. | 'ssl.ca.location': ca_location |
Sitzungstimeout | Das Sitzungs-Timeout, das verwendet wird, um Client-Fehler bei der Verwendung von Kafka zu erkennen. | 'session.timeout.ms': 60000, |
Autom. Offset | Definiert das Verhalten beim Verbrauchen von Daten aus einer Themenpartition, wenn es keinen anfänglichen Offset gibt. Sie können Werte wie “Späteste”, “Früheste” oder “Keine” festlegen. | 'auto.offset.reset': 'earliest', |
Im Folgenden finden Sie ein Beispiel für eine Konfigurationsausgabe:
{'bootstrap.servers': cas_siem_host,
'client.id': cas_siem_topic,
'group.id': cas_siem_group_id,
'session.timeout.ms': 60000,
'auto.offset.reset': 'earliest',
'security.protocol': 'SASL_SSL',
'sasl.mechanisms': 'SCRAM-SHA-256',
'sasl.username': cas_siem_user_name,
'sasl.password': self.CLEAR_PASSWORD,
'ssl.ca.location': ca_location
}
<!--NeedCopy-->
Die oben genannten Parameter sind in der Logstash-Konfigurationsdatei verfügbar. Um die Konfigurationsdatei herunterzuladen, navigieren Sie zu Einstellungen > Datenexporte > SIEM-Umgebung, wählen Sie die Registerkarte Andere aus und klicken Sie auf Logstash-Konfigurationsdatei herunterladen.
Weitere Informationen zu den Konfigurationswerten finden Sie unter Konfiguration.
Datenfluss
Die Kommunikation der Authentifizierungsdaten erfolgt zwischen den serverseitigen Kafka-Brokern (Citrix Analytics for Security Cloud) und den Kafka-Clients. Die gesamte Kommunikation zwischen Brokern und externen Kunden verwendet das aktivierte SASL_SSL-Sicherheitsprotokoll und den Zielport 9094 für den öffentlichen Zugriff.
Apache Kafka verfügt über eine Sicherheitskomponente, um die Daten während des Fluges mithilfe der SSL-Verschlüsselung zu verschlüsseln. Die Datenübertragung über das Netzwerk ist verschlüsselt und gesichert, wenn die Verschlüsselung aktiviert ist und SSL-Zertifikate gesetzt sind. Nur der erste und der letzte Computer sind in der Lage, die über SSL gesendeten Pakete zu entschlüsseln.
Authentifizierungen
Es stehen zwei Authentifizierungsstufen wie folgt zur Verfügung:
-
TLS/zwischen Client und Server.
- Die Serverzertifikate (öffentliche Schlüssel) für den TLS-Authentifizierungsaustausch zwischen Client und Server.
- Die clientbasierte Authentifizierung oder bidirektionale Authentifizierungen werden nicht unterstützt (wenn private Client-Schlüsselzertifikate erforderlich sind).
-
Benutzername/Kennwort für die Zugriffskontrolle zu Themen/Endpunkten
- Stellt sicher, dass ein bestimmter Kunde nur zu einem bestimmten Kundenthema lesen kann
- SASL/SCRAM wird für den Authentifizierungsmechanismus für Benutzername/Kennwörter zusammen mit der TLS-Verschlüsselung verwendet, um eine sichere Authentifizierung zu implementieren.
Verschlüsselung mit SSL und Authentifizierung mit SASL/SSL&SASL/PLAINTEXT
Standardmäßig kommuniziert Apache Kafka in PLAINTEXT, wobei alle Daten im Klartext gesendet werden und jeder der Router den Dateninhalt lesen kann. Apache Kafka verfügt über eine Sicherheitskomponente, um die Daten während des Fluges mithilfe der SSL-Verschlüsselung zu verschlüsseln. Wenn die Verschlüsselung aktiviert ist und SSL-Zertifikate sorgfältig eingerichtet wurden, werden die Daten jetzt verschlüsselt und sicher über das Netzwerk übertragen. Bei der SSL-Verschlüsselung besitzt nur das erste und das letzte Gerät die Fähigkeit, das gesendete Paket zu entschlüsseln.
Da die bidirektionale SSL-Verschlüsselung verwendet wird, ist die Anmeldung mit Benutzername/Kennwort für die externe Kommunikation sicher.
Die Verschlüsselung erfolgt nur während des Fluges und die Daten befinden sich immer noch unverschlüsselt auf dem Datenträger des Brokers.
In der Client-Konfiguration sind die Client-Truststore-JKS-Datei und die PEM-Datei (konvertiert aus der Truststore-JKS-Datei) erforderlich. Sie können diese Dateien von der Citrix Analytics for Security GUI herunterladen, wie im folgenden Screenshot gezeigt:
SIEM-Integration mit Logstash
Wenn Ihr SIEM keine Kafka-Endpunkte unterstützt, können Sie die Logstash-Datenerfassungs-Engine verwenden. Sie können die Datenereignisse von Citrix Analytics for Security an eines der Ausgabe-Plug-ins senden, die von Logstash unterstützt werden.
Im folgenden Abschnitt werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr SIEM mithilfe von Logstash in Citrix Analytics for Security zu integrieren.
Mit Logstash in einen SIEM-Dienst integrieren
-
Gehen Sie zu Einstellungen > Datenexporte.
-
Erstellen Sie auf der Seite Konto einrichten ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.
-
Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:
-
Wählen Sie Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen.
-
Wählen Sie die Registerkarte Andere, um die Konfigurationsdateien herunterzuladen.
-
Logstash-Konfigurationsdatei: Diese Datei enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Security mithilfe der Logstash-Datenerfassungs-Engine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation .
-
JKS-Datei: Diese Datei enthält die für die SSL-Verbindung erforderlichen Zertifikate. Diese Datei ist erforderlich, wenn Sie Ihr SIEM mit Logstash integrieren.
-
PEM-Datei: Diese Datei enthält die für die SSL-Verbindung erforderlichen Zertifikate. Diese Datei ist erforderlich, wenn Sie Ihr SIEM mit Kafka integrieren.
Hinweis
Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.
-
-
Konfigurieren Sie Logstash:
-
Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer (getestete Versionen auf Kompatibilität mit Citrix Analytics for Security: v7.17.7 und v8.5.3). Sie können auch Ihre vorhandene Logstash-Instanz verwenden.
-
Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:
Host-Maschinentyp Dateiname Pfad für das Verzeichnis Linux CAS_Others_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
Für .zip- und .tar.gz-Archive: {extract.path}/config
kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
Für .zip- und .tar.gz-Archive: {extract.path}/ssl
Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks C:\logstash-7.xx.x\config
-
Die Logstash-Konfigurationsdatei enthält vertrauliche Informationen wie Kafka-Anmeldeinformationen, LogAnalytics Workspace-IDs und Primärschlüssel. Es wird empfohlen, diese vertraulichen Anmeldeinformationen nicht als Klartext zu speichern. Um die Integration zu sichern, kann ein Logstash-Keystore verwendet werden, um Schlüssel mit ihren jeweiligen Werten hinzuzufügen, auf die wiederum mithilfe von Schlüsselnamen in der Konfigurationsdatei verwiesen werden kann. Weitere Informationen über den Logstash-Keystore und wie er die Sicherheit Ihrer Einstellungen verbessert, finden Sie unter Secrets Keystorefür sichere Einstellungen.
-
Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:
Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:
-
Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Security zur Vorbereitung der Konfigurationsdatei erstellt haben.
-
SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.
Geben Sie im Ausgabebereich der Datei den Zielpfad oder die Details ein, an die Sie die Daten senden möchten. Informationen zu den Ausgabe-Plug-Ins finden Sie in der Logstash-Dokumentation .
Das folgende Snippet zeigt, dass die Ausgabe in eine lokale Protokolldatei geschrieben wird.
-
-
Starten Sie Ihren Hostcomputer neu, um verarbeitete Daten von Citrix Analytics for Security an Ihren SIEM-Dienst zu senden.
-
Melden Sie sich nach Abschluss der Konfiguration bei Ihrem SIEM-Dienst an und überprüfen Sie die Citrix Analytics-Daten in Ihrem SIEM.
Aktivieren oder Deaktivieren der Datenübertragung
Nachdem Citrix Analytics for Security die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Ihr SIEM aktiviert.
So beenden Sie die Übertragung von Daten aus Citrix Analytics for Security:
- Gehen Sie zu Einstellungen > Datenexporte.
-
Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert.
Zur Bestätigung wird ein Warnfenster angezeigt. Klicken Sie auf die Schaltfläche Datenübertragung ausschalten, um die Übertragungsaktivität zu beenden.
Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.
Hinweis
Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für Ihre SIEM-Integration, den Export von Daten in Ihr SIEM anzufordern oder Feedback zu geben.