Citrix Analytics-Dashboards für Splunk
Hinweis
Achtung: Citrix Content Collaboration und ShareFile haben das Ende ihrer Lebensdauer erreicht und stehen Benutzern nicht mehr zur Verfügung.
Dieses Feature ist als Preview verfügbar.
Voraussetzung
Um die folgenden Citrix Analytics Dashboards zu verwenden, stellen Sie sicher, dass Sie die Citrix Analytics App für Splunkbereits konfiguriert und eingerichtet haben.
Überblick über den Risiko-Score
Dieses Dashboard bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrem Unternehmen. Die Benutzer werden nach den Risikoniveaus kategorisiert - hoch, mittel und niedrig. Die Risikostufen basieren auf den Anomalien in den Benutzeraktivitäten und dementsprechend wird ein Risiko-Score zugewiesen. Weitere Informationen zu den Arten riskanter Benutzer finden Sie im Benutzer-Dashboard.
Um dieses Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Übersicht über Benutzerrisikobewertungen.
Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die Zeitleiste der riskanten Benutzer und ihre Details anzuzeigen.
Die Tabelle Riskante Benutzer enthält die folgenden Informationen:
-
Benutzer: Zeigt den Benutzernamen an. Klicken Sie auf einen Benutzernamen, um die Details zum riskanten Verhalten des Benutzers im Dashboard Citrix Analytics - Entitätsdetails anzuzeigen.
-
Gefundene Risiken für gefährdete Endpunkte: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie kompromittierter Endpunkte gehören.
-
Gefundene Risiken für gefährdete Benutzer: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie kompromittierter Benutzer gehören.
-
Gefundene Datenexfiltrationsrisiken: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie der Datenexfiltration gehören.
-
Gefundene Risiken für Insider-Bedrohungen: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie für Insider-Bedrohungen gehören.
-
Risiko-Score: Zeigt den Risiko-Score des Benutzers an.
Sie können einen Benutzer auch nach dem Benutzernamen suchen und die erforderlichen Details abrufen.
Weitere Informationen finden Sie unter Risikokategorien.
Überblick über Risikoindikatoren
Das Dashboard bietet eine konsolidierte Ansicht der von den Benutzern in Ihrem Unternehmen ausgelösten Risikoindikatoren.
Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Risikoindikatorübersicht.
Wählen Sie eine Kategorie, um den Bericht anzuzeigen
Suchen Sie die Risikoindikatoren, indem Sie eine oder mehrere Kategorien auswählen:
-
Zeitraum: Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.
-
Risikoindikatortyp: Wählen Sie die Art des Risikoindikators: eingebaut oder benutzerdefiniert.
-
Entitätstyp: Wählen Sie einen Benutzer aus, um die zugehörigen Risikoindikatoren anzuzeigen.
-
Gruppe: Wählen Sie ein Kriterium aus, um die Benutzerereignisse nach Datenquelle, Indikatorkategorie, Indikatorname, Indikatortyp oder Entity-Art zu gruppieren und die zugehörigen Risikoindikatoren anzuzeigen.
Bericht ansehen
Verwenden Sie die folgenden Berichte, um Details zu den Risikoindikatoren anzuzeigen, indem Sie eine oder mehrere Kategorien auswählen:
-
Anzahl der ausgelösten Risikoindikatoren: Zeigt die Anzahl der für den ausgewählten Zeitraum ausgelösten Risikoindikatoren an. Verwenden Sie diesen Bericht, um das Muster und die Bereiche riskanter Aktivitäten zu identifizieren. Identifizieren Sie außerdem die riskanten Aktivitäten in Ihrem Unternehmen.
-
Gesamtzahl und eindeutige Anzahl von Risikoindikatorereignissen: Zeigt die Gesamtereignisse und die eindeutigen Ereignisse an, die einem Risikoindikator entsprechen. Verwenden Sie diesen Bericht, um das Auftreten der einzelnen Risikoindikatoren und der wichtigsten Risikoindikatoren in Ihrer Organisation zu ermitteln. Sie können auch ermitteln, wie viele einzelne Benutzer einen bestimmten Risikoindikator ausgelöst haben, und überprüfen, ob der Risikoindikator von einer größeren oder einer kleineren Benutzergruppe ausgelöst wird.
-
Risikoindikatoren nach Standorten: Zeigt die Anzahl der Risikoindikatoren an, die von den Benutzern standortübergreifend ausgelöst werden. Verwenden Sie diesen Bericht, um die Standorte zu identifizieren, die riskantere Aktivitäten zeigen, und um zu überprüfen, ob sich die Standorte außerhalb des Betriebsbereichs Ihrer Organisation befinden.
-
Risikoindikatordetails: Zeigt die Details zum Risikoindikator an, z. B. die zugehörige Datenquelle, die Indikatorkategorie, den Indikatortyp und die Anzahl der Vorkommnisse.
Angaben zu Risikoindikatoren
Das Dashboard bietet detaillierte Informationen zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst werden. Weitere Informationen finden Sie unter Citrix Benutzerrisikoindikatoren und Benutzerdefinierte Risikoindikatoren.
Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics — Dashboards > Citrix Analytics — Risikoindikator-Details.
Wählen Sie eine Kategorie aus, um die Berichte anzuzeigen
Zeigen Sie die Details der Risikoindikatoren an, indem Sie eine oder mehrere Kategorien auswählen:
-
Zeitraum: Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die Details der ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.
-
Entitätstyp: Wählen Sie einen Benutzer aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.
-
Risikoindikatortyp- Wählen Sie die Art des integrierten oder benutzerdefinierten Risikoindikators aus, um deren Details anzuzeigen.
-
Datenquelle- Wählen Sie die Datenquelle aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.
-
Risikoindikatorkategorie- Wählen Sie die Risikokategorie aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.
-
Risikoindikator- Wählen Sie den Risikoindikator aus, um seine Details anzuzeigen
Sehen Sie sich die Berichte an
Wählen Sie beispielsweise aus der Liste Risikoindikator auswählen die Option Ungewöhnlicher Authentifizierungsfehler (Citrix Content Collaboration)aus, klicken Sie auf Senden, und zeigen Sie die folgenden Informationen an:
-
Die 10 wichtigsten Benutzer, die mit dem Risikoindikator in Verbindung stehen
-
Details zum Risikoindikator wie
-
Datum und Uhrzeit des Triggers
-
Zugehörige Datenquelle
-
Zugehörige Risiko
-
Zugeordnete Entitäts-ID und Benutzerentitstyp
-
Schweregrad des Risikos — hoch, mittel oder niedrig
-
Risikowahrscheinlichkeit des Benutzerereignisses
-
Eindeutige Identität des Risikoindikators (UUID)
-
Klicken Sie unter Top 10 Entitäten nach Risikoindikatorenauf eine Entität, um deren Details im Citrix Analytics-Dashboard “Entitätsdetails “ anzuzeigen.
Klicken Sie auf jede Zeile der Tabelle mit den Risikoindikatordetails, um die Ereigniszusammenfassung, die Ereignisdetails und die Rohereignisse des ausgewählten Risikoindikators anzuzeigen.
Klicken Sie im Abschnitt Risikoindikator-Ereignisübersicht auf den Link Citrix Analytics UI, um von Ihrem Splunk aus direkt zur Benutzerzeitleiste in Citrix Analytics for Security zu gelangen. Zeigen Sie auf der Benutzerzeitleiste den Risikoindikator, die zugehörigen Ereignisse und alle angewendeten Aktionen für den Benutzer an.
Weitere Informationen zur Ereigniszusammenfassung und Ereignisdetails finden Sie unter Citrix Analytics data format for SIEM.
Angaben zum Unternehmen
Verwenden Sie das Dashboard, um die Details zu einem Benutzer einer Benutzerentität und seinem riskanten Verhalten anzuzeigen.
Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Entitätsdetails.
Sehen Sie sich den Bericht an
Geben Sie einen Zeitraum und die Entität (Benutzername) ein und klicken Sie auf Senden, um die detaillierten Informationen anzuzeigen.
Alternativ können Sie die detaillierten Informationen zu einer Entität auch in den folgenden Dashboards anzeigen:
-
Wechseln Sie in Citrix Analytics - Risikoindikatordetailszu Top 10 Entitäten nach Risikoindikatoren, und klicken Sie auf eine Entität.
-
Wechseln Sie in Citrix Analytics - Risk Score Overviewzu Risky Users, und klicken Sie auf einen Benutzernamen.
Die folgenden detaillierten Informationen werden angezeigt:
-
Aktueller Risiko-Score und der Zeitplan für die Risikobewertung für den ausgewählten Zeitraum.
-
Prozentuale Verteilung der Risikoindikatoren. Hilft Ihnen, das Muster riskanter Aktivitäten des Unternehmens zu analysieren.
-
Geografische Verteilung der Risikoindikatoren. Hilft Ihnen, ungewöhnliche und risikoreiche Standorte zu identifizieren.
-
Kunden-IP-Details im Zusammenhang mit den riskanten Aktivitäten.
-
Benutzergerätedetails, die mit den riskanten Aktivitäten verbunden sind.
-
Details zu Risikoindikatoren wie zugehörige Datenquelle, Risikokategorie, Risikoschweregrad usw.
Korrelieren Sie die Client-IPs und Benutzergeräte, die mit riskanten Aktivitäten verknüpft sind, mit den Ereignissen, die von anderen Sicherheitsquellen erfasst wurden, die mit Ihrem Splunk verbunden sind. Klicken Sie beispielsweise in der Tabelle Client-IP-Details auf eine Zeile.
Im Citrix Analytics Ereigniskorrelation-Dashboard können Sie die Ereignisse anzeigen, die mit der ausgewählten Client-IP verknüpft sind und mit Ihren anderen Sicherheitsdatenquellen korreliert sind (basierend auf Index und Quelltyp). Diese Ereignisse bieten tiefere Einblicke in die böswilligen Aktivitäten, die mit der Client-IP verbunden sind.
Benutzerprofil-Übersicht
Verwenden Sie das Dashboard, um die Ereignismetriken anzuzeigen, die mit den Benutzern in Ihrer Organisation verknüpft sind.
Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Benutzerprofilübersicht.
Ereignisse anzeigen
Wählen Sie einen Zeitraum aus und sehen Sie sich die folgenden Metriken an:
-
Top 10 Anwendungen, die von den Benutzern verwendet werden
-
Top 10 Geräte, die von den Benutzern verwendet werden
-
Top 10 Standorte, die von den Benutzern genutzt werden
-
Anzahl der verwendeten Web- und SaaS-Anwendungen
-
Anzahl der verwendeten Geräte
-
Anzahl der Benutzer, die standortübergreifend zugegriffen haben
-
Datennutzungskennzahlen wie hochgeladene, heruntergeladene, freigegebene Dateien
Diese Metriken geben Ihnen Einblicke in die Benutzeraktivitäten in Ihrem Unternehmen. Sie können die wichtigsten Anwendungen und Geräte, Nutzungsmuster, nicht konforme Geräte und Anwendungen, ungewöhnliche Standorte, riskanten Zugriff und ungewöhnliche Dateiaktivitäten identifizieren.
Erhaltene Ereignisse
Verwenden Sie das Dashboard, um die von Citrix Analytics for Security empfangenen Ereignisse anzuzeigen. Ein Ereignis weist auf eine Art von Benutzeraktivität hin.
Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Empfangene Ereignisse.
Sehen Sie sich die Berichte an
Wählen Sie einen Zeitraum aus, um die verschiedenen Arten von empfangenen Ereignissen anzuzeigen und zu vergleichen. Das Dashboard bietet die folgenden Informationen:
-
Gesamtzahl der empfangenen Ereignisse: Dies ist die Summe aller von Citrix Analytics for Security empfangenen Ereignisse, einschließlich der folgenden:
-
Gesamtrisikoindikatorereignisse: Zeigt die Ereignisse an, die mit den von den Benutzern ausgelösten Risikoindikatoren verbunden sind.
-
Gesamtrisikoindikator-Detail-Ereignisse: Zeigt die Ereignisse an, die mit den Details der ausgelösten Risikoindikatoren verbunden sind.
-
Ereignisse zur Änderung der Risikobewertung insgesamt: Gibt die Ereignisse an, die mit der Änderung der Risikobewertung des Benutzers verbunden sind.
-
Gesamtzahl der Ereignisse des Benutzerprofil-Risiko-Scores: Zeigt die Ereignisse an, die mit den Risikobewertungen der Benutzer
-
Gesamtzahl der Anwendungsereignisse für Benutzerprofile: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verknüpft sind.
-
Gesamtzahl der Geräteereignisse des Benutzerprofils: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verknüpft sind.
-
Gesamtzahl der Benutzerprofildatennutzungsereignisse: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verbunden sind.
-
Gesamtzahl der Standortereignisse des Benutzerprofils: Zeigt die Ereignisse an, auf die die Benutzer zugreifen.
-
Beispiel für Ereigniskorrelation
Verwenden Sie das Dashboard, um von Citrix Analytics for Security empfangene Ereignisse mit den Ereignissen zu korrelieren, die von anderen in Ihrem Splunk konfigurierten Sicherheitsdatenquellen gesammelt wurden. Sie erhalten tiefere Einblicke in die riskanten Aktivitäten des Benutzers, die aus mehreren Datenquellen gesammelt wurden, finden Zusammenhänge zwischen den Ereignissen und identifizieren etwaige Bedrohungen.
Um das Dashboard anzuzeigen, klicken Sie auf SIEM-Korrelation - Beispiel-Dashboards > Citrix Analytics Ereigniskorrelation.
Voraussetzungen
Stellen Sie Folgendes sicher, um eine Korrelation durchzuführen:
-
Sie müssen Ereignisse aus Ihren anderen Sicherheitsdatenquellen haben, um korrelieren zu können. Beispielsweise Ereignisse, die mit Benutzern, Geräten und Client-IP-Adressen verknüpft sind, die von anderen in Ihrem Splunk konfigurierten Datenquellen empfangen wurden.
-
Sie müssen bereits während der Konfiguration einen Korrelationsindex definiert haben.
Korrelieren Sie die Ereignisse
Sie können die riskanten Entitäten und die riskantsten IP-Adressen anzeigen, die von Citrix Analytics for Security erkannt wurden. Um diese Ereignisse mit anderen Datenquellen (definiert im Index und im Quelltyp) zu korrelieren, klicken Sie auf eine Entität oder eine IP-Adresse aus den Tabellen.
Der im Abfragefeld angezeigte Indexwert wird während der Konfiguration der App definiert. Sie können den Indexwert je nach Ihren Anforderungen in eine andere Sicherheitsdatenquelle ändern.
Fehlerbehebung für keine Ereignisse
Wenn Sie in allen Dashboards keine Ereignisse finden, liegt dies möglicherweise an den Konfigurationsproblemen in der Citrix Analytics App für Splunk und dem Citrix Analytics-Add-On für Splunk. Überprüfen Sie in einem solchen Szenario den Indexwert und den Wert des Quelltyps. Stellen Sie sicher, dass die Werte des Index- und Quelltyps sowohl in der App als auch im Add-On identisch sind.
So zeigen Sie die Konfigurationseinstellungen der Citrix Analytics App für Splunk an:
-
Klicken Sie auf Apps > Apps verwalten.
-
Suchen Sie Citrix Analytics App für Splunk aus der Liste. Klicken Sie auf Einrichten.
-
Prüfen Sie den Quelltyp und den Index.
So zeigen Sie die Konfigurationseinstellungen des Citrix Analytics-Add-Ons für Splunk an:
-
Klicken Sie auf Einstellungen > Dateneingaben.
-
Klicken Sie auf Citrix Analytics Add-on.
-
Klicken Sie auf den Mandanten, von dem Sie die Ereignisse erhalten.
-
Wähle Weitere Einstellungenaus.
-
Prüfen Sie den Quelltyp und den Index.
Weitere Informationen zur Konfiguration finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.