Citrix Analytics-Dashboards für Splunk

Hinweis

Achtung: Citrix Content Collaboration™ und ShareFile haben das Ende ihrer Lebensdauer erreicht und stehen Benutzern nicht mehr zur Verfügung.

Diese Funktion befindet sich in der Vorschauphase.

Voraussetzung

Um die folgenden Citrix Analytics-Dashboards zu verwenden, stellen Sie sicher, dass Sie die Citrix Analytics App für Splunk bereits konfiguriert und eingerichtet haben.

Übersicht über den Benutzerrisikowert

Dieses Dashboard bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrer Organisation. Die Benutzer werden nach Risikostufen – hoch, mittel und niedrig – kategorisiert. Die Risikostufen basieren auf Anomalien in den Benutzeraktivitäten, und dementsprechend wird ein Risikowert zugewiesen. Weitere Informationen zu den Arten riskanter Benutzer finden Sie im Benutzer-Dashboard.

Um dieses Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- User Risk Scores Overview.

Wählen Sie einen voreingestellten oder einen benutzerdefinierten Zeitraum aus, um die Zeitleiste der riskanten Benutzer und deren Details anzuzeigen.

Die Tabelle „Risky Users“ (Riskante Benutzer) enthält die folgenden Informationen:

• User: Zeigt den Benutzernamen an. Klicken Sie auf einen Benutzernamen, um die Details zum riskanten Verhalten des Benutzers auf dem Dashboard „Citrix Analytics - Entity Details“ anzuzeigen.

• Compromised endpoints risks found: Zeigt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie „Kompromittierte Endpunkte“ gehören.

• Compromised users risks found: Zeigt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie „Kompromittierte Benutzer“ gehören.

• Data exfiltration risks found: Zeigt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie „Datenexfiltration“ gehören.

• Insider threats risks found: Zeigt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie „Insider-Bedrohungen“ gehören.

• Risk Score: Zeigt den Risikowert des Benutzers an.

Sie können auch einen Benutzer anhand des Benutzernamens suchen und die erforderlichen Details abrufen.

Weitere Informationen finden Sie unter Risikokategorien.

Übersicht über Risikoindikatoren

Das Dashboard bietet eine konsolidierte Ansicht der von den Benutzern in Ihrer Organisation ausgelösten Risikoindikatoren.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Risk Indicator Overview.

Kategorie zur Anzeige des Berichts auswählen

Suchen Sie die Risikoindikatoren, indem Sie eine oder mehrere Kategorien auswählen:

• Time range: Wählen Sie einen voreingestellten oder einen benutzerdefinierten Zeitraum aus, um die ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.

• Risk indicator type: Wählen Sie den Typ des Risikoindikators aus: integriert oder benutzerdefiniert.

• Entity type: Wählen Sie einen Benutzer aus, um die zugehörigen Risikoindikatoren anzuzeigen.

• Group: Wählen Sie ein Kriterium aus, um die Benutzerereignisse nach Datenquelle, Indikatorkategorie, Indikatorname, Indikatortyp oder Entitätstyp zu gruppieren und die zugehörigen Risikoindikatoren anzuzeigen.

  

Bericht anzeigen

Verwenden Sie die folgenden Berichte, um Details zu den Risikoindikatoren anzuzeigen, indem Sie eine oder mehrere Kategorien auswählen:

• Number of risk indicators triggered: Zeigt die Anzahl der für den ausgewählten Zeitraum ausgelösten Risikoindikatoren an. Verwenden Sie diesen Bericht, um das Muster und die Bereiche riskanter Aktivitäten zu identifizieren. Identifizieren Sie auch die wichtigsten riskanten Aktivitäten in Ihrer Organisation.

• Total and distinct entity count of risk indicator events: Zeigt die Gesamtzahl der Ereignisse und die eindeutigen Ereignisse an, die einem Risikoindikator entsprechen. Verwenden Sie diesen Bericht, um das Auftreten jedes Risikoindikators und die wichtigsten Risikoindikatoren in Ihrer Organisation zu identifizieren. Sie können auch identifizieren, wie viele eindeutige Benutzer einen bestimmten Risikoindikator ausgelöst haben, und prüfen, ob der Risikoindikator von einer größeren oder kleineren Benutzergruppe ausgelöst wird.

• Risk indicators by locations: Zeigt die Anzahl der von den Benutzern an verschiedenen Standorten ausgelösten Risikoindikatoren an. Verwenden Sie diesen Bericht, um die Standorte zu identifizieren, die mehr riskante Aktivitäten aufweisen, und um zu prüfen, ob sich die Standorte außerhalb des Betriebsgebiets Ihrer Organisation befinden.

• Risk indicator details: Zeigt die Details zum Risikoindikator an, wie z. B. die zugehörige Datenquelle, Indikatorkategorie, Indikatorname, Indikatortyp und Anzahl der Vorkommen.

Details zum Risikoindikator

Das Dashboard bietet detaillierte Informationen zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst werden. Weitere Informationen finden Sie unter Citrix-Benutzerrisikoindikatoren und Benutzerdefinierte Risikoindikatoren.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Risk Indicator Details.

Kategorie zur Anzeige der Berichte auswählen

Zeigen Sie die Details der Risikoindikatoren an, indem Sie eine oder mehrere Kategorien auswählen:

• Time range: Wählen Sie einen voreingestellten oder einen benutzerdefinierten Zeitraum aus, um die Details der ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.

• Entity type: Wählen Sie einen Benutzer aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

• Risk Indicator type- Wählen Sie den Typ des Risikoindikators – integriert oder benutzerdefiniert – aus, um dessen Details anzuzeigen.

• Data source- Wählen Sie die Datenquelle aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

• Risk indicator category- Wählen Sie die Risikokategorie aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

• Risk indicator- Wählen Sie den Risikoindikator aus, um dessen Details anzuzeigen.

Berichte anzeigen

Wählen Sie beispielsweise aus der Liste „Select Risk Indicator“ (Risikoindikator auswählen) die Option Unusual authentication failure (Citrix Content Collaboration) aus, klicken Sie auf Submit (Senden) und zeigen Sie die folgenden Informationen an:

• Die 10 wichtigsten Benutzer, die mit dem Risikoindikator verbunden sind

• Details zum Risikoindikator, wie z. B.

  • Datum und Uhrzeit der Auslösung

  • Zugehörige Datenquelle

  • Zugehörige Risikokategorie

  • Zugehörige Entitäts-ID und Benutzerentitätstyp

  • Risikoschwere – hoch, mittel oder niedrig

  • Risikowahrscheinlichkeit des Benutzerereignisses

  • Eindeutige Identität des Risikoindikators (UUID)

    

Klicken Sie unter Top 10 Entities by Risk Indicators (Top 10 Entitäten nach Risikoindikatoren) auf eine Entität, um deren Details auf dem Dashboard Citrix Analytics- Entity Details anzuzeigen.

Klicken Sie auf jede Zeile der Tabelle Risk Indicator Details (Details zum Risikoindikator), um die Ereigniszusammenfassung, Ereignisdetails und Rohereignisse des ausgewählten Risikoindikators anzuzeigen.

Klicken Sie im Abschnitt Risk Indicator Event Summary (Ereigniszusammenfassung des Risikoindikators) auf den Link Citrix Analytics UI link, um direkt zur Benutzerzeitleiste in Citrix Analytics for Security™ von Ihrem Splunk aus zu gelangen. Auf der Benutzerzeitleiste können Sie den Risikoindikator, zugehörige Ereignisse und alle angewendeten Aktionen für den Benutzer anzeigen.

Weitere Informationen zur Ereigniszusammenfassung und zu den Ereignisdetails finden Sie unter Citrix Analytics-Datenformat für SIEM.

Entitätsdetails

Verwenden Sie das Dashboard, um die Details zu einem Benutzerentitätsbenutzer und dessen riskantem Verhalten anzuzeigen.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Entity Details.

Bericht anzeigen

Geben Sie einen Zeitraum und die Entität (Benutzername) ein und klicken Sie auf Submit (Senden), um die detaillierten Informationen anzuzeigen.

Alternativ können Sie die detaillierten Informationen zu einer Entität auch über die folgenden Dashboards anzeigen:

• Gehen Sie unter Citrix Analytics- Risk Indicator Details zu Top 10 Entities by Risk Indicators und klicken Sie auf eine Entität.

  

• Gehen Sie unter Citrix Analytics- Risk Score Overview zu Risky Users und klicken Sie auf einen Benutzernamen.

  

Die folgenden detaillierten Informationen werden angezeigt:

• Aktueller Risikowert und die Risikowert-Zeitleiste für den ausgewählten Zeitraum.

• Prozentuale Verteilung der Risikoindikatoren. Hilft Ihnen, das Muster riskanter Aktivitäten der Entität zu analysieren.

• Geografische Verteilung der Risikoindikatoren. Hilft Ihnen, ungewöhnliche und risikoreiche Standorte zu identifizieren.

• Client-IP-Details, die mit den riskanten Aktivitäten verbunden sind.

• Details zum Benutzergerät, die mit den riskanten Aktivitäten verbunden sind.

• Details zum Risikoindikator, wie z. B. zugehörige Datenquelle, Risikokategorie, Risikoschwere usw.

  

  

Korrelieren Sie die Client-IPs und Benutzergeräte, die mit riskanten Aktivitäten verbunden sind, mit den Ereignissen, die von anderen Sicherheitsquellen gesammelt wurden, die mit Ihrem Splunk verbunden sind. Klicken Sie beispielsweise auf eine Zeile in der Tabelle Client IP Details.

Auf dem Dashboard Citrix Analytics Event Correlation können Sie die Ereignisse anzeigen, die mit der ausgewählten Client-IP verbunden sind und die aus Ihren anderen Sicherheitsdatenquellen (basierend auf Index und Quelltyp) korreliert wurden. Diese Ereignisse bieten tiefere Einblicke in die bösartigen Aktivitäten, die mit der Client-IP verbunden sind.

Übersicht über Benutzerprofile

Verwenden Sie das Dashboard, um die Ereignismetrik anzuzeigen, die mit den Benutzern in Ihrer Organisation verbunden ist.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- User Profile Overview.

Ereignisse anzeigen

Wählen Sie einen Zeitraum aus und zeigen Sie die folgenden Metriken an:

• Die 10 wichtigsten Anwendungen, die von den Benutzern verwendet werden

• Die 10 wichtigsten Geräte, die von den Benutzern verwendet werden

• Die 10 wichtigsten Standorte, die von den Benutzern verwendet werden

• Anzahl der verwendeten Web- und SaaS-Anwendungen

• Anzahl der verwendeten Geräte

• Anzahl der Benutzer, die standortübergreifend zugegriffen haben

• Metriken zur Datennutzung, wie z. B. hochgeladene, heruntergeladene, freigegebene Dateien

Diese Metriken geben Ihnen Einblicke in die Benutzeraktivitäten in Ihrer Organisation. Sie können die wichtigsten Anwendungen und Geräte, Nutzungsmuster, nicht konforme Geräte und Anwendungen, ungewöhnliche Standorte, riskante Zugriffe und ungewöhnliche Dateiaktivitäten identifizieren.

Empfangene Ereignisse

Verwenden Sie das Dashboard, um die von Citrix Analytics for Security empfangenen Ereignisse anzuzeigen. Ein Ereignis zeigt eine Art von Benutzeraktivität an.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Received Events.

Berichte anzeigen

Wählen Sie einen Zeitraum aus, um die verschiedenen Arten empfangener Ereignisse anzuzeigen und zu vergleichen. Das Dashboard bietet die folgenden Informationen:

• Total events received: Dies ist die Summe aller von Citrix Analytics for Security empfangenen Ereignisse, einschließlich der folgenden:

  • Total risk indicator events: Zeigt die Ereignisse an, die mit den von den Benutzern ausgelösten Risikoindikatoren verbunden sind.

  • Total risk indicator detail events: Zeigt die Ereignisse an, die mit den Details der ausgelösten Risikoindikatoren verbunden sind.

  • Total risk score change events: Zeigt die Ereignisse an, die mit der Änderung des Risikowerts des Benutzers verbunden sind.

  • Total user profile risk score events: Zeigt die Ereignisse an, die mit den Risikowerten der Benutzer verbunden sind.

  • Total user profile application events: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verbunden sind.

  • Total user profile device events: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verbunden sind.

  • Total user profile data usage events: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verbunden sind.

  • Total user profile location events: Zeigt die Ereignisse an, die mit den von den Benutzern aufgerufenen Standorten verbunden sind.

    

Beispiel für Ereigniskorrelation

Verwenden Sie das Dashboard, um Ereignisse, die von Citrix Analytics for Security empfangen wurden, mit Ereignissen zu korrelieren, die von anderen in Ihrem Splunk konfigurierten Sicherheitsdatenquellen gesammelt wurden. Sie erhalten tiefere Einblicke in die riskanten Benutzeraktivitäten, die aus mehreren Datenquellen gesammelt wurden, finden Beziehungen zwischen den Ereignissen und identifizieren Bedrohungen.

Um das Dashboard anzuzeigen, klicken Sie auf SIEM Correlation- Sample Dashboards > Citrix Analytics Event Correlation.

Voraussetzungen

Um eine Korrelation durchzuführen, stellen Sie Folgendes sicher:

• Sie müssen Ereignisse von Ihren anderen Sicherheitsdatenquellen zur Korrelation haben. Zum Beispiel Ereignisse, die mit Benutzern, Geräten und Client-IP-Adressen verbunden sind und von anderen in Ihrem Splunk konfigurierten Datenquellen empfangen wurden.

• Sie müssen während der Konfiguration bereits einen Korrelationsindex definiert haben.

Ereignisse korrelieren

Sie können die wichtigsten riskanten Entitäten und die wichtigsten riskanten IP-Adressen anzeigen, die von Citrix Analytics for Security erkannt wurden. Um diese Ereignisse mit anderen Datenquellen (definiert im Index und im Quelltyp) zu korrelieren, klicken Sie auf eine Entität oder eine IP-Adresse aus den Tabellen.

Der im Abfragefeld angezeigte Indexwert wird während der Konfiguration der App definiert. Sie können den Indexwert je nach Ihren Anforderungen in eine andere Sicherheitsdatenquelle ändern.

Fehlerbehebung bei fehlenden Ereignissen

Wenn Sie auf allen Dashboards keine Ereignisse finden, kann dies an Konfigurationsproblemen in der Citrix Analytics App für Splunk und dem Citrix Analytics Add-on für Splunk liegen. Überprüfen Sie in diesem Szenario den Indexwert und den Quelltypwert. Stellen Sie sicher, dass die Werte des Index und des Quelltyps sowohl in der App als auch im Add-on identisch sind.

So zeigen Sie die Konfigurationseinstellungen der Citrix Analytics App für Splunk an:

1. Klicken Sie auf Apps > Manage Apps.

   

2. Suchen Sie die Citrix Analytics App für Splunk in der Liste. Klicken Sie auf Set up.

   

3. Überprüfen Sie den Quelltyp und den Index.

   

So zeigen Sie die Konfigurationseinstellungen des Citrix Analytics Add-ons für Splunk an:

1. Klicken Sie auf Settings > Data inputs.

   

2. Klicken Sie auf Citrix Analytics Add-on.

   

3. Klicken Sie auf den Tenant, von dem Sie die Ereignisse erhalten.

4. Wählen Sie More settings.

   

5. Überprüfen Sie den Quelltyp und den Index.

   

Weitere Informationen zur Konfiguration finden Sie unter Citrix Analytics-Add-on für Splunk konfigurieren.