Problembehandlung bei Datenexporten
Die Ansicht “Datenexporte für Sicherheit” enthält eine Registerkarte Zusammenfassung, die Administratoren bei der Behebung von Problemen bei der SIEM-Integration mit Citrix Analytics unterstützt. Das Übersichts-Dashboard bietet einen Überblick über den Zustand und den Datenfluss, indem es die Prüfpunkte durchläuft, die den Fehlerbehebungsprozess unterstützen.
Registerkarte “Zusammenfassung”
Die Registerkarte Zusammenfassung bildet die Grundlage für den Self-Service-Problembehebungsworkflow in der Ansicht “Datenexporte”. Es beschreibt Ihr SIEM-Setup mithilfe dieser drei Karten:
- Verfügbare Daten in Citrix Analytics: Diese Karte zeigt den Status Ihrer Datenquellenkonfigurationen.
- Verfügbare Ereignisse für die SIEM-Nutzung: Diese Karte zeigt die Anzahl der Ereignisse an, die bereit sind, von Ihrer SIEM-Umgebung genutzt zu werden.
- Datenverbrauch durch SIEM: Diese Karte zeigt den Status des Datenflusses in Ihrer SIEM-Umgebung an.
Verfügbare Daten in Citrix Analytics
Die Karte Verfügbare Daten in Citrix Analytics zeigt die Anzahl der Datenquellen, die letztendlich zu SIEM-Erkenntnissen beitragen können, die in Citrix Analytics for Security integriert wurden. Derzeit werden drei Datenquellen für Datenexporte unterstützt: Apps and Desktops, Gateway und Secure Private Access. Selbst wenn diese Datenquellen integriert wurden, funktioniert der Datenexport für die Datenquellen, deren Datenverarbeitung deaktiviert ist, nicht. Eine entsprechende Warnmeldung, wie sie in der Abbildung oben dargestellt ist, wird angezeigt, wenn solche Datenquellen erkannt werden.
Mit der Schaltfläche Ereignisse der letzten 7 Tage anzeigen wird der Administrator zur Self-Service-Suchansicht weitergeleitet, in der Administratoren überprüfen können, ob Ereignisse in Citrix Analytics for Security eingegangen sind. Die Schaltfläche Datenquellen einbinden leitet zur Datenquellenansicht weiter, in der Sie den Onboarding-Prozess eingehend durchgehen können.
Wenn keine integrierten Datenquellen vorhanden sind, wird eine entsprechende Warnmeldung angezeigt, wie im folgenden Screenshot dargestellt:
Verfügbare Ereignisse für die SIEM-Nutzung
Auf der Karte Verfügbare Ereignisse für den SIEM-Verbrauch wird die Anzahl der Insight- und Datenquellenereignisse zusammen mit deren Aufschlüsselung angezeigt, die voraussichtlich in Ihre SIEM-Umgebung einfließen werden. Nach der Erweiterung ist auch eine weitere Aufschlüsselung der einzelnen Arten von Datenereignissen für den Export verfügbar.
Datenverbrauch durch SIEM
Die Karte Data Consumption by SIEM zeigt den Zustand des von Citrix Analytics vorbereiteten Datenflusses in Ihre SIEM-Umgebung. Der Status des Datenverbrauchs basiert auf der Offset-Bewegung innerhalb Ihres Kafka-Themas . Sofern verfügbar, zeigt die Karte auch den Zeitstempel an, an dem der letzte erfolgreiche Datenverbrauch festgestellt wurde. Sowohl der Status des Datenverbrauchs als auch der Zeitstempel werden alle 10 Minuten aktualisiert. Klicken Sie hier, um mehr über Kafka Consumer Group/Offset Management zu erfahren.
Der Status des Datenverbrauchs kann die folgenden Zustände annehmen:
-
Inaktiver Konsum
-
Keine Historie des Datenexports: Dieser Status wird durch einen orangefarbenen Punkt dargestellt, der darauf hinweist, dass keine von Citrix Analytics vorbereiteten Daten jemals erfolgreich in Ihre SIEM-Umgebung geflogen sind.
Das kann daran liegen -
-
Fehlerhafte/unvollständige Datenquellenkonfiguration. Die Karte Verfügbare Daten in Citrix Analytics kann verwendet werden, um zu überprüfen, ob genügend Datenquellen vorhanden sind und ob deren Datenverarbeitung aktiviert ist, um den Export zu ermöglichen.
-
Mangelnde Benutzeraktivität. Mit der Schaltfläche Ereignisse der letzten 7 Tage anzeigen auf der Karte Verfügbare Daten in Citrix Analytics können Sie überprüfen, ob keine Benutzeraktivitäten stattgefunden haben. Darüber hinaus kann die Karte Verfügbare Ereignisse für den SIEM-Verbrauch verwendet werden, um zu überprüfen, ob Insight- oder Datenquellenereignisse von Citrix Analytics für die Übertragung in Ihr SIEM vorbereitet wurden.
-
Falsches/unvollständiges SIEM-Setup. Stellen Sie sicher, dass die Phase der Kontoeinrichtung auf der Registerkarte Konfiguration erfolgreich abgeschlossen wurde. Wenn die Einrichtung abgeschlossen ist, ist in der Phase der Kontoeinrichtung ein grünes Häkchen sichtbar.
Wenn sich der Status auch nach einer erfolgreichen Kontoeinrichtung nicht ändert, überprüfen Sie die weitere Problembehandlung, indem Sie Folgendes überprüfen:
-
Firewallprobleme oder falsch konfigurierte SIEM-Einstellungen — siehe SIEM-Umgebung einrichten.
-
Probleme mit Anmeldeinformationen bei der Einrichtung eines Kafka-Kontos oder Ihrer SIEM-Umgebung — siehe SIEM-Integrationmit Kafka.
-
-
-
Kein aktiver Verbrauch festgestellt: Dieser Status weist darauf hin, dass mindestens in den letzten 10 Minuten keine Daten erfolgreich in Ihre SIEM-Umgebung übertragen wurden. Auf der Karte wird auch der Zeitstempel der letzten erfolgreichen Übertragung von Daten angezeigt. Wie bei Kein Verlauf des Datenexportskönnen Sie dieses Problem beheben, indem Sie die Karten Verfügbare Daten in Citrix Analytics und Verfügbare Ereignisse für SIEM-Verbrauch verwenden. Wenn die Benutzeraktivität ausreichend ist und die Anzahl der verfügbaren Ereignisse steigt, ist es eine gute Idee, sich auf den letzten erfolgreichen Zeitstempel zu konzentrieren, um zu überprüfen, ob nach diesem Zeitstempel Firewalländerungen oder Kennwortrotationen stattgefunden haben.
-
Vor mehr als 7 Tagen exportiert: Dieser Status gibt an, dass der aktive Verbrauch auf Ihrem SIEM zuletzt vor über einer Woche festgestellt wurde. Ähnlich wie bei den beiden oben genannten Zuständen verwenden Sie die Karten Verfügbare Daten in Citrix Analytics und Verfügbare Ereignisse für den SIEM-Verbrauch, um Probleme mit Ihrem SIEM-Setup zu beheben, wenn dies der erkannte Datenverbrauchsstatus ist.
Hinweis
Kafka-Aufbewahrungsrichtlinie: In den Kafka-Themen von Citrix Analytics werden Ereignisse nur für maximal 7 Tage gespeichert. Um einen möglichen Datenverlust zu vermeiden oder zu verhindern, wird empfohlen, ein Datenabfrageintervall einzurichten, das 7 Tage nicht überschreitet.
Bei inaktivem Verbrauch können Sie sich die folgenden Warnmeldungen anzeigen lassen, die Ihnen bei der Problembehebung helfen.
Wie im Fall Keine Historie des Datenexports hervorgehoben, fließen keine Daten in die SIEM-Umgebung, wenn das SIEM-Setup nicht abgeschlossen ist. Daher wird der Benutzer zur Registerkarte Konfiguration weitergeleitet, um die Kontoeinrichtung abzuschließen, wie im folgenden Screenshot gezeigt:
Wenn das SIEM-Setup abgeschlossen ist, kann es immer noch vorkommen, dass die Daten nicht aktiv fließen, wie im Status Kein aktiver Verbrauch erkannt oder vor mehr als 7 Tagen exportiert dargestellt wird. Daher wird dem Benutzer dringend empfohlen, zum Abschnitt Testereignisgenerierung zu gehen, um die SIEM-Verbindung zu testen, wie in der folgenden Warnmeldung hervorgehoben.
-
-
Aktiver Konsum
-
Aktiver Verbrauch erkannt: Dieser Status zeigt an, dass auf Ihrem SIEM ein aktiver Verbrauch festgestellt wurde.
-
Kurzanleitung zum Datenexport
Die Registerkarte Zusammenfassung wird durch die Kurzanleitung zum Datenexport ergänzt, um die Bereitstellung, Verwaltung und Fehlerbehebung Ihrer SIEM-Setups zu vereinfachen. Die Kurzanleitung bietet nicht nur eine umfassende Anleitung zur Ansicht “Datenexport für Sicherheit”, sondern enthält auch nützliche Tipps zur Einrichtung und Verwaltung Ihrer SIEM-Umgebung, indem sie Links zu der entsprechenden Dokumentation enthält.
In der Kurzanleitung gibt es auch einen Abschnitt SIEM-Verbindung testen, der den Benutzer innerhalb der Einrichtungsphase der SIEM-Umgebung zur Phase “SIEM-Verbindung testen” weiterleitet. Auf diese Weise kann der Benutzer untersuchen, ob die SIEM-Integration selbst defekt ist, wodurch die Möglichkeit von Problemen mit der Verarbeitung der Ereignisse durch Citrix Analytics for Security ausgeschlossen wird. Der Benutzer kann dann die SIEM-Verbindung reparieren, um den Datenfluss zu aktivieren.
Die Registerkarte „ Konfiguration “ führt Administratoren zwar durch die Einrichtung der Bereitstellung, bietet aber auch nützliche Tipps, Warnmeldungen und häufig auftretende Fallstricke bei der Einrichtung ihres SIEM. Entsprechende Warnungen werden angezeigt, wenn:
-
Citrix Analytics stellt fest, dass keine Datenquellen integriert wurden. Es wird empfohlen, Apps and Desktops zu integrieren, um Telemetrie basierend auf Benutzeraktivitäten zu erfassen. In Ermangelung der integrierten Datenquelle wird kein Datenfluss beobachtet, obwohl Ihr SIEM-Setup möglicherweise erfolgreich durchgeführt wurde.
-
Wie in der folgenden Abbildung dargestellt, sind die Phasen SIEM-Umgebungseinrichtung und Datenereignisse für den Export deaktiviert, bis die Kontoeinrichtung erfolgreich abgeschlossen ist.
-
Datenexporte wurden deaktiviert. Die Warnung in der Phase “Datenereignisse für den Export” dient als Erinnerung daran, dass Datenexporte alle Änderungen vornehmen können.
-
Wenn in der Phase „Datenereignisse für Export“ der Datenexport für eine bestimmte Datenquelle deaktiviert ist, fließen keine Datenquellenereignisse an SIEM. Sie müssen dies aktivieren, indem Sie die Typen der gewünschten Datenquellenereignisse konfigurieren und auswählen. Stellen Sie außerdem sicher, dass die Datenverarbeitung für die jeweilige Datenquelle aktiviert ist, um sicherzustellen, dass die Daten Citrix Analytics erreichen.
Generierung von Testereignissen
Die Generierung von Testereignissen ist Teil der Einrichtungsphase der SIEM-Umgebung, um die Problembehebung zu verbessern. Sobald ein Benutzer das SIEM-Setup abgeschlossen hat, bietet die Generierung von Testereignissen eine Möglichkeit, die SIEM-Verbindung schnell zu testen, indem ein Testereignis direkt an das Kafka-Thema des Kunden für den SIEM-Datenexport gesendet wird.
Außerdem können neue Benutzer ihre SIEM-Integration mit Citrix Analytics schnell testen, ohne explizit eine neue Datenquelle integrieren und anschließend Benutzeraktivitäten generieren zu müssen.
Um diese Funktion zu testen, muss der Benutzer auf die Schaltfläche Testdaten senden klicken. Dadurch wird ein Dummytestereignis generiert und an das SIEM-Datenexport-Kafka-Thema des Kunden gesendet. Dieser Prozess zur Generierung von Testereignissen kann bis zu 1 Minute dauern, wie im folgenden Screenshot gezeigt:
Wenn die Testereignisdaten erfolgreich in das Kunden-Kafka-Thema geschrieben wurden, wird eine Erfolgsmeldung angezeigt, die darauf hinweist, dass die SIEM-Verbindung erfolgreich ist. Abhängig von Ihrer ausgewählten Umgebung (Splunk und Sentinel) können Administratoren die Abfrage kopieren und ihre SIEM-Umgebungen auf das Testereignis überprüfen.
Für Elasticsearch und andere Umgebungen wird die folgende Erfolgsmeldung angezeigt.
Hinweis:
Sobald ein Testereignis generiert wurde, ist die Schaltfläche Testdaten senden für die nächsten 24 Stunden deaktiviert, und die Benutzer sehen das folgende Popup, wenn sie mit der Maus über die Schaltfläche fahren. 24 Stunden nach dem letzten Erfolgszeitstempel wird die Schaltfläche aktiviert, sodass die Benutzer die Funktionalität erneut testen können.
Wenn die Testereignisdaten nicht erfolgreich in das Kunden-Kafka-Thema geschrieben wurden, wird eine Fehlermeldung angezeigt, wie im folgenden Screenshot dargestellt. Der Benutzer kann die Daten erneut senden, um die Verbindung zu testen.
SIEM-E-Mail-Warnung
Citrix Analytics sendet E-Mail-Benachrichtigungen, um die Administratoren über Szenarien zu informieren, die zu einer Unterbrechung des Datenflusses in ihrer SIEM-Umgebung führen könnten. Es enthält situationsbezogene Informationen über Aktivitäten, die zu vorübergehenden/permanenten sicherheitsbedingten Datenverlusten führen können. Es hilft auch dabei, sich im Self-Service-Prozess zur Fehlerbehebung für den SIEM-Datenexport zurechtzufinden.
Einige wichtige Eigenschaften dieser Reihe von E-Mail-Benachrichtigungen, die Ihnen helfen, sie in Ihrem Posteingang zu finden:
-
Die E-Mail wird an Citrix Cloud-Administratoren, Security-Volladministratoren, schreibgeschützte Sicherheitsadministratoren und schreibgeschützte Sicherheits- und Leistungsadministratoren verteilt.
-
Der Absender ist Citrix Cloud donotreplynotifications@citrix.com.
-
Die Betreffzeile lautet:
- SIEM-Datenexport-Warnung — Das Kennwort wurde für E-Mail-Benachrichtigungen zum Zurücksetzen des Kennworts zurückgesetzt.
- SIEM-Datenexport-Warnung — Der Datenfluss wurde aufgrund von E-Mail-Benachrichtigungen aufgrund von Datenflussunterbrechungen gestoppt .
Wie aktiviere ich E-Mail-Benachrichtigungen?
Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (Security Full Admin, Security Read Only Admin, Security und Performance Read Only) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen immer für Ihr Citrix Cloud-Konto aktiviert. Standardmäßig werden die wöchentlichen E-Mail-Benachrichtigungen an die Standardliste der Citrix Sicherheitsadministratoren gesendet. Sie können auch die Verteilerliste ändern, die diese Warnung erhält. Weitere Informationen finden Sie unter .
Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (Security Full Admin, Security Read Only Admin, Security und Performance Read Only) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto immer aktiviert.
Arten von SIEM-E-Mail-Benachrichtigungen
-
E-Mail-Benachrichtigung zum Zurücksetzen des SIEM-Kennworts
Die Warnmeldung zum Zurücksetzen des SIEM-Kennworts wird empfangen, wenn das Kontokennwort über die Seite Datenexporte zurückgesetzt wird. Das Zurücksetzen des SIEM-Kennworts allein auf der Citrix Analytics-Benutzeroberfläche kann dazu führen, dass das Kennwort nicht mit dem auf Ihrem SIEM konfigurierten Kennwort übereinstimmt. Dies führt zu einer Unterbrechung des Datenflusses. Diese E-Mail-Benachrichtigung enthält den Zeitpunkt, zu dem das Kennwort zurückgesetzt wurde. Wenn der Datenfluss unterbrochen wird, können Sie auf der Registerkarte Zusammenfassung überprüfen, ob der Zeitstempel „Zuletzt exportiert am“ in der Nähe des Zeitstempels für das Zurücksetzen des Kennworts liegt, und somit die erforderlichen Kennwortänderungen weiterleiten. Dies verkürzt den Debugging-Prozess und hilft Ihnen, in kürzester Zeit zu einem erfolgreichen Datenfluss in Ihre SIEM-Umgebung zurückzukehren.
-
Unterbrechung des Datenflusses für 24 Stunden E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 24 Stunden unterbrochen ist. Die E-Mail enthält den Zeitpunkt, zu dem das letzte Ereignis exportiert wurde, sowie hilfreiche Tipps zur Fehlerbehebung, mit denen der Datenfluss wiederhergestellt werden kann. Dies wäre der richtige Zeitpunkt, um den Datenfluss schnell wieder aufzunehmen, damit keine sicherheitsrelevanten Daten verloren gehen.
-
Unterbrechung des Datenflusses für 7 Tage E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 7 Tage unterbrochen ist. Da die Aufbewahrungsfrist für das Kafka-Thema des Kunden 7 Tage beträgt, ist es wichtig, die Tipps zur Fehlerbehebung zu befolgen und die Hilfe der Kurzanleitung auf der Seite Datenexporte in Anspruch zu nehmen, um keine weiteren Daten zu verlieren. In dieser E-Mail wird vor einem dauerhaften Verlust sicherheitsrelevanter Informationen gewarnt.
-
Unterbrechung des Datenflusses für 30 Tage E-Mail-Benachrichtigung
Diese E-Mail-Warnung wird gesendet, wenn der Datenfluss vom Citrix Analytics Service in Ihre SIEM-Umgebung für mehr als 30 Tage unterbrochen ist. Inzwischen hat der Kunde die sicherheitsrelevanten Daten verloren, und es ist unerlässlich, die Funktionen zur Fehlerbehebung zu nutzen, um den Datenfluss so schnell wie möglich wiederherzustellen.