Citrix Analytics für Sicherheit

Anleitung zur Fehlerbehebung für die Sentinel-Integration über Logstash

In diesem Artikel finden Sie Hinweise zur Behebung eines Problems, das bei der Integration von Microsoft Sentinel mit Citrix Analytics mithilfe von Logstash auftreten kann. Weitere Informationen dazu finden Sie unter SIEM-Integration mithilfe eines Kafka- oder Logstash-basiertenDatenkonnektors.

Überprüfen Sie die Logstash-Serverprotokolle

Sie können anhand der Logstash-Serverprotokolle, die in Ihrem Terminalfenster angezeigt werden, überprüfen, ob die Daten korrekt in die benutzerdefinierten Protokolltabellen in Ihrem Sentinel-Workspace aufgenommen wurden.

  1. Um die Protokolldetails einzusehen, müssen Sie die Logstash-Konfigurationsdatei unter Einstellungen > Datenexporte Konfiguration herunterladen > und SIEM-Umgebung erweitern. Klicken Sie unter Azure Sentinel (Vorschau)auf Logstash-Konfigurationsdatei herunterladen.

  2. Sobald Sie den Logstash-Server mithilfe der Konfigurationsdatei gestartet haben, können Sie im selben Terminalfenster nach den folgenden Protokollen Ausschau halten, die auf eine erfolgreiche Verbindung mit dem von Microsoft Azure gehosteten Log Analytics-Workspace hinweisen.

    Problembehandlung bei Datenexporten

Häufiger Fehler: Verwendung des gebündelten JDK

Beim Versuch, das Microsoft Log Analytics-Plug-In zu installieren, wird ein häufig gemeldeter Fehler wie folgt gemeldet:

Microsoft-Loganalyse-Plug-In

Danach wird beim Versuch, den Logstash-Server auszuführen, möglicherweise der folgende Fehler angezeigt:

Logstash-Serverfehler

Um dieses Problem zu lösen, setzen Sie JAVA_HOME auf das gebündelte JDK:

  1. Gehe zu Windows-Umgebungsvariablen
  2. Erstellen Sie eine neue Systemvariable mit dem Namen “JAVA_HOME”
  3. < path_to_logstash >Fügen Sie den Pfad zum gebündelten Logstash-JDK hinzu (/LogStash-x.x.x/JDK)

Nachdem Sie die obigen Schritte ausgeführt haben und erneut versuchen, das Plug-in zu installieren, wird der folgende Bildschirm angezeigt:

Jdk-Datei

Wenn Sie LS_JAVA_HOME verwenden (da JAVA_HOME veraltet ist), müssen Sie auch den Speicherort des gebündelten JDK in der Systemvariablen PATH angeben, und dieser Pfad muss auf den Ordner jdk\ bin zeigen (im Gegensatz zur Variablen LS_JAVA_HOME ):

Jdk-Datei

Wenn Sie LS_JAVA_HOME verwenden (da JAVA_HOME veraltet ist), müssen Sie auch den Speicherort des gebündelten JDK in der Systemvariablen PATH angeben, und dieser Pfad muss auf den Ordner jdk\ bin zeigen (im Gegensatz zur Variablen LS_JAVA_HOME ):

Ort-Pfad

Überprüfen Sie die Microsoft Sentinel-Arbeitsmappe

Um zu überprüfen, ob von Citrix Analytics gesendete Daten erfolgreich in die entsprechende benutzerdefinierte Protokolltabelle im Log Analytics Workspace eingegeben wurden (Weitere Informationen zur Integration von Microsoft Sentinel mit Citrix Analytics finden Sie unter Microsoft Sentinel-Integration):

  1. Navigieren Sie zum Azure-Portal > Microsoft Sentinel. Wählen Sie den gewünschten_Workspace > Datenconnectors. Wählen Sie Citrix Security Analytics aus und klicken Sie darauf.
  2. Überprüfen Sie in der oberen Leiste den Verbindungsstatus.

    Konnektivitäts

  3. Unter den Arbeitsmappen können Sie intuitive Filter verwenden, um die Daten weiter aufzuschlüsseln und die Informationen zu den Risikoindikatoren abzurufen. Um die Informationen abzurufen, navigieren Sie zum Azure-Portal > Microsoft Sentinel > Data Connectors > CITRIX SECURITY ANALYTICS > Workbooks.

    Arbeitsmappen

Überprüfen Sie die Log Analytics-Workspace-Protokolle mithilfe von KQL

Sie können auch überprüfen, ob die richtigen Daten in Ihren LogAnalytics-Workspace gelangt sind, indem Sie KQL-Abfragen in den entsprechenden benutzerdefinierten Protokolltabellen ausführen.

  1. Navigieren Sie zum Azure-Portal > Log Analytics-Workspaces und suchen Sie nach dem richtigen Workspace.

  2. Wählen Sie im linken Bereich Protokolle aus und suchen Sie auf der Registerkarte Tabellen nach der benutzerdefinierten Protokollanalysetabelle.

  3. Wählen Sie die benutzerdefinierte Protokollanalysetabelle aus und klicken Sie auf Im Editor verwenden. (Anleitungen zu KQL-Abfragen im Log Analytics-Workspace finden Sie im Log Analytics-Tutorial).

  4. Klicken Sie auf Ausführen.

    Im Editor verwenden

Anleitung zur Fehlerbehebung für die Sentinel-Integration über Logstash