Integración de la gestión de eventos e información de seguridad (SIEM)
Nota
Contacto CAS-PM-Ext@cloud.com para solicitar asistencia para la integración de SIEM, la exportación de datos a SIEM y proporcionar comentarios.
Integre Citrix Analytics for Security con sus servicios SIEM y exporte los datos de los usuarios desde el entorno de TI de Citrix a su SIEM. Correlacione los datos exportados con los datos disponibles en su SIEM para obtener información más detallada sobre la postura de seguridad de su organización.
Esta integración mejora el valor tanto de Citrix Analytics for Security como de SIEM.
Ventajas
-
Permite a sus equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares.
-
Ayuda a sus equipos de operaciones de seguridad a identificar y remediar rápidamente los riesgos de seguridad.
-
Visibilidad de las alertas de seguridad en un lugar centralizado.
-
Enfoque centralizado para detectar posibles amenazas de seguridad para las capacidades de análisis de riesgos de la organización, como indicadores de riesgo, perfiles de usuario y puntuaciones de riesgo.
-
Capacidad para combinar y correlacionar la información de inteligencia de riesgos de Citrix Analytics de una cuenta de usuario con las fuentes de datos externas conectadas dentro de su SIEM.
Arquitectura de integración SIEM
Su integración SIEM se conecta con el Kafka en dirección norte implementado en la nube de Citrix Analytics for Security. Esto se puede lograr de las dos maneras siguientes:
-
Puntos de conexión de Kafka: Si su SIEM es compatible con los endpoints de Kafka, utilice los parámetros proporcionados en el archivo de configuración de Logstash y los detalles del certificado en el archivo JKS o el archivo PEM para integrar su SIEM con Citrix Analytics for Security. Con los puntos de conexión de Kafka, puede conectar y extraer los datos al SIEM de su elección.
-
Motor Logstash: Si su SIEM no es compatible con los puntos finales de Kafka, puede utilizar el motor de recopilación de datos de Logstash. Puede enviar los datos de información sobre riesgos de Citrix Analytics for Security a uno de los Plug-ins de salida que son compatibles con Logstash.
Consulte el siguiente diagrama de arquitectura de la solución SIEM para comprender cómo fluyen los datos de Citrix Analytics for Security a su servicio SIEM:
Activar o desactivar la transmisión de datos
Para detener la transmisión de datos desde Citrix Analytics for Security:
-
Vete a Configuración > Exportación de datos.
-
Apague el botón de alternancia para deshabilitar el transmisión de datos.
Nota De forma predeterminada, la transmisión de datos siempre está activada/habilitada para SIEM.
![Transmisión de datos activada](/en-us/citrix-analytics/media/data-transmission-turnedon.png)
Para volver a habilitar la transmisión de datos, active el botón de alternancia.
Configuración del entorno SIEM
Para exportar datos a SIEM, debe realizar las siguientes acciones:
- Configura tu cuenta de Kafka y tus credenciales de autenticación
- Descargue la configuración rellenada previamente y configure el entorno SIEM
- Eventos de datos para exportación
Configuración de la cuenta de exportación de SIEM
-
Para configurar su cuenta, vaya a Configuración > Exportación de datos > expandir Configuración de la cuenta. Cree una cuenta especificando el nombre de usuario y la contraseña. Una vez que configures tu cuenta, se generarán tus datos de Kafka. Estos detalles se incrustan automáticamente al generar el archivo de configuración.
-
Clic Configurar para generar el archivo de configuración. El archivo de configuración contiene detalles como los puntos de conexión de Kafka, los temas de suscripción específicos y los ID de grupo. Además, preconfigura los atributos Kafka y SSL que son necesarios para completar la autenticación y el flujo de datos.
Configuración de SIEM y configuración del entorno
Elija el entorno SIEM según sea necesario. Puede integrar Citrix Analytics for Security con los siguientes servicios. Consulte los siguientes enlaces para obtener información detallada y configuraciones específicas de SIEM:
Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM
Como parte de las exportaciones de SIEM, hay dos tipos de conjuntos de datos:
-
Eventos de información de riesgos (exportaciones predeterminadas) - Una vez que haya completado la configuración de la cuenta y la configuración de SIEM, los datos predeterminados (eventos de información de riesgos) comienzan a fluir a su implementación de SIEM. Los datos de información de riesgo contienen la puntuación de riesgo del usuario, el perfil del usuario y las alertas de indicadores de riesgo. Estos son generados por el algoritmo de aprendizaje automático de Citrix Analytics, el análisis del comportamiento del usuario y se basan en eventos de usuario. Para obtener información sobre los tipos de eventos, los metadatos y el esquema disponibles, consulte Datos de información de riesgos para SIEM.
-
Eventos de origen de datos (exportaciones opcionales) - Además, puede configurar la función Exportaciones de datos para exportar eventos de usuario desde sus orígenes de datos de productos habilitados para Citrix Analytics for Security. Al realizar cualquier actividad en el entorno Citrix, se generan los eventos de la fuente de datos. Los eventos exportados son datos de uso de usuarios y productos en tiempo real sin procesar, tal y como están disponibles en la vista de autoservicio. Los metadatos contenidos en estos eventos se pueden utilizar aún más para un análisis más profundo de las amenazas, la creación de nuevos paneles de control y la relación conjunta con otros eventos de origen de datos que no son de Citrix en su infraestructura de seguridad y TI.
Actualmente, Citrix Analytics for Security envía eventos de usuario a su SIEM para estos orígenes de datos: Citrix Virtual Apps and Desktops, Secure Private Access y Device Posture service.
Para obtener información sobre los tipos de eventos, los metadatos y el esquema disponibles, consulte Eventos de origen de datos.
Nota
A los clientes que utilizan un agente de datos de Logstash, se recomienda que se descargue el archivo de configuración más reciente de Citrix Analytics para la seguridad y actualizado sobre la implementación del servicio Logstash. Esto garantiza que se creen las tablas de eventos de origen de datos correctas y que los eventos estén ahora disponibles en los índices SIEM.
Solución de problemas de integración de SIEM
La vista Exportaciones de datos para seguridad incluye un Resumen para ayudar a los administradores a solucionar problemas de su integración de SIEM con Citrix Analytics. El Resumen El panel proporciona visibilidad sobre el estado y el flujo de datos al guiarlos a través de los puntos de control que ayudan en el proceso de solución de problemas.
Para obtener más información sobre esta capacidad, consulte Solución de problemas de exportación de datos.
En este artículo
- Ventajas
- Arquitectura de integración SIEM
- Activar o desactivar la transmisión de datos
- Configuración del entorno SIEM
- Configuración de la cuenta de exportación de SIEM
- Configuración de SIEM y configuración del entorno
- Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM
- Solución de problemas de integración de SIEM