Aprovechar el modelo de datos SIEM de Citrix Analytics para el análisis de amenazas y la correlación de datos
En este artículo se explica la relación entre los datos de la entidad que muestran los eventos enviados al entorno SIEM de un cliente. Para aclarar esto, tomemos un ejemplo de un escenario de búsqueda de amenazas en el que los atributos (la IP del cliente y el sistema operativo) son los puntos focales. Se analizarán las siguientes formas de correlacionar dichos atributos con el usuario:
- Uso de información personalizada sobre indicadores de riesgo
- Uso de eventos de fuentes de datos
Splunk es el entorno SIEM elegido para mostrarse en el siguiente ejemplo. También se puede realizar una correlación de datos similar en Sentinel mediante la plantilla de libro de trabajo de Citrix Analytics. Para explorar esto más a fondo, consulte el libro de trabajo de Citrix Analytics para Microsoft Sentinel.
Información sobre indicadores de riesgo personalizados
Como se menciona en el formato de exportación de datos de Citrix Analytics para SIEM, el resumen de los indicadores y los detalles de los eventos forman parte del conjunto de datos de información de riesgo predeterminado. Para el conjunto de datos del indicador Citrix Virtual Apps and Desktops, la IP y el sistema operativo del cliente se exportan de forma predeterminada. Por lo tanto, si un administrador configura un indicador personalizado con o sin la condición que incluya estos campos, dichos puntos de datos fluirán a su entorno de Splunk.
Configuración de un indicador de riesgo personalizado en Citrix Analytics
-
Vaya al panel de control de Citrix Analytics for Security > Indicadores de riesgo personalizados > Crear indicador. Puede crear un indicador de riesgo personalizado con cualquier condición que le ayude a monitorear el comportamiento del usuario. Después de configurar el indicador personalizado, todos los usuarios que activan la condición asociada estarán visibles en su entorno de Splunk.
-
Para ver las ocurrencias de los indicadores de riesgo creados en Citrix Analytics for Security, vaya a Seguridad > Usuarios. Navega hasta la parte inferior de la página y haz clic en el icono con el signo más (+).
Aparece la tarjeta de indicadores de riesgo. Puede ver los detalles del indicador de riesgo, la gravedad y la incidencia.
-
Haz clic en Ver más. Aparece la página de descripción general del indicador de riesgo.
En la página de descripción general del indicador de riesgo, puede ver los detalles del usuario que activó el indicador con una vista cronológica detallada y un resumen del usuario. Para obtener más información sobre el cronograma, consulte Cronología y perfil de riesgo del usuario.
Apariciones de indicadores de riesgo en Splunk: consultas sin procesar
También puede obtener la información sobre la IP y el sistema operativo del cliente mediante el índice y el tipo de fuente que utilizó el administrador de la infraestructura de Splunk al configurar la entrada de datos en el complemento Splunk Enterprise para Citrix Analytics for Security.
-
Ve a Splunk > Nueva búsqueda. En la consulta de búsqueda, introduzca y ejecute la siguiente consulta:
index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>" <!--NeedCopy-->
-
Recoge el indicator_uuid y ejecuta la siguiente consulta:
index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>" <!--NeedCopy-->
El resultado del evento contiene el resumen del evento del indicador y los detalles del evento del indicador (la actividad que desencadena el indicador). El detalle del evento contiene la información del sistema operativo y la IP del cliente (nombre, versión, información adicional).
Para obtener más información sobre el formato de datos, consulte el formato de exportación de datos de Citrix Analytics para SIEM.
Indicadores de riesgo que aparecen en la aplicación Splunk - Dashboarding
Consulte los siguientes artículos para obtener instrucciones sobre cómo instalar la aplicación Citrix Analytics para Splunk:
-
Haga clic en la pestaña Citrix Analytics — Panel de control y seleccione la opción Detalles del indicador de riesgo en la lista desplegable.
-
Filtre el contenido de la lista desplegable de forma adecuada y haga clic en Enviar.
-
Haga clic en la instancia de usuario para obtener los detalles.
-
Puede ver la información sobre la IP y el sistema operativodel cliente (nombre, versión, información adicional) en la parte inferior de esta página:
Eventos de fuentes de datos
Otro método para obtener la IP del cliente y los detalles del sistema operativo en su entorno de Splunk consiste en configurar los eventos de la fuente de datos para su exportación. Esta función permite que los eventos presentes en la vista de búsqueda automática fluyan directamente a su entorno de Splunk. Para obtener más información sobre cómo configurar los tipos de eventos para que las Virtual Apps and Desktops se exporten a SIEM, consulte los siguientes artículos:
- Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM.
- Eventos de fuentes de datos
-
Vaya al panel de control de Citrix Analytic for Security > Buscar. En esta página de búsqueda automática, están disponibles todos los tipos de eventos y su información relacionada. Puede ver el tipo de evento Session.Logon como ejemplo en la siguiente captura de pantalla:
-
Configura Session.Logon en los eventos de la fuente de datos para exportarlos y pulsa Guardar para que fluya a tu entorno de Splunk.
-
Ve a Splunk y, a continuación, introduce y ejecuta la siguiente consulta:
index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon" AND "<user you’re interested in>" <!--NeedCopy-->Los campos relacionados con la IP y el sistema operativo del cliente están resaltados.
