Integración de SIEM mediante conector de datos basado en Kafka o Logstash
La integración con SIEM de Citrix Analytics for Security le permite exportar y correlacionar los datos de los usuarios de Citrix Analytics con su entorno SIEM y obtener información más detallada sobre la postura de seguridad de su organización.
Para obtener más información sobre las ventajas de la integración y el tipo de eventos de datos (información sobre el riesgo y eventos de la fuente de datos) que se envían a su SIEM, consulte Integración de información de seguridad y administración de eventos.
Puede integrar Citrix Analytics for Security con sus soluciones de SIEM mediante los dos mecanismos siguientes (compatibles con su implementación de SIEM y TI):
- Conéctese a través de puntos finales de Kafka
- Conéctese a través del agente de datos Logstash con ingestión basada en Kafka
Requisitos previos
-
Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Security a iniciar la integración con la herramienta SIEM.
-
Asegúrese de que el siguiente punto de enlace esté en la lista de permitidos en su red.
Dispositivo de punto final Región de los Estados Unidos Región de la Unión Europea Región Asia-Pacífico Sur Intermediarios de Kafka casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
Realice la integración con un servicio SIEM mediante Kafka
Kafka es un software de código abierto que se utiliza para la transmisión de datos en tiempo real. Con Kafka, puede analizar los datos en tiempo real para obtener información más rápida. En su mayoría, las grandes organizaciones que manejan datos adecuados utilizan Kafka.
Northbound Kafka es una capa intermedia interna que permite a Citrix Analytics compartir fuentes de datos en tiempo real con los clientes de SIEM a través de puntos de conexión de Kafka. Si su SIEM admite puntos de enlace de Kafka, utilice los parámetros proporcionados en el archivo de configuración de Logstash y los detalles del certificado en el archivo JKS o el archivo PEM para integrar su SIEM con Citrix Analytics for Security.
Se requieren los siguientes parámetros para integrar Kafka:
Nombre de atributo | Descripción | Ejemplo de datos de configuración |
---|---|---|
Nombre de usuario | Nombre de usuario proporcionado por Kafka. | 'sasl.username': cas_siem_user_name, |
Host | Nombre de host del servidor de Kafka al que desea conectarse. | 'bootstrap.servers': cas_siem_host, |
Nombre del tema/ID de cliente | ID de cliente asignada a cada arrendatario. | 'client.id': cas_siem_topic, |
Nombre/ID del grupo | Nombre del grupo que necesita para leer los mensajes compartidos por los consumidores. | 'group.id': cas_siem_group_id, |
Protocolo de seguridad | Nombre del protocolo de seguridad. | 'security.protocol': 'SASL_SSL', |
mecanismos SASL | Mecanismo de autenticación que se utiliza normalmente para el cifrado a fin de implementar una autenticación segura. | 'sasl.mechanisms': 'SCRAM-SHA-256', |
Ubicación de truststore de SSL | Ubicación en la que puede almacenar el archivo de certificado. La contraseña de truststore del cliente es opcional y se espera que quede vacía. | 'ssl.ca.location': ca_location |
Tiempo de espera de la sesión | El tiempo de espera de la sesión utilizado para detectar errores del cliente al usar Kafka. | 'session.timeout.ms': 60000, |
Restablecimiento de compensación automática | Define el comportamiento al consumir datos de una partición de temas cuando no hay ningún desplazamiento inicial. Puede establecer valores como, último, más antiguo o ninguno. | 'auto.offset.reset': 'earliest', |
A continuación se muestra un ejemplo de salida de configuración:
{'bootstrap.servers': cas_siem_host,
'client.id': cas_siem_topic,
'group.id': cas_siem_group_id,
'session.timeout.ms': 60000,
'auto.offset.reset': 'earliest',
'security.protocol': 'SASL_SSL',
'sasl.mechanisms': 'SCRAM-SHA-256',
'sasl.username': cas_siem_user_name,
'sasl.password': self.CLEAR_PASSWORD,
'ssl.ca.location': ca_location
}
<!--NeedCopy-->
Los parámetros antes mencionados están disponibles en el archivo de configuración de Logstash. Para descargar el archivo de configuración, vaya a Configuración > Exportaciones de datos > Entorno SIEM seleccione la ficha Otros > haga clic en Descargar archivo de configuración de Logstash.
Para entender o saber más acerca de los valores de configuración, consulte Configuración.
Flujo de datos
La comunicación de datos de autenticación se produce entre los Brokers del lado del servidor de Kafka (Citrix Analytics for Security cloud) y los clientes de Kafka. Todas las comunicaciones entre intermediarios y clientes externos utilizan el protocolo de seguridad SASL_SSL habilitado y el puerto 9094 de destino para el acceso público.
Apache Kafka tiene un componente de seguridad para cifrar los datos en vuelo mediante el cifrado SSL. La transmisión de datos a través de la red se cifra y se protege cuando se habilita el cifrado y se configuran los certificados SSL. Solo la primera y la última máquina poseen la capacidad de descifrar los paquetes que se envían a través de SSL.
Autenticaciones
Hay dos niveles de autenticación disponibles, como se indica a continuación:
-
TLS/entre el cliente y el servidor.
- Los certificados de servidor (claves públicas) para el intercambio de autenticación TLS entre el cliente y el servidor.
- No se admite la autenticación basada en el cliente ni las autenticaciones bidireccionales (cuando se requieren certificados de clave privada del cliente).
-
Nombre de usuario/contraseña para el control de acceso a los temas/puntos finales
- Garantiza que un cliente específico solo pueda leer un tema específico del cliente
- El SASL/SCRAM se utiliza para el mecanismo de autenticación de nombre de usuario y contraseña junto con el cifrado TLS para implementar la autenticación segura.
Cifrado con SSL y autenticación con SASL/SSL y SASL/PLAINTEXT
De forma predeterminada, Apache Kafka se comunica en formato PLAINTEXT, donde todos los datos se envían sin cifrar y cualquiera de los enrutadores puede leer el contenido de los datos. Apache Kafka tiene un componente de seguridad para cifrar los datos en vuelo mediante el cifrado SSL. Con el cifrado activado y los certificados SSL cuidadosamente configurados, los datos ahora se cifran y se transmiten de forma segura a través de la red. Con el cifrado SSL, solo la primera y la última máquina tienen la capacidad de descifrar el paquete que se envía.
Dado que se utiliza el cifrado SSL bidireccional, el inicio de sesión con nombre de usuario/contraseña es seguro para las comunicaciones externas.
El cifrado solo se realiza durante el vuelo y los datos aún permanecen sin cifrar en el disco del intermediario.
En la configuración del cliente, se requieren el archivo JKS y el archivo PEM del cliente (convertidos del archivo truststore jks). Puede descargar estos archivos desde la GUI de Citrix Analytics for Security, como se muestra en la siguiente captura de pantalla:
Integración de SIEM mediante Logstash
Si su SIEM no admite puntos finales de Kafka, puede utilizar el motor de recopilación de datos Logstash. Puede enviar los eventos de datos desde Citrix Analytics for Security a uno de los complementos de salida compatibles con Logstash.
En la siguiente sección se describen los pasos que debe seguir para integrar su SIEM con Citrix Analytics for Security mediante Logstash.
Integración con un servicio SIEM mediante Logstash
-
Ve a Configuración > Exportaciones de datos.
-
En la página Configuración de la cuenta, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.
-
Asegúrese de que la contraseña cumpla con las siguientes condiciones:
-
Seleccione Configurar para generar el archivo de configuración de Logstash.
-
Seleccione la ficha Otros para descargar los archivos de configuración.
-
Archivo de configuración de Logstash: este archivo contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos desde Citrix Analytics for Security mediante el motor de recopilación de datos Logstash. Para obtener información sobre la estructura de archivos de configuración de Logstash, consulte la documentación de Logstash.
-
Archivo JKS: este archivo contiene los certificados necesarios para la conexión SSL. Este archivo es obligatorio cuando integras su SIEM con Logstash.
-
Archivo PEM: este archivo contiene los certificados necesarios para la conexión SSL. Este archivo es obligatorio al integrar su SIEM con Kafka.
Nota
Estos archivos contienen información confidencial. Manténgalos en un lugar seguro y protegido.
-
-
Configurar Logstash:
-
En su máquina host de Linux o Windows, instale Logstash (versiones probadas de compatibilidad con Citrix Analytics for Security: v7.17.7 y v8.5.3). También puede usar su instancia de Logstash existente.
-
En la máquina host donde ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:
Tipo de máquina host Nombre de archivo Ruta del directorio Linux CAS_Others_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
Para archivos.zip y.tar.gz: {extract.path}/config
kafka.client.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
Para archivos.zip y.tar.gz: {extract.path}/ssl
Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks C:\logstash-7.xx.x\config
-
El archivo de configuración de Logstash contiene información confidencial, como las credenciales de Kafka, los ID de LogAnalytics Workspace y las claves principales. Se recomienda que estas credenciales confidenciales no se almacenen como texto sin formato. Para garantizar la integración, se puede utilizar un almacén de claves de Logstash para agregar claves con sus valores respectivos, a los que, a su vez, se puede hacer referencia mediante los nombres de las claves en el archivo de configuración. Para obtener información adicional sobre el almacén de claves de Logstash y cómo mejora la seguridad de la configuración, consulte el almacén de claves de Secretspara obtener una configuración segura.
-
Abra el archivo de configuración de Logstash y haga lo siguiente:
En la sección de entrada del archivo, introduzca la siguiente información:
-
Contraseña: la contraseña de la cuenta que creó en Citrix Analytics for Security para preparar el archivo de configuración.
-
Ubicación del almacén de confianza SSL: la ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en su máquina host.
En la sección de salida del archivo, introduzca la ruta de destino o los detalles a los que quiere enviar los datos. Para obtener información sobre los plug-ins de salida, consulte la documentación de Logstash.
El siguiente fragmento muestra que la salida se escribe en un archivo de registro local.
-
-
Reinicie su máquina host para enviar los datos procesados de Citrix Analytics for Security a su servicio SIEM.
-
Una vez completada la configuración, inicie sesión en el servicio SIEM y verifique los datos de Citrix Analytics en su SIEM.
Activar o desactivar la transmisión de datos
Después de que Citrix Analytics for Security prepare el archivo de configuración, se activa la transmisión de datos para el SIEM.
Para dejar de transmitir datos de Citrix Analytics for Security:
- Ve a Configuración > Exportaciones de datos.
-
Apague el botón para desactivar la transmisión de datos. De forma predeterminada, la transmisión de datos siempre está habilitada.
Aparece una ventana de advertencia para su confirmación. Haga clic en el botón Desactivar la transmisión de datos para detener la actividad de transmisión.
Para habilitar de nuevo la transmisión de datos, active el botón.
Nota
Contacte con CAS-PM-Ext@cloud.com para solicitar ayuda para la integración de tu SIEM, la exportación de datos a tu SIEM o para enviar comentarios.