Integración de Splunk

Integre Citrix Analytics for Security con Splunk para exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Splunk y obtener información más detallada sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Para desarrollar una comprensión completa de la metodología de implementación de Splunk y adoptar las estrategias para una planificación eficaz, consulte la documentación de Arquitectura de Splunk con las aplicaciones de Citrix Analytics alojadas en Splunk.

Integre Citrix Analytics para la seguridad Splunk

Siga las directrices mencionadas para integrar Citrix Analytics for Security con Splunk:

• Exportación de datos. Citrix Analytics for Security crea un canal de Kafka y exporta información sobre riesgos y eventos de orígenes de datos. Splunk recupera esta inteligencia de riesgo del canal.

• Obtenga la configuración de Citrix Analytics. Cree una contraseña para su cuenta predefinida para la autenticación. Citrix Analytics for Security prepara un archivo de configuración necesario para configurar el complemento Citrix Analytics para Splunk.

• Descargue e instale el complemento Citrix Analytics para Splunk. Descargue el complemento Citrix Analytics para Splunk mediante Splunk o Splunk Cloud para completar el proceso de instalación.

• Configure el complemento Citrix Analytics para Splunk. Configure una entrada de datos mediante los detalles de configuración proporcionados por Citrix Analytics for Security y configure el complemento Citrix Analytics para Splunk.

Después de preparar el archivo de configuración de Citrix Analytics, consulte:

• Capacidad de restablecimiento de contraseña
• Activar o desactivar la transmisión de datos

Una vez configurado el complemento de Citrix Analytics para Splunk, consulte:

• Cómo consumir eventos en Splunk Environment
• Cómo configurar la aplicación Citrix Analytics para Splunk

Exportación de datos

1. Ve a Configuración > Exportaciones de datos.

2. En la sección Configuración de la cuenta, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

   

3. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

   

4. Seleccione Configurar.

   Citrix Analytics for Security prepara los detalles de configuración necesarios para la integración de Splunk.

   

5. Seleccione Splunk.

6. Copie los detalles de configuración, que incluyen el nombre de usuario, los hosts, el nombre del tema de Kafka y el nombre del grupo.

   Necesita estos detalles para configurar el complemento de Citrix Analytics para Splunk en los pasos siguientes.

   IMPORTANTE

   Estos detalles son confidenciales y debe guardarlos en un lugar seguro.

   

Para generar datos candidatos para Splunk Integration, active el procesamiento de datos para al menos una fuente de datos o utilice la capacidad de generación de eventos de prueba. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Splunk.

Capacidad de restablecimiento de contraseña

Si quiere restablecer la contraseña de configuración en Citrix Analytics for Security, siga los pasos siguientes:

1. En la página Configuración de la cuenta, haga clic en Restablecer contraseña.

   

2. En la ventana Restablecer contraseña, especifique la contraseña actualizada en los campos NUEVA CONTRASEÑA y CONFIRMAR NUEVA CONTRASEÑA. Siga las reglas de contraseña que se muestran.

   

3. Haga clic en Restablecer. Se ha iniciado la preparación del archivo de configuración.

   

Nota

Después de restablecer la contraseña de configuración, asegúrese de actualizar la nueva contraseña cuando configure la entrada de datos en la página Agregar datosdel entorno Splunk. Ayuda a Citrix Analytics for Security a seguir transmitiendo datos a Splunk.

Activar o desactivar la transmisión de datos

La transmisión de datos para la exportación de datos de Splunk desde Citrix Analytics está activada de forma predeterminada.

Para dejar de transmitir datos de Citrix Analytics for Security:

1. Ve a Configuración > Exportaciones de datos.

2. Apague el botón para desactivar la transmisión de datos.

   

Para habilitar de nuevo la transmisión de datos, active el botón.

Complemento de Citrix Analytics para Splunk

Puede optar por instalar la aplicación complementaria en cualquiera de las siguientes plataformas:

• Splunk Enterprise (Heavy Forwarder)
• Nube de Splunk

Complemento de Citrix Analytics para Splunk (local o empresarial)

Versiones compatibles

Citrix Analytics for Security admite la integración de Splunk en los siguientes sistemas operativos:

• CentOS Linux 7 y versiones posteriores
• Debian GNU/Linux 10.0 y versiones posteriores
• Red Hat Enterprise Linux Server 7.0 y versiones posteriores
• Ubuntu 18.04 LTS y versiones posteriores

Nota

• Citrix recomienda utilizar la versión más reciente de los sistemas operativos anteriores o las versiones que aún reciben soporte de los proveedores respectivos.

• Para los sistemas operativos del núcleo de Linux (64 bits), utilice una versión del núcleo compatible con Splunk. Para obtener más información, consulte la documentación de Splunk.

Puedes configurar nuestra integración con Splunk en la siguiente versión de Splunk: Splunk 8.1 (64 bits) y versiones posteriores.

Requisitos previos

• El complemento Citrix Analytics para Splunk se conecta a los siguientes puntos finales de Citrix Analytics for Security. Asegúrese de que los dispositivos de punto final se encuentren en la lista de permitidos de su red.

  Dispositivo de punto final	Región de los Estados Unidos	Región de la Unión Europea	Región Asia-Pacífico Sur
  Intermediarios de Kafka	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Nota

Intente utilizar los nombres de los extremos, no las direcciones IP. Las direcciones IP públicas de los puntos finales pueden cambiar.

Descargue e instale el complemento Citrix Analytics para Splunk

Puedes elegir instalar el complemento mediante Instalar la aplicación desde un archivo o desde el entorno de Splunk.

Instalar app desde un archivo

1. Vaya a Splunk base.

2. Descargue el complemento Citrix Analytics para el archivo Splunk.

3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

4. Haga clic en Instalar aplicación desde archivo.

5. Localiza el archivo descargado y haga clic en Subir.

   Notas

   • Si tiene una versión anterior del complemento, seleccione Actualizar aplicación para sobrescribirla.

   • Si actualiza Citrix Analytics Add-on for Splunk desde una versión anterior a la 2.0.0, debe eliminar los siguientes archivos y carpetas ubicados en la carpeta /bin de la carpeta de instalación del complemento y reiniciar el entorno de Splunk Forwarder o Splunk Standalone:

     • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
     • rm -rf splunklib
     • rm -rf mac
     • rm -rf linux_x64
     • rm CARoot.pem
     • rm certificate.pem

6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk

1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

2. En la página Examinar más aplicaciones, busque Complemento de Citrix Analytics para Splunk.

3. Haga clic en Instalar junto a la aplicación.

4. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Configurar el complemento Citrix Analytics para Splunk

Configure el complemento Citrix Analytics para Splunk mediante los detalles de configuración proporcionados por Citrix Analytics for Security. Una vez configurado correctamente el complemento, Splunk comienza a consumir eventos de Citrix Analytics for Security.

1. En la página de inicio de Splunk, vaya a Configuración > Entradas de datos.

   

2. En la sección Entradas locales, haga clic en Complemento de Citrix Analytics.

   

3. Haga clic en New.

   

4. En la página Agregar datos, introduzca los detalles proporcionados en el archivo de configuración de Citrix Analytics.

   

5. Para personalizar la configuración predeterminada, haga clic en Más ajustes y configure la entrada de datos. Puede definir su propio índice de Splunk, nombre de host y tipo de fuente.

   

6. Haga clic en Siguiente. La entrada de datos de Citrix Analytics se crea y el complemento Citrix Analytics para Splunk se ha configurado correctamente.

Complemento de Citrix Analytics para Splunk (nube)

Puedes configurar nuestra integración con Splunk en la siguiente versión de Splunk: Splunk 8.1 y versiones posteriores.

Requisitos previos

El complemento Citrix Analytics para Splunk se conecta a las siguientes direcciones IP y puertos de salida para conectarse a Citrix Analytics for Security. Asegúrese de que las siguientes direcciones IP y puertos de salida (según la región de Citrix Cloud) estén en la lista de direcciones permitidas de su red. Para configurar estas direcciones IP y puertos de salida, consulte la sección Agregar direcciones IP y puertos de salida de Citrix Analytics a la lista de permitidos de Splunk Cloud mediante el servicio de configuración de administración (ACS).

Nota:

Estas direcciones IP están sujetas a rotación. Asegúrese de mantener su lista de direcciones IP permitidas actualizada con las IP más recientes, tal como se muestra arriba.

Agregue las direcciones IP y los puertos salientes de Citrix Analytics a la lista de permitidos de Splunk Cloud mediante el Servicio de configuración de administración (ACS)

1. Según la región de Citrix Cloud, compruebe las direcciones IP que deben agregarse a la lista de direcciones permitidas.
2. Habilite el servicio de configuración de administración (ACS) en la plataforma Splunk Cloud.
3. Cree un token para la lista de permitidos mediante una cuenta local con privilegios de administrador.
4. Ejecute los comandos cURL GET y POST para agregar subredes a la lista de permitidos en los puertos respectivos y validar si se agregaron correctamente.
5. Ejecute los comandos cURL GET y POST para agregar los puertos de salida a la lista de permitidos y validarlos si se agregaron correctamente.

Descargue e instale el complemento Citrix Analytics para Splunk

1. Vaya a Aplicaciones > Buscar más aplicaciones > Busque el complemento Citrix Analytics para Splunk.

   

2. Instala la aplicación.
3. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Configurar el complemento Citrix Analytics para Splunk

1. Vaya a Configuración > Entradas de datos > Complemento de Citrix Analytics.

   

2. Agregue la entrada: integración de Splunk

   Citrix Analytics para seguridad. Haga clic en Agregar nuevo.

   

3. Configure la entrada de datos introduciendo los detalles configurados en la página Exportaciones de datos de Citrix Analytics.

   

4. Compruebe si la entrada de datos se ha agregado correctamente.

   

Cómo consumir eventos en su entorno de Splunk

Después de configurar el complemento, Splunk comienza a recuperar información sobre riesgos de Citrix Analytics for Security. Puede comenzar a buscar los eventos de su organización en el cabezal de búsqueda Splunk basado en la entrada de datos configurada.

Los resultados de la búsqueda se muestran en el siguiente formato:

Un ejemplo de salida:

Para buscar y depurar incidencias con el complemento, utilice la siguiente consulta de búsqueda:

Los resultados se muestran en el siguiente formato:

Para obtener más información sobre el formato de datos, consulte Formato de datos de Citrix Analytics para SIEM.

Solución de problemas del complemento Citrix Analytics para Splunk

Si no ve ningún dato en los paneles de Splunk o si encuentra problemas al configurar el complemento Citrix Analytics para Splunk, lleve a cabo los pasos de depuración para solucionar el problema. Para obtener más información, consulte Problemas de configuración con el complemento Citrix Analytics para Splunk.

Nota

Contacte con CAS-PM-Ext@cloud.com para solicitar ayuda para la integración de Splunk, la exportación de datos a Splunk o para enviar comentarios.

Aplicación Citrix Analytics para Splunk

Nota

Esta aplicación está en versión preliminar.

La aplicación Citrix Analytics para Splunk permite a los administradores de Splunk Enterprise ver los datos de usuario recopilados de Citrix Analytics for Security en forma de paneles útiles y útiles en Splunk. Con estos paneles, obtendrá una visión detallada del comportamiento de riesgo de los usuarios en su organización y tomará las medidas oportunas para mitigar cualquier amenaza interna. También puede correlacionar los datos recopilados de Citrix Analytics for Security con otros orígenes de datos configurados en su Splunk. Esta correlación le proporciona visibilidad de las actividades de riesgo de los usuarios desde múltiples fuentes y toma medidas para proteger su entorno de TI.

Versión de Splunk compatible

La aplicación Citrix Analytics para Splunk se ejecuta en las siguientes versiones de Splunk:

• Splunk 9.0 de 64 bits

• Splunk 8.2 de 64 bits

• Splunk 8.1 de 64 bits

Requisitos previos para la aplicación Citrix Analytics para Splunk

• Instale el complemento Citrix Analytics para Splunk.

• Asegúrese de que se cumplen los requisitos previos mencionados para el complemento Citrix Analytics para Splunk.

• Asegúrese de que los datos fluyan de Citrix Analytics for Security a Splunk.

Instalación y configuración

¿Dónde instalar la aplicación?

Cabezal de búsqueda Splunk

¿Cómo instalar y configurar la aplicación?

Puede instalar la aplicación Citrix Analytics para Splunk descargándola de Splunk o instalándola desde Splunk.

Instalar app desde un archivo

1. Vaya a Splunk base.

2. Descargue el archivo de la aplicación Citrix Analytics para Splunk.

3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

4. Haga clic en Instalar aplicación desde archivo.

5. Localiza el archivo descargado y haga clic en Subir.

   Nota

   Si tiene una versión anterior de la aplicación, seleccione Actualizar aplicación para sobrescribirla.

6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk

1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

2. En la página Examinar más aplicaciones, busque la aplicación Citrix Analytics para Splunk.

3. Haga clic en Instalar junto a la aplicación.

Configure el índice y el tipo de origen para correlacionar los datos

1. Después de instalar la aplicación, haga clic en Configurar ahora.

   

2. Introduzca las siguientes consultas:

   • Tipo de índice y origen donde se almacenan los datos de Citrix Analytics for Security.

     Nota

     Estos valores de consulta deben ser los mismos que los especificados en el complemento Citrix Analytics para Splunk. Para obtener más información, consulte Configurar el complemento Citrix Analytics para Splunk.

   • Índice del que quiere correlacionar los datos con Citrix Analytics for Security.

     

3. Haga clic en Finalizar configuración de la aplicación para completar la configuración.

Una vez configurada y configurada la aplicación Citrix Analytics para Splunk, utilice los paneles de control de Citrix Analytics para ver los eventos de usuario en su Splunk.

Para obtener más información sobre la integración de Splunk, consulte los siguientes enlaces:

• Citrix Analytics Integration with Splunk
• The Citrix Analytics app for Splunk, now in Splunkbase