Citrix Analytics for Security

Integración de Splunk

Integre Citrix Analytics for Security con Splunk para exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Splunk y obtener información más detallada sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su SIEM, consulte Integración de la información de seguridad y la gestión de eventos.

Para desarrollar una comprensión completa de la metodología de implementación de Splunk y adoptar las estrategias para una planificación eficaz, consulte la documentación de Arquitectura de Splunk con las aplicaciones de Citrix Analytics alojadas en Splunk.

Integre Citrix Analytics para la seguridad Splunk

Siga las directrices mencionadas para integrar Citrix Analytics for Security con Splunk:

  • Exportación de datos. Citrix Analytics for Security crea un canal de Kafka y exporta información sobre riesgos y eventos de orígenes de datos. Splunk recupera esta inteligencia de riesgo del canal.

  • Obtenga la configuración de Citrix Analytics. Cree una contraseña para su cuenta predefinida para la autenticación. Citrix Analytics for Security prepara un archivo de configuración necesario para configurar el complemento Citrix Analytics para Splunk.

  • Descargue e instale el complemento Citrix Analytics para Splunk. Descargue el complemento Citrix Analytics para Splunk mediante Splunk o Splunk Cloud para completar el proceso de instalación.

  • Configure el complemento Citrix Analytics para Splunk. Configure una entrada de datos mediante los detalles de configuración proporcionados por Citrix Analytics for Security y configure el complemento Citrix Analytics para Splunk.

Después de preparar el archivo de configuración de Citrix Analytics, consulte:

Una vez configurado el complemento de Citrix Analytics para Splunk, consulte:

Exportación de datos

  1. Ve a Configuración > Exportaciones de datos.

  2. En la sección Configuración de la cuenta, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Exportación de datos SIEM

  3. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas SIEM

  4. Seleccione Configurar.

    Citrix Analytics for Security prepara los detalles de configuración necesarios para la integración de Splunk.

    Configurar SIEM

  5. Seleccione Splunk.

  6. Copie los detalles de configuración, que incluyen el nombre de usuario, los hosts, el nombre del tema de Kafka y el nombre del grupo.

    Necesita estos detalles para configurar el complemento de Citrix Analytics para Splunk en los pasos siguientes.

    IMPORTANTE

    Estos detalles son confidenciales y debe guardarlos en un lugar seguro.

    Detalles de configuración

Para generar datos candidatos para Splunk Integration, active el procesamiento de datos para al menos una fuente de datos o utilice la capacidad de generación de eventos de prueba. Ayuda a Citrix Analytics for Security a iniciar el proceso de integración de Splunk.

Capacidad de restablecimiento de contraseña

Si quiere restablecer la contraseña de configuración en Citrix Analytics for Security, siga los pasos siguientes:

  1. En la página Configuración de la cuenta, haga clic en Restablecer contraseña.

    Restablecer contraseña de SIEM

  2. En la ventana Restablecer contraseña, especifique la contraseña actualizada en los campos NUEVA CONTRASEÑA y CONFIRMAR NUEVA CONTRASEÑA. Siga las reglas de contraseña que se muestran.

    Requisitos para contraseñas SIEM

  3. Haga clic en Restablecer. Se ha iniciado la preparación del archivo de configuración.

    Restablecer contraseña de SIEM

Nota

Después de restablecer la contraseña de configuración, asegúrese de actualizar la nueva contraseña cuando configure la entrada de datos en la página Agregar datosdel entorno Splunk. Ayuda a Citrix Analytics for Security a seguir transmitiendo datos a Splunk.

Activar o desactivar la transmisión de datos

La transmisión de datos para la exportación de datos de Splunk desde Citrix Analytics está activada de forma predeterminada.

Para dejar de transmitir datos de Citrix Analytics for Security:

  1. Ve a Configuración > Exportaciones de datos.

  2. Apague el botón para desactivar la transmisión de datos.

    Las transmisiones SIEM se apagan

Para habilitar de nuevo la transmisión de datos, active el botón.

Complemento de Citrix Analytics para Splunk

Puede optar por instalar la aplicación complementaria en cualquiera de las siguientes plataformas:

Complemento de Citrix Analytics para Splunk (local o empresarial)

Versiones compatibles

Citrix Analytics for Security admite la integración de Splunk en los siguientes sistemas operativos:

  • CentOS Linux 7 y versiones posteriores
  • Debian GNU/Linux 10.0 y versiones posteriores
  • Red Hat Enterprise Linux Server 7.0 y versiones posteriores
  • Ubuntu 18.04 LTS y versiones posteriores

Nota

  • Citrix recomienda utilizar la versión más reciente de los sistemas operativos anteriores o las versiones que aún reciben soporte de los proveedores respectivos.

  • Para los sistemas operativos del núcleo de Linux (64 bits), utilice una versión del núcleo compatible con Splunk. Para obtener más información, consulte la documentación de Splunk.

Puedes configurar nuestra integración con Splunk en la siguiente versión de Splunk: Splunk 8.1 (64 bits) y versiones posteriores.

Requisitos previos

  • El complemento Citrix Analytics para Splunk se conecta a los siguientes puntos finales de Citrix Analytics for Security. Asegúrese de que los dispositivos de punto final se encuentren en la lista de permitidos de su red.

    Dispositivo de punto final Región de los Estados Unidos Región de la Unión Europea Región Asia-Pacífico Sur
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Nota

Intente utilizar los nombres de los extremos, no las direcciones IP. Las direcciones IP públicas de los puntos finales pueden cambiar.

Descargue e instale el complemento Citrix Analytics para Splunk

Puedes elegir instalar el complemento mediante Instalar la aplicación desde un archivo o desde el entorno de Splunk.

Instalar app desde un archivo

  1. Vaya a Splunk base.

  2. Descargue el complemento Citrix Analytics para el archivo Splunk.

  3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

  4. Haga clic en Instalar aplicación desde archivo.

  5. Localiza el archivo descargado y haga clic en Subir.

    Notas

    • Si tiene una versión anterior del complemento, seleccione Actualizar aplicación para sobrescribirla.

    • Si actualiza Citrix Analytics Add-on for Splunk desde una versión anterior a la 2.0.0, debe eliminar los siguientes archivos y carpetas ubicados en la carpeta /bin de la carpeta de instalación del complemento y reiniciar el entorno de Splunk Forwarder o Splunk Standalone:

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk

  1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

  2. En la página Examinar más aplicaciones, busque Complemento de Citrix Analytics para Splunk.

  3. Haga clic en Instalar junto a la aplicación.

  4. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Configurar el complemento Citrix Analytics para Splunk

Configure el complemento Citrix Analytics para Splunk mediante los detalles de configuración proporcionados por Citrix Analytics for Security. Una vez configurado correctamente el complemento, Splunk comienza a consumir eventos de Citrix Analytics for Security.

  1. En la página de inicio de Splunk, vaya a Configuración > Entradas de datos.

    Configuración de Splunk

  2. En la sección Entradas locales, haga clic en Complemento de Citrix Analytics.

    Configuración de Splunk

  3. Haga clic en New.

    Configuración de Splunk

  4. En la página Agregar datos, introduzca los detalles proporcionados en el archivo de configuración de Citrix Analytics.

    Configuración de Splunk

  5. Para personalizar la configuración predeterminada, haga clic en Más ajustes y configure la entrada de datos. Puede definir su propio índice de Splunk, nombre de host y tipo de fuente.

    Configuración de Splunk

  6. Haga clic en Siguiente. La entrada de datos de Citrix Analytics se crea y el complemento Citrix Analytics para Splunk se ha configurado correctamente.

Complemento de Citrix Analytics para Splunk (nube)

Puedes configurar nuestra integración con Splunk en la siguiente versión de Splunk: Splunk 8.1 y versiones posteriores.

Requisitos previos

El complemento Citrix Analytics para Splunk se conecta a las siguientes direcciones IP y puertos de salida para conectarse a Citrix Analytics for Security. Asegúrese de que las siguientes direcciones IP y puertos de salida (según la región de Citrix Cloud) estén en la lista de direcciones permitidas de su red. Para configurar estas direcciones IP y puertos de salida, consulte la sección Agregar direcciones IP y puertos de salida de Citrix Analytics a la lista de permitidos de Splunk Cloud mediante el servicio de configuración de administración (ACS).

Región de los Estados Unidos IP Puerto de salida Región de la Unión Europea IP Puerto de salida Región Asia-Pacífico Sur IP Puerto de salida
casnb-0 citrix.com 20.242.21.84 9094 casnb-eu-0 citrix.com 20.229.150.41 9094 casnb-aps-0 citrix.com 20.211.0.214 9094
casnb-1.citrix.com 20.98.232.61 9094 casnb-eu-1.citrix.com 20.107.97.59 9094 casnb-aps-1 citrix.com 20.211.38.102 9094
casnb-2.citrix.com 20.242.21.108 9094 casnb-eu-2.citrix.com 51.124.223.162 9094 casnb-aps-2 citrix.com 20.211.36.180 9094
casnb-3.citrix.com 20.242.57.140 9094            

Nota:

Estas direcciones IP están sujetas a rotación. Asegúrese de mantener su lista de direcciones IP permitidas actualizada con las IP más recientes, tal como se muestra arriba.

Agregue las direcciones IP y los puertos salientes de Citrix Analytics a la lista de permitidos de Splunk Cloud mediante el Servicio de configuración de administración (ACS)

  1. Según la región de Citrix Cloud, compruebe las direcciones IP que deben agregarse a la lista de direcciones permitidas.
  2. Habilite el servicio de configuración de administración (ACS) en la plataforma Splunk Cloud.
  3. Cree un token para la lista de permitidos mediante una cuenta local con privilegios de administrador.
  4. Ejecute los comandos cURL GET y POST para agregar subredes a la lista de permitidos en los puertos respectivos y validar si se agregaron correctamente.
  5. Ejecute los comandos cURL GET y POST para agregar los puertos de salida a la lista de permitidos y validarlos si se agregaron correctamente.

Descargue e instale el complemento Citrix Analytics para Splunk

  1. Vaya a Aplicaciones > Buscar más aplicaciones > Busque el complemento Citrix Analytics para Splunk.

    Complemento para Splunk

  2. Instala la aplicación.
  3. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Configurar el complemento Citrix Analytics para Splunk

  1. Vaya a Configuración > Entradas de datos > Complemento de Citrix Analytics.

    Complemento de Citrix Analytics

  2. Agregue la entrada: integración de Splunk Citrix Analytics para seguridad. Haga clic en Agregar nuevo.

    Entrada de integración de Splunk

  3. Configure la entrada de datos introduciendo los detalles configurados en la página Exportaciones de datos de Citrix Analytics.

    Detalles de entrada de datos de Splunk

  4. Compruebe si la entrada de datos se ha agregado correctamente.

    La entrada de datos de Splunk se agregó correctamente

Cómo consumir eventos en su entorno de Splunk

Después de configurar el complemento, Splunk comienza a recuperar información sobre riesgos de Citrix Analytics for Security. Puede comenzar a buscar los eventos de su organización en el cabezal de búsqueda Splunk basado en la entrada de datos configurada.

Los resultados de la búsqueda se muestran en el siguiente formato:

Formato de eventos de consumo

Un ejemplo de salida:

Ejemplo de salida de eventos de consumo

Para buscar y depurar incidencias con el complemento, utilice la siguiente consulta de búsqueda:

Consulta de búsqueda de eventos de consumo

Los resultados se muestran en el siguiente formato:

Resultado de búsqueda de eventos de consumo

Para obtener más información sobre el formato de datos, consulte Formato de datos de Citrix Analytics para SIEM.

Solución de problemas del complemento Citrix Analytics para Splunk

Si no ve ningún dato en los paneles de Splunk o si encuentra problemas al configurar el complemento Citrix Analytics para Splunk, lleve a cabo los pasos de depuración para solucionar el problema. Para obtener más información, consulte Problemas de configuración con el complemento Citrix Analytics para Splunk.

Nota

Contacte con CAS-PM-Ext@cloud.com para solicitar ayuda para la integración de Splunk, la exportación de datos a Splunk o para enviar comentarios.

Aplicación Citrix Analytics para Splunk

Nota

Esta aplicación está en versión preliminar.

La aplicación Citrix Analytics para Splunk permite a los administradores de Splunk Enterprise ver los datos de usuario recopilados de Citrix Analytics for Security en forma de paneles útiles y útiles en Splunk. Con estos paneles, obtendrá una visión detallada del comportamiento de riesgo de los usuarios en su organización y tomará las medidas oportunas para mitigar cualquier amenaza interna. También puede correlacionar los datos recopilados de Citrix Analytics for Security con otros orígenes de datos configurados en su Splunk. Esta correlación le proporciona visibilidad de las actividades de riesgo de los usuarios desde múltiples fuentes y toma medidas para proteger su entorno de TI.

Versión de Splunk compatible

La aplicación Citrix Analytics para Splunk se ejecuta en las siguientes versiones de Splunk:

  • Splunk 9.0 de 64 bits

  • Splunk 8.2 de 64 bits

  • Splunk 8.1 de 64 bits

Requisitos previos para la aplicación Citrix Analytics para Splunk

  • Instale el complemento Citrix Analytics para Splunk.

  • Asegúrese de que se cumplen los requisitos previos mencionados para el complemento Citrix Analytics para Splunk.

  • Asegúrese de que los datos fluyan de Citrix Analytics for Security a Splunk.

Instalación y configuración

¿Dónde instalar la aplicación?

Cabezal de búsqueda Splunk

¿Cómo instalar y configurar la aplicación?

Puede instalar la aplicación Citrix Analytics para Splunk descargándola de Splunk o instalándola desde Splunk.

Instalar app desde un archivo
  1. Vaya a Splunk base.

  2. Descargue el archivo de la aplicación Citrix Analytics para Splunk.

  3. En la página principal de Splunk Web, haga clic en el icono de engranaje situado junto a Aplicaciones.

  4. Haga clic en Instalar aplicación desde archivo.

  5. Localiza el archivo descargado y haga clic en Subir.

    Nota

    Si tiene una versión anterior de la aplicación, seleccione Actualizar aplicación para sobrescribirla.

  6. Compruebe que la aplicación aparezca en la lista Aplicaciones.

Instala la aplicación desde Splunk
  1. En la página de inicio de Splunk Web, haga clic en +Buscar más aplicaciones.

  2. En la página Examinar más aplicaciones, busque la aplicación Citrix Analytics para Splunk.

  3. Haga clic en Instalar junto a la aplicación.

Configure el índice y el tipo de origen para correlacionar los datos
  1. Después de instalar la aplicación, haga clic en Configurar ahora.

    Configurar app

  2. Introduzca las siguientes consultas:

    • Tipo de índice y origen donde se almacenan los datos de Citrix Analytics for Security.

      Nota

      Estos valores de consulta deben ser los mismos que los especificados en el complemento Citrix Analytics para Splunk. Para obtener más información, consulte Configurar el complemento Citrix Analytics para Splunk.

    • Índice del que quiere correlacionar los datos con Citrix Analytics for Security.

      Fuente e índice

  3. Haga clic en Finalizar configuración de la aplicación para completar la configuración.

Una vez configurada y configurada la aplicación Citrix Analytics para Splunk, utilice los paneles de control de Citrix Analytics para ver los eventos de usuario en su Splunk.

Para obtener más información sobre la integración de Splunk, consulte los siguientes enlaces: