Documentation produit
Citrix Analytics for Security
Voir PDF

Intégration de la gestion des informations et des événements de sécurité (SIEM)

October 14, 2024
Contributeur: 
C C

<none>

Contact CAS-PM-Ext@cloud.com pour demander de l’aide pour l’intégration SIEM, l’exportation de données vers SIEM et fournir des commentaires.

Intégrez Citrix Analytics for Security à vos services SIEM et exportez les données des utilisateurs de l’environnement informatique Citrix vers votre SIEM. Corrélez les données exportées avec les données disponibles dans votre SIEM pour obtenir des informations plus approfondies sur la posture de sécurité de votre organisation.

Cette intégration renforce la valeur de votre Citrix Analytics for Security et de votre SIEM.

Avantages

  • Permet à vos équipes d’opérations de sécurité de corréler, d’analyser et de rechercher des données à partir de journaux disparates.

  • Aide vos équipes d’opérations de sécurité à identifier et à remédier rapidement aux risques de sécurité.

  • Visibilité des alertes de sécurité dans un endroit centralisé.

  • Approche centralisée de détection des menaces de sécurité potentielles pour les fonctionnalités d’analyse des risques organisationnels telles que les indicateurs de risque, les profils d’utilisateurs et les scores de risque.

  • Possibilité de combiner et de corréler les informations de renseignement sur les risques Citrix Analytics d’un compte utilisateur avec les sources de données externes connectées au sein de votre SIEM.

Architecture d’intégration SIEM

Votre intégration SIEM se connecte au Kafka vers le nord déployé sur Citrix Analytics for Security Cloud. Cela peut se faire de deux manières :

  • Points d’extrémité Kafka: si votre SIEM prend en charge les points de terminaison Kafka, utilisez les paramètres fournis dans le fichier de configuration Logstash et les détails du certificat dans le fichier JKS ou le fichier PEM pour intégrer votre SIEM à Citrix Analytics for Security. À l’aide des points de terminaison Kafka, vous pouvez connecter et extraire les données vers le SIEM de votre choix.

  • Moteur Logstash: Si votre SIEM ne prend pas en charge les points de terminaison Kafka, vous pouvez utiliser le moteur de collecte de données Logstash. Vous pouvez envoyer les données d’informations sur les risques de Citrix Analytics for Security à l’un des Plug-ins de sortie qui sont pris en charge par Logstash.

Reportez-vous au diagramme d’architecture de la solution SIEM suivant pour comprendre comment les données circulent de Citrix Analytics for Security vers votre service SIEM :

Architecture de la solution SIEM

Activer ou désactiver la transmission de données

Pour arrêter la transmission de données à partir de Citrix Analytics for Security :

  1. Atteindre Paramètres > Exportations de données.

  2. Désactivez le bouton bascule pour désactiver le transmission de données.

Remarque Par défaut, la transmission des données est toujours activée/activée pour SIEM.

![Transmission de données activée](/en-us/citrix-analytics/media/data-transmission-turnedon.png)

Pour réactiver la transmission de données, activez le bouton bascule.

Configuration de l’environnement SIEM

Pour exporter des données vers SIEM, vous devez effectuer les actions suivantes :

  • Configurer votre compte Kafka et vos identifiants d’authentification
  • Téléchargez la configuration préremplie et configurez l’environnement SIEM
  • Événements de données pour l’exportation

Configuration du compte d’exportation SIEM

  1. Pour configurer votre compte, accédez à Paramètres > Exportations de données > expand Configuration du compte. Créez un compte en spécifiant le nom d’utilisateur et le mot de passe. Une fois que vous avez configuré votre compte, vos détails Kafka sont générés. Ces détails sont automatiquement intégrés lors de la génération du fichier de configuration.

    Configuration du compte

  2. Cliquer Configurer pour générer le fichier de configuration. Le fichier de configuration contient des détails tels que les points de terminaison Kafka, vos rubriques d’abonnement spécifiques et les ID de groupe. En outre, il préconfigure les attributs Kafka et SSL qui sont nécessaires pour effectuer l’authentification et le flux de données.

Configuration SIEM et configuration de l’environnement

Choisissez l’environnement SIEM selon vos besoins. Vous pouvez intégrer Citrix Analytics for Security aux services suivants. Reportez-vous aux liens suivants pour obtenir des informations détaillées et des configurations spécifiques au SIEM :

Environnement SIEM

Événements de données exportés de Citrix Analytics for Security vers votre service SIEM

Dans le cadre des exportations SIEM, il existe deux types de jeux de données :

  1. Événements d’informations sur les risques (exportations par défaut) – Une fois que vous avez terminé la configuration du compte et la configuration SIEM, les données par défaut (événements d’informations sur les risques) commencent à circuler vers votre déploiement SIEM. Les données Risk Insights contiennent le score de risque de l’utilisateur, le profil de l’utilisateur et les alertes d’indicateur de risque. Ceux-ci sont générés par l’algorithme d’apprentissage automatique Citrix Analytics, l’analyse du comportement des utilisateurs et basés sur les événements de l’utilisateur. Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, consultez Données d’analyse des risques pour le SIEM.

  2. Événements de source de données (exportations facultatives) - En outre, vous pouvez configurer la fonctionnalité Exportations de données pour exporter les événements utilisateur à partir de vos sources de données de produits Citrix Analytics for Security. Lorsque vous effectuez une activité dans l’environnement Citrix, les événements de la source de données sont générés. Les événements exportés sont des données d’utilisation des utilisateurs et des produits en temps réel non traitées, telles qu’elles sont disponibles dans la vue en libre-service. Les métadonnées contenues dans ces événements peuvent être utilisées pour une analyse plus approfondie des menaces, la création de nouveaux tableaux de bord et la co-relation avec d’autres événements de source de données non Citrix dans votre infrastructure de sécurité et informatique.

    Actuellement, Citrix Analytics for Security envoie des événements utilisateur à votre SIEM pour les sources de données suivantes : Citrix Virtual Apps and Desktops, Secure Private Access et Device Posture service.

    Pour plus d’informations sur les types d’événements, les métadonnées et le schéma disponibles, consultez Événements de source de données.

    <none>

    Pour les clients qui utilisent un courtier en données Logstash, il est recommandé de télécharger le dernier fichier de configuration à partir de Citrix Analytics pour la sécurité et mis à jour sur le déploiement du service Logstash. Cela permet de s’assurer que les tables d’événements de source de données correctes sont créées et que les événements sont désormais disponibles dans les index SIEM.

    Exportations de données

Dépannage de l’intégration SIEM

La vue Exportations de données pour la sécurité comprend un Résumé pour aider les administrateurs à résoudre les problèmes d’intégration SIEM avec Citrix Analytics. Le Résumé Le tableau de bord offre une visibilité sur l’état et le flux des données en les guidant à travers les points de contrôle qui facilitent le processus de dépannage.

Dépannage des exportations de données

Pour en savoir plus sur cette fonctionnalité, reportez-vous à la section Dépannage des exportations de données.

Intégration de la gestion des informations et des événements de sécurité (SIEM)
October 14, 2024
Contributeur: 
C C
October 14, 2024
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.