Utilisation du modèle de données SIEM de Citrix Analytics pour l’analyse des menaces et la corrélation des données
Cet article explique la relation entre les données de l’entité qui est mise en évidence par les événements envoyés à l’environnement SIEM d’un client. Pour mieux comprendre ce point, prenons l’exemple d’un scénario de chasse aux menaces dans lequel les attributs (adresse IP et système d’exploitation du client) sont les points focaux. Les méthodes suivantes pour corréler ces attributs à l’utilisateur seront discutées :
- Utilisation d’informations personnalisées sur les indicateurs de risque
- Utilisation des événements de source de données
Splunk est l’environnement SIEM choisi pour être présenté dans l’exemple suivant. Une corrélation de données similaire peut également être effectuée sur Sentinel à l’aide d’un modèle de classeur de Citrix Analytics. Pour en savoir plus, consultez le classeur Citrix Analytics pour Microsoft Sentinel.
Informations sur les indicateurs de risque personnalisés
Comme indiqué dans le format d’exportation de données Citrix Analytics pour SIEM, le résumé des indicateurs et les informations détaillées sur les événements font partie de l’ensemble de données d’informations sur les risques par défaut. Pour le jeu de données d’indicateurs Citrix Virtual Apps and Desktops, l’adresse IP et le système d’exploitation du client sont exportés par défaut. Par conséquent, si un administrateur configure un indicateur personnalisé avec ou sans la condition d’inclure ces champs, ces points de données seront acheminés vers votre environnement Splunk.
Configuration d’un indicateur de risque personnalisé dans Citrix Analytics
-
Accédez au tableau de bord de Citrix Analytics for Security > Indicateurs de risque personnalisés > Créer un indicateur. Vous pouvez créer un indicateur de risque personnalisé avec n’importe quelle condition qui vous aide à surveiller le comportement de l’utilisateur. Une fois que vous avez configuré l’indicateur personnalisé, tous les utilisateurs qui déclenchent la condition associée sont visibles dans votre environnement Splunk.
-
Pour afficher les occurrences des indicateurs de risque créées sur Citrix Analytics for Security, accédez à Sécurité > Utilisateurs. Accédez au bas de la page et cliquez sur l’icône plus (+).
La carte des indicateurs de risque s’affiche. Vous pouvez consulter les détails de l’indicateur de risque, de la gravité et de l’occurrence.
-
Cliquez sur Voir plus. La page de présentation de l’indicateur de risque s’affiche.
Sur la page Vue d’ensemble de l’indicateur de risque, vous pouvez consulter les détails de l’utilisateur qui a déclenché l’indicateur grâce à une chronologie détaillée et à un résumé de l’utilisateur. Pour en savoir plus sur la chronologie, voir Chronologie et profil des risques de l’utilisateur.
Occurrences d’indicateurs de risque sur Splunk - Raw Queries
Vous pouvez également obtenir les informations relatives à l’adresse IP et au système d’exploitation du client en utilisant l’index et le type de source utilisés par l’administrateur de l’infrastructure Splunk lors de la configuration de la saisie des données sur le module complémentaire Splunk Enterprise pour Citrix Analytics for Security.
-
Accédez à Splunk > Nouvelle recherche. Dans la requête de recherche, saisissez et exécutez la requête suivante :
index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>" <!--NeedCopy-->
-
Choisissez le fichier indicator_uuid et exécutez la requête suivante :
index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>" <!--NeedCopy-->
Le résultat de l’événement contient le résumé de l’événement indicateuret les détailsde l’événement indicateur (l’activité déclenchée par votre indicateur). Le détail de l’événement contient l’adresse IP du clientet lesinformations sur le système d’exploitation (nom, version, informations supplémentaires).
Pour en savoir plus sur le format de données, consultez le format d’exportation de données Citrix Analytics pour SIEM.
Événements liés aux indicateurs de risque sur Splunk - Application de tableau de bord
Consultez les articles suivants pour savoir comment installer l’application Citrix Analytics pour Splunk :
-
Cliquez sur l’onglet Citrix Analytics — Tableau de bord et sélectionnez l’option Détails de l’indicateur de risque dans la liste déroulante.
-
Filtrez le contenu de manière appropriée dans la liste déroulante et cliquez sur Soumettre.
-
Cliquez sur l’instance utilisateur pour obtenir les détails.
-
Vous pouvez consulter les informations relatives à l’adresse IP et au système d’exploitationdu client (nom, version, informations supplémentaires) au bas de cette page :
Événements de source de données
Une autre méthode pour obtenir les détails de l’adresse IP et du système d’exploitation du client dans votre environnement Splunk consiste à configurer les événements de source de données pour l’exportation. Cette fonctionnalité permet aux événements présents dans la vue Self-Service Search d’être transférés directement dans votre environnement Splunk. Pour plus d’informations sur la façon de configurer les types d’événements pour les Virtual Apps and Desktops à exporter vers SIEM, consultez les articles suivants :
- Événements de données exportés depuis Citrix Analytics for Security vers votre service SIEM.
- Événements de source de données
-
Accédez au tableau de bord de Citrix Analytic for Security > Rechercher. Sur cette page de recherche en libre-service, tous les types d’événements et les informations associées sont disponibles. Vous pouvez voir le type d’événement Session.Logon à titre d’exemple dans la capture d’écran suivante :
-
Configurez les événements Session.Logon in Data Source pour l’exportation et cliquez sur Enregistrer pour les intégrer à votre environnement Splunk.
-
Accédez à Splunk, puis saisissez et exécutez la requête suivante :
index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon" AND "<user you’re interested in>" <!--NeedCopy-->
Les champs relatifs à l’adresse IP et au système d’exploitation du client sont surlignés.