Citrix Analytics for Security

Utilisation du modèle de données SIEM de Citrix Analytics pour l’analyse des menaces et la corrélation des données

Cet article explique la relation entre les données de l’entité qui est mise en évidence par les événements envoyés à l’environnement SIEM d’un client. Pour mieux comprendre ce point, prenons l’exemple d’un scénario de chasse aux menaces dans lequel les attributs (adresse IP et système d’exploitation du client) sont les points focaux. Les méthodes suivantes pour corréler ces attributs à l’utilisateur seront discutées :

  • Utilisation d’informations personnalisées sur les indicateurs de risque
  • Utilisation des événements de source de données

Splunk est l’environnement SIEM choisi pour être présenté dans l’exemple suivant. Une corrélation de données similaire peut également être effectuée sur Sentinel à l’aide d’un modèle de classeur de Citrix Analytics. Pour en savoir plus, consultez le classeur Citrix Analytics pour Microsoft Sentinel.

Informations sur les indicateurs de risque personnalisés

Comme indiqué dans le format d’exportation de données Citrix Analytics pour SIEM, le résumé des indicateurs et les informations détaillées sur les événements font partie de l’ensemble de données d’informations sur les risques par défaut. Pour le jeu de données d’indicateurs Citrix Virtual Apps and Desktops, l’adresse IP et le système d’exploitation du client sont exportés par défaut. Par conséquent, si un administrateur configure un indicateur personnalisé avec ou sans la condition d’inclure ces champs, ces points de données seront acheminés vers votre environnement Splunk.

Configuration d’un indicateur de risque personnalisé dans Citrix Analytics

  1. Accédez au tableau de bord de Citrix Analytics for Security > Indicateurs de risque personnalisés > Créer un indicateur. Vous pouvez créer un indicateur de risque personnalisé avec n’importe quelle condition qui vous aide à surveiller le comportement de l’utilisateur. Une fois que vous avez configuré l’indicateur personnalisé, tous les utilisateurs qui déclenchent la condition associée sont visibles dans votre environnement Splunk.

    Configuration d'un indicateur de risque personnalisé

  2. Pour afficher les occurrences des indicateurs de risque créées sur Citrix Analytics for Security, accédez à Sécurité > Utilisateurs. Accédez au bas de la page et cliquez sur l’icône plus (+).

    Afficher les occurrences d'indicateurs de risque créées

    La carte des indicateurs de risque s’affiche. Vous pouvez consulter les détails de l’indicateur de risque, de la gravité et de l’occurrence.

    Détails de l'indicateur de risque

  3. Cliquez sur Voir plus. La page de présentation de l’indicateur de risque s’affiche.

    Aperçu des indicateurs de risque

    Sur la page Vue d’ensemble de l’indicateur de risque, vous pouvez consulter les détails de l’utilisateur qui a déclenché l’indicateur grâce à une chronologie détaillée et à un résumé de l’utilisateur. Pour en savoir plus sur la chronologie, voir Chronologie et profil des risques de l’utilisateur.

    Chronologie et profil des risques utilisateur

Occurrences d’indicateurs de risque sur Splunk - Raw Queries

Vous pouvez également obtenir les informations relatives à l’adresse IP et au système d’exploitation du client en utilisant l’index et le type de source utilisés par l’administrateur de l’infrastructure Splunk lors de la configuration de la saisie des données sur le module complémentaire Splunk Enterprise pour Citrix Analytics for Security.

  1. Accédez à Splunk > Nouvelle recherche. Dans la requête de recherche, saisissez et exécutez la requête suivante :

    index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>"
    
    <!--NeedCopy-->
    

    Query1a

  2. Choisissez le fichier indicator_uuid et exécutez la requête suivante :

    index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>"
    
    <!--NeedCopy-->
    

    Query2a

    Le résultat de l’événement contient le résumé de l’événement indicateuret les détailsde l’événement indicateur (l’activité déclenchée par votre indicateur). Le détail de l’événement contient l’adresse IP du clientet lesinformations sur le système d’exploitation (nom, version, informations supplémentaires).

Pour en savoir plus sur le format de données, consultez le format d’exportation de données Citrix Analytics pour SIEM.

Événements liés aux indicateurs de risque sur Splunk - Application de tableau de bord

Consultez les articles suivants pour savoir comment installer l’application Citrix Analytics pour Splunk :

  1. Cliquez sur l’onglet Citrix Analytics — Tableau de bord et sélectionnez l’option Détails de l’indicateur de risque dans la liste déroulante.

    Option relative aux détails de l'indicateur de risque

  2. Filtrez le contenu de manière appropriée dans la liste déroulante et cliquez sur Soumettre.

    Détails de l'indicateur de risque, filtre d'options

  3. Cliquez sur l’instance utilisateur pour obtenir les détails.

    Instance utilisateur d'indicateur de risque

  4. Vous pouvez consulter les informations relatives à l’adresse IP et au système d’exploitationdu client (nom, version, informations supplémentaires) au bas de cette page :

    Informations sur l'IP et le système d'exploitation du client

Événements de source de données

Une autre méthode pour obtenir les détails de l’adresse IP et du système d’exploitation du client dans votre environnement Splunk consiste à configurer les événements de source de données pour l’exportation. Cette fonctionnalité permet aux événements présents dans la vue Self-Service Search d’être transférés directement dans votre environnement Splunk. Pour plus d’informations sur la façon de configurer les types d’événements pour les Virtual Apps and Desktops à exporter vers SIEM, consultez les articles suivants :

  1. Accédez au tableau de bord de Citrix Analytic for Security > Rechercher. Sur cette page de recherche en libre-service, tous les types d’événements et les informations associées sont disponibles. Vous pouvez voir le type d’événement Session.Logon à titre d’exemple dans la capture d’écran suivante :

    Ouverture de session

  2. Configurez les événements Session.Logon in Data Source pour l’exportation et cliquez sur Enregistrer pour les intégrer à votre environnement Splunk.

    Configurer l'ouverture de session

  3. Accédez à Splunk, puis saisissez et exécutez la requête suivante :

    index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon"  AND "<user you’re interested in>"
    
    <!--NeedCopy-->
    

    Les champs relatifs à l’adresse IP et au système d’exploitation du client sont surlignés.

    Query3a

Utilisation du modèle de données SIEM de Citrix Analytics pour l’analyse des menaces et la corrélation des données