Citrix Analytics for Security

Intégration SIEM à l’aide d’un connecteur de données basé sur Kafka ou Logstash

L’intégration de Citrix Analytics for Security SIEM vous permet d’exporter et de corréler les données des utilisateurs depuis Citrix Analytics vers votre environnement SIEM et d’obtenir des informations plus détaillées sur le niveau de sécurité de votre entreprise.

Pour plus d’informations sur les avantages de l’intégration et le type d’événements de données (informations sur les risques et événements liés aux sources de données) envoyés à votre SIEM, consultez la section Intégration des informations de sécurité et de la gestion des événements.

Vous pouvez intégrer Citrix Analytics for Security à vos solutions SIEM via les deux mécanismes suivants (pris en charge par votre déploiement SIEM et informatique) :

  1. Connectez-vous via des points de terminaison Kafka
  2. Connectez-vous via Logstash Data Broker avec une ingestion basée sur Kafka

Conditions préalables

  • Activez le traitement des données pour au moins une source de données. Il aide Citrix Analytics for Security à commencer l’intégration avec votre outil SIEM.

  • Assurez-vous que le point de terminaison suivant figure dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud
    Brokers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Intégration à un service SIEM à l’aide de Kafka

Kafka est un logiciel open source utilisé pour le streaming de données en temps réel. À l’aide de Kafka, vous pouvez analyser les données en temps réel pour obtenir des informations plus rapidement. La plupart du temps, les grandes organisations qui gèrent des données adéquates utilisent Kafka.

Northbound Kafka est une couche intermédiaire interne qui permet à Citrix Analytics de partager des flux de données en temps réel avec les clients SIEM via des points de terminaison Kafka. Si votre SIEM prend en charge les points de terminaison Kafka, utilisez les paramètres fournis dans le fichier de configuration Logstash et les détails du certificat dans le fichier JKS ou le fichier PEM pour intégrer votre SIEM à Citrix Analytics for Security.

Les paramètres suivants sont nécessaires pour intégrer Kafka :

Nom de l’attribut Description Exemple de données de configuration
Nom d’utilisateur Nom d’utilisateur fourni par Kafka. 'sasl.username': cas_siem_user_name,
Hôte Nom d’hôte du serveur Kafka auquel vous souhaitez vous connecter. 'bootstrap.servers': cas_siem_host,
Nom du sujet/ID client ID client attribué à chaque locataire. 'client.id': cas_siem_topic,
Nom/ID du groupe Nom du groupe dont vous avez besoin pour lire les messages partagés par les consommateurs. 'group.id': cas_siem_group_id,
Protocole de sécurité Nom du protocole de sécurité. 'security.protocol': 'SASL_SSL',
Mécanismes SASL Mécanisme d’authentification généralement utilisé pour le chiffrement afin de mettre en œuvre une authentification sécurisée. 'sasl.mechanisms': 'SCRAM-SHA-256',
Emplacement du truststore SSL Emplacement où vous pouvez stocker le fichier de certificat. Le mot de passe du client truststore est facultatif et devrait rester vide. 'ssl.ca.location': ca_location
Expiration de session Délai d’expiration de session utilisé pour détecter les défaillances du client lors de l’utilisation de Kafka. 'session.timeout.ms': 60000,
Réinitialisation automatique du décalage Définit le comportement lors de la consommation de données provenant d’une partition de sujet lorsqu’il n’y a pas de décalage initial. Vous pouvez définir des valeurs telles que « la plus récente », « la plus ancienne » ou « aucune ». 'auto.offset.reset': 'earliest',

Voici un exemple de sortie de configuration :

{'bootstrap.servers': cas_siem_host,
                    'client.id': cas_siem_topic,
                    'group.id': cas_siem_group_id,
                    'session.timeout.ms': 60000,
                    'auto.offset.reset': 'earliest',
                    'security.protocol': 'SASL_SSL',
                    'sasl.mechanisms': 'SCRAM-SHA-256',
                    'sasl.username': cas_siem_user_name,
                    'sasl.password': self.CLEAR_PASSWORD,
                    'ssl.ca.location': ca_location
            }

<!--NeedCopy-->

Création d'un compte pour Kafka

Les paramètres ci-dessus sont disponibles dans le fichier de configuration de Logstash. Pour télécharger le fichier de configuration, accédez à Paramètres > Exportations de données > Environnement SIEM sélectionnez l’onglet Autres > cliquez sur Télécharger le fichier de configuration Logstash.

Télécharger le fichier de configuration Logstash

Pour comprendre/en savoir plus sur les valeurs de configuration, consultez Configuration.

Flux de données

La communication des données d’authentification s’effectue entre les brokers côté serveur Kafka (Citrix Analytics for Security cloud) et les clients Kafka. Toutes les communications des brokers/clients externes utilisent le protocole de sécurité SASL_SSL activé et ciblent le port 9094 pour l’accès public.

Apache Kafka possède un composant de sécurité qui crypte les données en cours de transport à l’aide du cryptage SSL. La transmission de données sur le réseau est cryptée et sécurisée lorsque le cryptage est activé et que les certificats SSL sont définis. Seules la première et la dernière machine ont la capacité de déchiffrer les paquets envoyés via SSL.

Authentifications

Deux niveaux d’authentification sont disponibles, comme indiqué ci-dessous :

  1. TLS/Entre le client et le serveur.

    • Les certificats de serveur (clés publiques) pour l’échange d’authentification TLS entre le client et le serveur.
    • L’authentification basée sur le client ou les authentifications bidirectionnelles ne sont pas prises en charge (lorsque des certificats de clé privée client sont requis).
  2. Nom d’utilisateur/mot de passe pour le contrôle d’accès aux sujets/points de terminaison

    • Garantit qu’un client spécifique ne peut lire qu’un sujet spécifique
    • Le SASL/SCRAM est utilisé pour le mécanisme d’authentification par nom d’utilisateur/mot de passe ainsi que le cryptage TLS pour implémenter une authentification sécurisée.

Chiffrement avec SSL et authentification avec SASL/SSL&SASL/PLAINTEXT

Par défaut, Apache Kafka communique en mode PLAINTEXT, où toutes les données sont envoyées en clair et tous les routeurs peuvent lire le contenu des données. Apache Kafka possède un composant de sécurité qui crypte les données en cours de transport à l’aide du cryptage SSL. Le cryptage étant activé et les certificats SSL soigneusement configurés, les données sont désormais cryptées et transmises en toute sécurité sur le réseau. Avec le cryptage SSL, seules la première et la dernière machine ont la capacité de déchiffrer le paquet envoyé.

Comme le cryptage SSL bidirectionnel est utilisé, la connexion par nom d’utilisateur/mot de passe est sécurisée pour les communications externes.

Le cryptage se fait uniquement en cours de route et les données ne sont toujours pas cryptées sur le disque du broker.

Chiffrement SSL

Dans la configuration du client, le fichier JKS et le fichier PEM du client truststore (convertis à partir du fichier jks de truststore) sont requis. Vous pouvez télécharger ces fichiers depuis l’interface graphique de Citrix Analytics for Security, comme illustré dans la capture d’écran suivante :

Télécharger les fichiers de configuration

Intégration SIEM à l’aide de Logstash

Si votre SIEM ne prend pas en charge les terminaux Kafka, vous pouvez utiliser le moteur de collecte de données Logstash . Vous pouvez envoyer les événements de données depuis Citrix Analytics for Security vers l’un des plug-ins de sortie pris en charge par Logstash.

La section suivante décrit les étapes à suivre pour intégrer votre SIEM à Citrix Analytics for Security à l’aide de Logstash.

Intégration à un service SIEM à l’aide de Logstash

  1. Accédez à Réglages > Exportations de données.

  2. Sur la page de configuration du compte, créez un compte en spécifiant le nom d’utilisateur et le mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est nécessaire à l’intégration.

    Page de configuration SIEM

  3. Assurez-vous que le mot de passe répond aux conditions suivantes :

    Exigences de mot de passe pour SIEM

  4. Sélectionnez Configurer pour générer le fichier de configuration Logstash.

    Configurer d'autres SIEM

  5. Sélectionnez l’onglet Autres pour télécharger les fichiers de configuration.

    • Fichier de configuration Logstash : Ce fichier contient les données de configuration (sections d’entrée, de filtre et de sortie) pour l’envoi d’événements depuis Citrix Analytics for Security à l’aide du moteur de collecte de données Logstash. Pour plus d’informations sur la structure du fichier de configuration Logstash, consultez la documentation Logstash .

    • Fichier JKS : Ce fichier contient les certificats nécessaires à la connexion SSL. Ce fichier est nécessaire lorsque vous intégrez votre SIEM à l’aide de Logstash.

    • Fichier PEM : Ce fichier contient les certificats nécessaires à la connexion SSL. Ce fichier est nécessaire lorsque vous intégrez votre SIEM à l’aide de Kafka.

      Remarque

      Ces fichiers contiennent des informations sensibles. Conservez-les dans un endroit sûr et sécurisé.

    Onglet Sélectionner les autres

  6. Configurez Logstash :

    1. Sur votre machine hôte Linux ou Windows, installez Logstash (versions testées pour la compatibilité avec Citrix Analytics for Security : v7.17.7 et v8.5.3). Vous pouvez également utiliser votre instance Logstash existante.

    2. Sur la machine hôte sur laquelle vous avez installé Logstash, placez les fichiers suivants dans le répertoire spécifié :

      Type de machine hôte Nom du fichier Chemin du répertoire
      Linux CAS_Others_LogStash_Config.config Pour les paquets Debian et RPM : /etc/logstash/conf.d/
          Pour les archives .zip et .tar.gz : {extract.path}/config
        kafka.client.truststore.jks Pour les paquets Debian et RPM : /etc/logstash/ssl/
          Pour les archives .zip et .tar.gz : {extract.path}/ssl
      Windows CAS_Others_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks C:\logstash-7.xx.x\config
    3. Le fichier de configuration Logstash contient des informations sensibles telles que les informations d’identification Kafka, les identifiants LogAnalytics Workspace et les clés primaires. Il est recommandé de ne pas stocker ces informations d’identification sensibles sous forme de texte brut. Pour sécuriser l’intégration, un magasin de clés Logstash peut être utilisé pour ajouter des clés avec leurs valeurs respectives, qui peuvent à leur tour être référencées à l’aide de noms de clés dans le fichier de configuration. Pour plus d’informations sur le keystore Logstash et sur la manière dont il renforce la sécurité de vos paramètres, consultez Secrets keystorepour les paramètres sécurisés.

    4. Ouvrez le fichier de configuration Logstash et procédez comme suit :

      Dans la section de saisie du fichier, saisissez les informations suivantes :

      • Motde passe : mot de passe du compte que vous avez créé dans Citrix Analytics for Security pour préparer le fichier de configuration.

      • Emplacement du truststore SSL : emplacement de votre certificat client SSL. Il s’agit de l’emplacement du fichier kafka.client.truststore.jks sur votre machine hôte.

      Autre section d'entrée SIEM

      Dans la section de sortie du fichier, saisissez le chemin ou les détails de destination où vous souhaitez envoyer les données. Pour plus d’informations sur les plug-ins de sortie, consultez la documentation Logstash .

      L’extrait suivant indique que la sortie est écrite dans un fichier journal local.

      Autre section de sortie SIEM

    5. Redémarrez votre machine hôte pour envoyer les données traitées de Citrix Analytics for Security à votre service SIEM.

Une fois la configuration terminée, connectez-vous à votre service SIEM et vérifiez les données Citrix Analytics dans votre SIEM.

Activer ou désactiver la transmission des données

Une fois que Citrix Analytics for Security a préparé le fichier de configuration, la transmission des données est activée pour votre SIEM.

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Réglages > Exportations de données.
  2. Désactivez le bouton pour désactiver la transmission de données. Par défaut, la transmission de données est toujours activée.

    Les transmissions SIEM s'éteignent

    Une fenêtre d’avertissement apparaît pour votre confirmation. Cliquez sur le bouton Désactiver la transmission de données pour arrêter l’activité de transmission.

    Avertisseur de désactivation des transmissions SIEM

Pour réactiver la transmission de données, activez le bouton.

Remarque

Contactez CAS-PM-Ext@cloud.com pour demander de l’aide concernant l’intégration de votre SIEM, l’exportation de données vers votre SIEM ou pour nous faire part de vos commentaires.

Intégration SIEM à l’aide d’un connecteur de données basé sur Kafka ou Logstash