Citrix Analytics for Security

Intégration de Splunk

Intégrez Citrix Analytics for Security à Splunk pour exporter et corréler les données des utilisateurs de votre environnement informatique Citrix vers Splunk et obtenir des informations plus détaillées sur la posture de sécurité de votre organisation.

Pour plus d’informations sur les avantages de l’intégration et le type de données traitées qui sont envoyées à votre SIEM, voir Intégration des informations de sécurité et de la gestion des événements.

Pour acquérir une compréhension complète de la méthodologie de déploiement Splunk et adopter les stratégies nécessaires à une planification efficace, reportez-vous à l’ architecture Splunk avec les applications Citrix Analytics hébergées dans la documentation Splunk.

Intégrez Citrix Analytics pour la sécurité à Splunk

Suivez les instructions mentionnées pour intégrer Citrix Analytics for Security à Splunk :

  • Exportation de données. Citrix Analytics for Security crée un canal Kafka et exporte les informations sur les risques et les événements relatifs aux sources de données. Splunk récupère cette information sur les risques du canal.

  • Obtenez la configuration sur Citrix Analytics. Créez un mot de passe pour votre compte prédéfini pour l’authentification. Citrix Analytics for Security prépare un fichier de configuration nécessaire à la configuration du module complémentaire Citrix Analytics pour Splunk.

  • Téléchargez et installez le module complémentaire Citrix Analytics pour Splunk. Téléchargez le module complémentaire Citrix Analytics pour Splunk à l’aide de Slunkbase ou de Splunk Cloud pour terminer le processus d’installation.

  • Configurez le module complémentaire Citrix Analytics pour Splunk. Configurez une entrée de données à l’aide des détails de configuration fournis par Citrix Analytics for Security et configurez le module complémentaire Citrix Analytics pour Splunk.

Une fois le fichier de configuration de Citrix Analytics préparé, consultez :

Une fois que le module complémentaire Citrix Analytics pour Splunk est configuré, consultez :

Exportation de données

  1. Accédez à Réglages > Exportations de données.

  2. Dans la section Configuration du compte, créez un compte en spécifiant le nom d’utilisateur et le mot de passe. Ce compte est utilisé pour préparer un fichier de configuration, qui est nécessaire à l’intégration.

    Exportation des données SIEM

  3. Assurez-vous que le mot de passe répond aux conditions suivantes :

    Exigences de mot de passe pour SIEM

  4. Sélectionnez Configurer.

    Citrix Analytics for Security prépare les détails de configuration nécessaires à l’intégration de Splunk.

    Configurer le SIEM

  5. Sélectionnez Splunk.

  6. Copiez les détails de configuration, qui incluent le nom d’utilisateur, les hôtes, le nom de la rubrique Kafka et le nom du groupe.

    Vous avez besoin de ces informations pour configurer le module complémentaire Citrix Analytics pour Splunk dans les étapes suivantes.

    IMPORTANT

    Ces informations sont sensibles et vous devez les stocker dans un endroit sécurisé.

    Détails de la configuration

Pour générer des données candidates pour Splunk Integration, activez le traitement des données pour au moins une source de données ou utilisez la fonctionnalité de génération d’événements de test. Cela aide Citrix Analytics for Security à démarrer le processus d’intégration de Splunk.

Possibilité de réinitialiser le mot de passe

Si vous souhaitez réinitialiser votre mot de passe de configuration sur Citrix Analytics for Security, procédez comme suit :

  1. Sur la page de configuration du compte, cliquez sur Réinitialiser le mot de passe.

    Mot de passe de réinitialisation de SIEM

  2. Dans la fenêtre de réinitialisation du mot de passe, spécifiez le mot de passe mis à jour dans les champs NOUVEAU MOT DE PASSE et CONFIRMER LE NOUVEAU MOT Suivez les règles de mot de passe qui s’affichent.

    Exigences de mot de passe pour SIEM

  3. Cliquez sur Réinitialiser. La préparation du fichier de configuration est lancée.

    Mot de passe de réinitialisation de SIEM

Remarque

Après avoir réinitialisé le mot de passe de configuration, veillez à mettre à jour le nouveau mot de passe lorsque vous configurez l’entrée de données sur la page Ajouter des donnéesde votre environnement Splunk. Il permet à Citrix Analytics for Security de continuer à transmettre des données vers Splunk.

Activer ou désactiver la transmission des données

La transmission de données pour l’exportation de données Splunk depuis Citrix Analytics est activée par défaut.

Pour arrêter de transmettre des données depuis Citrix Analytics for Security, procédez comme suit :

  1. Accédez à Réglages > Exportations de données.

  2. Désactivez le bouton pour désactiver la transmission de données.

    Les transmissions SIEM s'éteignent

Pour réactiver la transmission de données, activez le bouton.

Module complémentaire Citrix Analytics pour Splunk

Vous pouvez choisir d’installer l’application complémentaire sur l’une des plateformes suivantes :

Module complémentaire Citrix Analytics pour Splunk (on-Prem/Enterprise)

Versions prises en charge

Citrix Analytics for Security prend en charge l’intégration de Splunk sur les systèmes d’exploitation suivants :

  • CentOS Linux 7 et versions ultérieures
  • Debian GNU/Linux 10.0 et versions ultérieures
  • Red Hat Enterprise Linux Server 7.0 et versions ultérieures
  • Ubuntu 18.04 LTS et versions ultérieures

Remarque

  • Citrix recommande d’utiliser la dernière version des systèmes d’exploitation précédents ou les versions qui sont toujours prises en charge par les fournisseurs concernés.

  • Pour les systèmes d’exploitation du noyau Linux (64 bits), utilisez une version du noyau prise en charge par Splunk. Pour plus d’informations, consultez la documentation de Splunk.

Vous pouvez configurer notre intégration Splunk sur la version suivante de Splunk : Splunk 8.1 (64 bits) et versions ultérieures.

Conditions préalables

  • Le module complémentaire Citrix Analytics pour Splunk se connecte aux points de terminaison suivants sur Citrix Analytics for Security. Assurez-vous que les points de terminaison figurent dans la liste d’autorisation de votre réseau.

    Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud
    Brokers Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Remarque

Essayez d’utiliser les noms des points de terminaison et non les adresses IP. Les adresses IP publiques des points de terminaison peuvent changer.

Téléchargez et installez le module complémentaire Citrix Analytics pour Splunk

Vous pouvez choisir d’installer le module complémentaire à l’aide de l’option Installer l’application depuis un fichier ou depuis l’environnement Splunk.

Installer l’application depuis un fichier

  1. Allez sur Splunkbase.

  2. Téléchargez le fichier du module complémentaire Citrix Analytics pour Splunk.

  3. Sur la page d’accueil de Splunk Web, cliquez sur l’icône en forme de roue dentée en regard de Applications.

  4. Cliquez sur Installer l’application depuis un fichier.

  5. Recherchez le fichier téléchargé et cliquez sur Charger.

    Remarques

    • Si vous disposez d’une ancienne version du module complémentaire, sélectionnez Mettre à niveau l’application pour la remplacer.

    • Si vous mettez à niveau le module complémentaire Citrix Analytics pour Splunk à partir d’une version antérieure à 2.0.0, vous devez supprimer les fichiers et dossiers suivants situés dans le dossier /bin du dossier d’installation du module complémentaire et redémarrer votre environnement Splunk Forwarder ou Splunk Standalone :

      • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
      • rm -rf splunklib
      • rm -rf mac
      • rm -rf linux_x64
      • rm CARoot.pem
      • rm certificate.pem
  6. Vérifiez que l’application apparaît dans la liste des applications.

Installez l’application depuis Splunk

  1. Sur la page d’accueil de Splunk Web, cliquez sur+Trouver d’autres applications.

  2. Sur la page Parcourir d’autres applications, recherchez Splunk dans le module complémentaire Citrix Analytics.

  3. Cliquez sur Installer en regard de l’application.

  4. Vérifiez que l’application apparaît dans la liste des applications.

Configurer le module complémentaire Citrix Analytics pour Splunk

Configurez le module complémentaire Citrix Analytics pour Splunk à l’aide des détails de configuration fournis par Citrix Analytics for Security. Une fois le module complémentaire configuré, Splunk commence à consommer les événements de Citrix Analytics for Security.

  1. Sur la page d’accueil de Splunk, accédez à Paramètres > Entrées de données.

    Configuration Splunk

  2. Dans la section Entrées locales, cliquez sur Citrix Analytics Add-on.

    Configuration Splunk

  3. Cliquez sur New.

    Configuration Splunk

  4. Sur la page Ajouter des données, entrez les détails fournis dans le fichier de configuration de Citrix Analytics.

    Configuration Splunk

  5. Pour personnaliser vos paramètres par défaut, cliquez sur Plus de paramètres et configurez la saisie des données. Vous pouvez définir votre propre index Splunk, votre nom d’hôte et votre type de source.

    Configuration Splunk

  6. Cliquez sur Suivant. Votre entrée de données Citrix Analytics est créée et le module complémentaire Citrix Analytics pour Splunk est correctement configuré.

Module complémentaire Citrix Analytics pour Splunk (Cloud)

Vous pouvez configurer notre intégration Splunk sur la version suivante de Splunk : Splunk 8.1 et versions ultérieures.

Conditions préalables

Le module complémentaire Citrix Analytics pour Splunk se connecte aux adresses IP et aux ports sortants suivants pour se connecter à Citrix Analytics for Security. Assurez-vous que les adresses IP et les ports sortants suivants (en fonction de votre région Citrix Cloud) figurent dans la liste autorisée de votre réseau. Pour configurer ces adresses IP et ces ports sortants, consultez la section Ajouter les adresses IP et les ports sortants de Citrix Analytics à la liste d’autorisation de Splunk Cloud à l’aide du service de configuration d’administration ( ACS).

Région des États-Unis Adresse IP Port sortant Région de l’Union européenne Adresse IP Port sortant Région Asie-Pacifique Sud Adresse IP Port sortant
casnb-0 citrix.com 20.242.21.84 9094 casnb-eu-0 citrix.com 20.229.150.41 9094 casnb-aps-0 citrix.com 20.211.0.214 9094
casnb-1.citrix.com 20.98.232.61 9094 casnb-eu-1.citrix.com 20.107.97.59 9094 casnb-aps-1 citrix.com 20.211.38.102 9094
casnb-2.citrix.com 20.242.21.108 9094 casnb-eu-2.citrix.com 51.124.223.162 9094 casnb-aps-2 citrix.com 20.211.36.180 9094
casnb-3.citrix.com 20.242.57.140 9094            

Remarque

Ces adresses IP peuvent faire l’objet d’une rotation. Assurez-vous de maintenir votre liste d’adresses IP autorisées à jour avec les adresses IP les plus récentes, comme indiqué ci-dessus.

Ajoutez les adresses IP et les ports sortants de Citrix Analytics à la liste d’autorisation de Splunk Cloud à l’aide du service de configuration d’administration (ACS)

  1. En fonction de votre région Citrix Cloud, vous devez ajouter des adresses IP à la liste des adresses IP autorisées.
  2. Activez le service de configuration d’administration (ACS) sur Splunk Cloud Platform.
  3. Créez un jeton pour la liste d’autorisation à l’aide d’un compte local avec des privilèges d’administrateur.
  4. Exécutez les commandes cURL GET et POST pour ajouter des sous-réseaux à la liste d’autorisation sur les ports respectifs et validez s’ils ont été ajoutés avec succès.
  5. Exécutez les commandes cURL GET et POST pour ajouter des ports sortants à la liste des ports autorisés et vérifier s’ils ont été ajoutés avec succès.

Téléchargez et installez le module complémentaire Citrix Analytics pour Splunk

  1. Accédez à Applications > Trouver d’autres applications > Rechercher le module complémentaire Citrix Analytics pour Splunk.

    Module complémentaire pour Splunk

  2. Installez l’application.
  3. Vérifiez que l’application apparaît dans la liste des applications.

Configurer le module complémentaire Citrix Analytics pour Splunk

  1. Accédez à Paramètres > Entrées de données > Citrix Analytics Add-on.

    Module complémentaire Citrix Analytics

  2. Ajoutez l’entrée : Intégration Splunk Citrix Analytics pour la sécurité. Cliquez sur Ajouter un nouveau.

    Entrée d'intégration Splunk

  3. Configurez la saisie de données en saisissant les détails configurés sur la page Citrix Analytics Data Exports .

    Détails des entrées de données dans Splunk

  4. Vérifiez si votre saisie de données a bien été ajoutée.

    Entrée de données Splunk ajoutée avec succès

Comment gérer les événements dans votre environnement Splunk

Après avoir configuré le module complémentaire, Splunk commence à récupérer des renseignements sur les risques à partir de Citrix Analytics for Security. Vous pouvez commencer à rechercher les événements de votre organisation sur la tête de recherche Splunk en fonction de l’entrée de données configurée.

Les résultats de la recherche sont affichés dans le format suivant :

Format Consumer des événements

Un exemple de sortie :

Exemple de sortie d'événements Consumer

Pour rechercher et déboguer les problèmes liés au module complémentaire, utilisez la requête de recherche suivante :

Requête de recherche d'événements Consumer

Les résultats sont affichés dans le format suivant :

Résultat de la recherche Consumer Events

Pour plus d’informations sur le format des données, consultez la section Format de données Citrix Analytics pour SIEM.

Dépannage du module complémentaire Citrix Analytics pour Splunk

Si vous ne voyez aucune donnée dans vos tableaux de bord Splunk ou si vous rencontrez des problèmes lors de la configuration du module complémentaire Citrix Analytics pour Splunk, suivez les étapes de débogage pour résoudre le problème. Pour plus d’informations, consultez Problèmes de configuration liés au module complémentaire Citrix Analytics pour Splunk.

Remarque

Contactez CAS-PM-Ext@cloud.com pour demander de l’aide concernant l’intégration de Splunk, l’exportation de données vers Splunk ou pour nous faire part de vos commentaires.

Application Citrix Analytics pour Splunk

Remarque

Cette application est en avant-première.

L’application Citrix Analytics pour Splunk permet aux administrateurs de Splunk Enterprise d’afficher les données utilisateur collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents et exploitables sur Splunk. À l’aide de ces tableaux de bord, vous obtenez une vue détaillée des comportements à risque des utilisateurs au sein de votre organisation et vous pouvez prendre des mesures opportunes pour atténuer les menaces internes. Vous pouvez également mettre en corrélation les données collectées à partir de Citrix Analytics for Security avec d’autres sources de données configurées sur votre Splunk. Cette corrélation vous donne une visibilité sur les activités risquées des utilisateurs à partir de plusieurs sources et permet de prendre des mesures pour protéger votre environnement informatique.

Version Splunk prise en charge

L’application Citrix Analytics pour Splunk s’exécute sur les versions Splunk suivantes :

  • Splunk 9.0 64 bits

  • Splunk 8.2 64 bits

  • Splunk 8.1 64 bits

Conditions préalables à l’application Citrix Analytics pour Splunk

  • Installez le module complémentaire Citrix Analytics pour Splunk.

  • Assurez-vous que les conditions préalables mentionnées pour le module complémentaire Citrix Analytics pour Splunk sont déjà remplies.

  • Assurez-vous que les données sont transférées de Citrix Analytics for Security vers Splunk.

Installation et configuration

Où installer l’application ?

Tête de recherche Splunk

Comment installer et configurer l’application ?

Vous pouvez installer l’application Citrix Analytics pour Splunk en la téléchargeant depuis Spunkbase ou en l’installant depuis Splunk.

Installer l’application depuis un fichier
  1. Allez sur Splunkbase.

  2. Téléchargez le fichier de l’application Citrix Analytics pour Splunk.

  3. Sur la page d’accueil de Splunk Web, cliquez sur l’icône en forme de roue dentée en regard de Applications.

  4. Cliquez sur Installer l’application depuis un fichier.

  5. Recherchez le fichier téléchargé et cliquez sur Charger.

    Remarque

    Si vous disposez d’une ancienne version de l’application, sélectionnez Mettre à niveau l’application pour la remplacer.

  6. Vérifiez que l’application apparaît dans la liste des applications.

Installez l’application depuis Splunk
  1. Sur la page d’accueil de Splunk Web, cliquez sur+Trouver d’autres applications.

  2. Sur la page Parcourir plus d’applications, recherchez Splunk dans l’application Citrix Analytics.

  3. Cliquez sur Installer en regard de l’application.

Configurez votre index et votre type de source pour corréler les données
  1. Après avoir installé l’application, cliquez sur Configurer maintenant.

    Configurer l'application

  2. Entrez les requêtes suivantes :

    • Index et type de source dans lesquels les données de Citrix Analytics for Security sont stockées.

      Remarque

      Ces valeurs de requête doivent être identiques à celles spécifiées dans le module complémentaire Citrix Analytics pour Splunk. Pour plus d’informations, consultez la section Configurer le module complémentaire Citrix Analytics pour Splunk.

    • Index à partir duquel vous souhaitez mettre en corrélation vos données avec Citrix Analytics for Security.

      Source et index

  3. Cliquez sur Terminer la configuration de l’application pour terminer la configuration.

Après avoir configuré et configuré l’application Citrix Analytics pour Splunk, utilisez les tableaux de bord Citrix Analytics pour afficher les événements utilisateur sur votre Splunk.

Pour plus d’informations sur l’intégration de Splunk, consultez les liens suivants :