Citrix Analytics for Security

Résolution des problèmes d’exportation de données

La vue Exportations de données pour la sécurité inclut un onglet Résumé qui aide les administrateurs à résoudre les problèmes liés à leur intégration SIEM avec Citrix Analytics. Le tableau de bord récapitulatif fournit une visibilité sur l’état et le flux des données en les guidant vers les points de contrôle qui facilitent le processus de résolution des problèmes.

Résolution des problèmes d'exportation de données

Onglet Résumé

L’onglet Résumé constitue la base du processus de résolution des problèmes en libre-service dans la vue Exportations de données. Il décrit votre configuration SIEM à l’aide de ces trois cartes :

  • Données disponibles dans Citrix Analytics : cette carte indique l’état des configurations de vos sources de données.
  • Événements disponibles pour la consommation SIEM : Cette carte indique le nombre d’événements prêts à être consommés par votre environnement SIEM.
  • Consommation de données par SIEM : Cette carte affiche l’état du flux de données dans votre environnement SIEM.

Données disponibles dans Citrix Analytics

Données disponibles dans Citrix Analytics

La fiche Données disponibles dans Citrix Analytics indique le nombre de sources de données pouvant éventuellement contribuer aux informations SIEM intégrées à Citrix Analytics for Security. Trois sources de données sont actuellement prises en charge pour les exportations de données : Apps and Desktops, Gateway et Secure Private Access. Même si ces sources de données ont été intégrées, l’exportation de données ne fonctionnera pas pour les sources de données dont le traitement des données est désactivé. Un message d’avertissement approprié tel que celui illustré dans l’image ci-dessus s’affiche lorsque de telles sources de données sont détectées.

Le bouton Afficher les événements des 7 derniers jours redirige l’administrateur vers la vue de recherche en libre-service, grâce à laquelle les administrateurs peuvent vérifier que les événements ont été transmis à Citrix Analytics for Security. Le bouton Sources de données intégrées redirige vers la vue Sources de données où vous pouvez suivre en détail le processus d’intégration.

S’il n’y a aucune source de données intégrée, un message d’avertissement approprié s’affiche, comme illustré dans la capture d’écran suivante :

Message d'avertissement en cas d'absence de sources de données

Événements disponibles pour la consommation du SIEM

Événements disponibles pour la consommation du SIEM

La carte Available Events for SIEM Consumption affiche le nombre d’événements Insight et Data Source ainsi que leur répartition qui devraient affecter votre environnement SIEM. Lors de l’extension, une ventilation plus détaillée de chaque type d’événement de données à exporter est également disponible.

Consommation de données par SIEM

La fiche Consommation de données par SIEM décrit l’état du flux de données préparé par Citrix Analytics vers votre environnement SIEM. L’état de consommation des données est basé sur le mouvement du décalage au sein de votre rubrique Kafka . Lorsqu’elle est disponible, la carte affiche également l’horodatage de la dernière détection d’une consommation de données réussie. L’état de consommation des données et l’horodatage sont actualisés toutes les 10 minutes. Cliquez ici pour en savoir plus sur la gestion des groupes de consommateurs et de la compensation dans Kafka.

L’état de consommation des données peut prendre les états suivants :

  1. Consommation inactive

    • Aucun historique d’exportation de données : cet état est représenté par un point orange pour indiquer qu’aucune donnée préparée par Citrix Analytics n’a jamais été transférée avec succès dans votre environnement SIEM.

      Aucun historique d'exportation de données

      Cela peut être dû à :

      • Configuration de la source de données incorrecte/incomplète. La fiche Données disponibles dans Citrix Analytics peut être utilisée pour vérifier s’il existe suffisamment de sources de données et si le traitement des données est activé pour permettre l’exportation.

      • Absence d’activité des utilisateurs. Le bouton Afficher les événements des 7 derniers jours de la carte Données disponibles dans Citrix Analytics peut être utilisé pour vérifier l’absence d’activité de l’utilisateur. En outre, la carte Available Events for SIEM Consumption peut être utilisée pour vérifier s’il existe des événements Insight ou Data Source préparés par Citrix Analytics pour être transférés dans votre SIEM.

      • Configuration SIEM incorrecte/incomplète. Vérifiez que l’étape de configuration du compte dans l’onglet Configuration s’est bien déroulée. Une coche verte est visible à l’étape de configuration du compte si la configuration est terminée.

        Si l’état ne change pas même après une configuration de compte réussie, poursuivez la résolution des problèmes en vérifiant :

    • Aucune consommation active détectée : cet état indique qu’au moins au cours des 10 dernières minutes, les données n’ont pas été transférées correctement dans votre environnement SIEM. La carte affichera également l’horodatage du dernier mouvement de données réussi. Comme dans le cas de l’absence d’historique d’exportation de données, vous pouvez résoudre ce problème à l’aide des cartes Available Data in Citrix Analytics et Available Events for SIEM Consumption. Si l’activité des utilisateurs est suffisante et que le nombre d’événements disponibles augmente, il serait judicieux de se concentrer sur le dernier horodatage réussi pour vérifier si des modifications du pare-feu ou des rotations de mots de passe se sont produites après cet horodatage.

      Aucune consommation active détectée

    • Exporté il y a plus de 7 jours : cet état indique que la consommation active sur votre SIEM a été détectée pour la dernière fois il y a plus d’une semaine. Comme dans les deux états ci-dessus, utilisez les données disponibles dans Citrix Analytics et les cartes Available Events for SIEM Consumption pour résoudre les problèmes de configuration de votre SIEM s’il s’agit de l’état de consommation de données détecté.

      Exporté il y a plus de 7 jours

      Remarque

      Stratégie de conservation de Kafka : les rubriques Kafka de Citrix Analytics conservent les événements pendant une durée maximale de 7 jours uniquement. Pour éviter ou empêcher toute perte de données potentielle, il est recommandé de définir un intervalle entre les interrogations de données ne dépassant pas 7 jours.

    En cas de consommation inactive, vous pouvez consulter les messages d’avertissement suivants pour vous aider à naviguer dans le processus de résolution des problèmes.

    Comme indiqué dans le cas Aucun historique d’exportation de données, si la configuration du SIEM n’est pas terminée, aucune donnée ne circule dans l’environnement SIEM. L’utilisateur est donc redirigé vers l’onglet Configuration pour terminer la configuration du compte, comme illustré dans la capture d’écran suivante :

    Configuration-tab-data-setup

    Si la configuration du SIEM est terminée, il se peut que les données ne circulent pas activement, comme indiqué dans l’état Aucune consommation active détectée ou exportée il y a plus de 7 jours . L’utilisateur est donc invité à accéder à la section Génération d’événements de test pour tester la connexion SIEM, comme indiqué dans le message d’avertissement suivant.

    Avertissement de génération d'événements de test

  2. Consommation active

    • Consommation active détectée : Cet état indique qu’une consommation active a été détectée sur votre SIEM.

      Consommation active détectée

Guide rapide d’exportation de données

L’onglet Résumé est complété par la lame du guide rapide d’exportation des données pour faciliter le déploiement, la gestion et le dépannage de vos configurations SIEM. Outre un guide complet sur la vue Exportation de données à des fins de sécurité, le guide rapide inclut également des conseils utiles sur la manière de configurer et de gérer votre environnement SIEM en fournissant des liens vers la documentation pertinente.

Guide rapide pour l'exportation de données1

Guide rapide pour l'exportation de données2

Guide rapide pour l'exportation de données3

Il existe également une section Test de connexion SIEM dans la lame Quick Guide qui redirige l’utilisateur vers l’étape Test de connexion SIEM au sein de la phase de configuration de l’environnement SIEM. Cela permet à l’utilisateur de vérifier si l’intégration SIEM est elle-même interrompue, éliminant ainsi la possibilité de problèmes liés au traitement des événements par Citrix Analytics for Security. L’utilisateur peut ensuite corriger la connexion SIEM pour activer le flux de données.

Tester la connexion SIEM1

L’onglet Configuration, tout en guidant la configuration du déploiement, fournit également aux administrateurs des conseils utiles, des messages d’avertissement et des pièges courants lors de la configuration de leur SIEM. Des avertissements appropriés s’affichent lorsque :

  • Citrix Analytics détecte qu’aucune source de données n’a été intégrée. Il est recommandé d’intégrer Apps and Desktops pour collecter des données télémétriques en fonction de l’activité des utilisateurs. En l’absence de source de données intégrée, aucun flux de données n’est observé, même si la configuration de votre SIEM a peut-être été effectuée avec succès.

    Aucune source de données intégrée

  • Comme l’illustre l’image suivante, la configuration de l’environnement SIEM et les événements de données pour les étapes d’exportation sont désactivés jusqu’à ce que la configuration du compte soit terminée avec succès.

    Désactiver la configuration de l'environnement SIEM et les événements de données

  • Les exportations de données ont été désactivées. L’avertissement affiché à l’étape Data Events for Export sert de rappel pour permettre aux exportations de données d’effectuer toute modification.

    Exportations de données désactivées

  • Au stade Data Events for Export, si l’exportation de données pour une source de données particulière est désactivée, aucun événement de source de données n’est transmis au SIEM. Vous devez activer cette option en configurant et en sélectionnant les types d’événements de source de données souhaités. En outre, assurez-vous que le traitement des données pour la source de données correspondante est activé afin de garantir que les données parviennent à Citrix Analytics.

    Sur les événements relatifs aux données pour la phase d'exportation

Génération d’événements de test

La génération d’événements de test est fournie dans le cadre de la phase de configuration de l’environnement SIEM afin d’améliorer l’expérience de dépannage. Une fois qu’un utilisateur a terminé la configuration du SIEM, la génération d’événements de test permet de tester rapidement la connexion SIEM en envoyant un événement de test directement dans la rubrique Kafka sur l’exportation de données SIEM du client.

Il permet également aux nouveaux utilisateurs de tester rapidement leur intégration SIEM avec Citrix Analytics sans avoir à intégrer explicitement une nouvelle source de données et à générer ensuite une activité utilisateur.

Environnement SIEM

Pour tester cette fonctionnalité, l’utilisateur doit cliquer sur le bouton Envoyer les données de test . Cela génère un événement de test fictif et l’envoie à la rubrique Kafka d’exportation de données SIEM du client. Ce processus de génération d’événements de test peut prendre jusqu’à 1 minute, comme le montre la capture d’écran suivante :

Tester la connexion SIEM

Si les données de l’événement de test sont correctement écrites dans la rubrique client Kafka, un message de réussite s’affiche, indiquant que la connexion SIEM est réussie. Selon l’environnement que vous avez choisi (Splunk et Sentinel), les administrateurs peuvent copier la requête et vérifier la présence de l’événement de test dans leur environnement SIEM.

Données de test1

Données de test2

Pour Elasticsearch et les autres environnements, le message de réussite suivant s’affiche.

Données d'essai3

Remarque

Une fois qu’un événement de test est généré, le bouton Envoyer les données de test est désactivé pendant les 24 heures suivantes, et les utilisateurs voient apparaître la fenêtre contextuelle suivante lorsqu’ils passent la souris sur le bouton. 24 heures après le dernier horodatage de réussite, le bouton est activé pour permettre aux utilisateurs de tester à nouveau la fonctionnalité.

Fenêtre contextuelle affichée dans le scénario de réussite

Si les données de l’événement de test ne sont pas correctement écrites dans la rubrique client Kafka, un message d’échec s’affiche, comme illustré dans la capture d’écran suivante. L’utilisateur peut renvoyer les données pour tester la connexion.

Message d'échec du SIEM

Alerte e-mail SIEM

Citrix Analytics envoie des alertes par e-mail pour informer les administrateurs des scénarios susceptibles d’entraîner une interruption du flux de données vers leur environnement SIEM. Il contient des informations situationnelles sur les activités susceptibles d’entraîner une perte de données temporaire ou permanente liée à la sécurité. Il permet également de suivre le processus de résolution des problèmes en libre-service pour l’exportation de données SIEM.

Voici quelques propriétés importantes de cet ensemble d’alertes par e-mail pour vous aider à les retrouver dans votre boîte de réception :

  • L’e-mail est distribué aux administrateurs Citrix Cloud, aux administrateurs complets de Security, aux administrateurs en lecture seule Security et aux administrateurs en lecture seule Security and Performance.

  • L’expéditeur est Citrix Cloud donotreplynotifications@citrix.com.

  • L’objet du message est le suivant :

    • Alerte d’exportation de données SIEM - Le mot de passe a été réinitialisé pour les alertes par e-mail de réinitialisation du mot de passe.
    • Alerte d’exportation de données SIEM : le flux de données s’est arrêté en raison d’alertes par e-mail d’interruption du flux de données.

Comment activer les notifications par e-mail ?

Si vous êtes administrateur Citrix Cloud et que vous disposez d’autorisations d’accès personnalisées (Security Full Admin, Security Read Only Admin, Security et Performance Read Only) pour gérer Security Analytics, les notifications par e-mail sont toujours activées pour votre compte Citrix Cloud. Par défaut, les notifications hebdomadaires par e-mail sont envoyées à la liste par défaut des Citrix Security Administrators. Vous pouvez également modifier la liste de distribution qui reçoit cette alerte. Pour plus d’informations, consultez la section Paramètres de messagerie de l'administrateur.

Si vous êtes un administrateur Citrix Cloud disposant d’autorisations d’accès personnalisées (administrateur complet de sécurité, administrateur en lecture seule de sécurité, lecture seule de sécurité et de performances) pour gérer Security Analytics, les notifications par e-mail sont toujours activées pour votre compte Citrix Cloud.

Types d’alerte e-mail SIEM

  1. Alerte e-mail de réinitialisation du mot de passe SIEM

    L’e-mail d’alerte de réinitialisation du mot de passe SIEM est reçu lorsque le mot de passe du compte est réinitialisé via la page Exportations de données. La réinitialisation du mot de passe SIEM uniquement sur l’interface utilisateur de Citrix Analytics peut entraîner une incompatibilité du mot de passe avec celui configuré sur votre SIEM. Cela entraîne une perturbation du flux de données. Cette alerte par e-mail contient l’heure à laquelle le mot de passe a été réinitialisé. Si le flux de données s’arrête, vous pouvez accéder à l’onglet Résumé, vérifier si l’horodatage du « dernier export à » est proche de l’horodatage de réinitialisation du mot de passe, et ainsi relayer les modifications de mot de passe nécessaires. Cela raccourcit le processus de débogage et vous aide à rétablir un flux de données efficace dans votre environnement SIEM en un rien de temps.

    Alerte e-mail de réinitialisation du mot de passe SIEM

    Alerte e-mail de réinitialisation du mot de passe SIEM1

  2. Alerte par e-mail d’interruption du flux de données pendant 24 heures

    Cette alerte par e-mail est envoyée lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 24 heures. L’e-mail inclut l’heure à laquelle le dernier événement a été exporté ainsi que des conseils de dépannage utiles qui peuvent être appliqués pour rétablir le flux de données. Ce serait le bon moment pour rétablir rapidement le flux de données afin de ne pas perdre les données sécurisées.

  3. Alerte e-mail d’interruption du flux de données pendant 7 jours

    Cette alerte par e-mail est envoyée lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 7 jours. Étant donné que la période de conservation du sujet Kafka du client est de 7 jours, il est essentiel de suivre les conseils de résolution des problèmes et de suivre le guide rapide disponible sur la page Exportations de données pour ne pas perdre d’autres données, car cet e-mail met en garde contre une situation de perte permanente des informations de sécurité.

  4. Alerte par e-mail d’interruption du flux de données pendant 30 jours

    Cette alerte par e-mail est envoyée lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 30 jours. À ce jour, le client a perdu des données sécurisées et il est impératif d’utiliser les fonctionnalités de dépannage pour rétablir le flux dès que possible.

    Alerte par e-mail d'interruption du flux de données pendant 30 jours

    Interruption du flux de données pendant 30 jours, alerte par e-mail1

    Interruption du flux de données pendant 30 jours, alerte par e-mail2

Résolution des problèmes d’exportation de données