Dépannage des exportations de données

La vue Exportations de données pour la sécurité inclut un onglet Résumé pour aider les administrateurs à dépanner leur intégration SIEM avec Citrix Analytics. Le tableau de bord Résumé offre une visibilité sur l’état et le flux des données en les guidant à travers les points de contrôle qui facilitent le processus de dépannage.

Onglet Résumé

L’onglet Résumé constitue la base du flux de travail de dépannage en libre-service dans la vue Exportations de données. Il décrit votre configuration SIEM à l’aide de ces trois cartes :

• Données disponibles dans Citrix Analytics : Cette carte affiche l’état de vos configurations de sources de données.
• Événements disponibles pour la consommation SIEM : Cette carte affiche le nombre d’événements prêts à être consommés par votre environnement SIEM.
• Consommation de données par SIEM : Cette carte affiche l’état du flux de données dans votre environnement SIEM.

Données disponibles dans Citrix Analytics

La carte Données disponibles dans Citrix Analytics affiche le nombre de sources de données qui peuvent éventuellement contribuer aux informations SIEM et qui ont été intégrées à Citrix Analytics for Security. Trois sources de données sont actuellement prises en charge pour les exportations de données : Apps and Desktops, Gateway et Secure Private Access. Même si ces sources de données ont été intégrées, l’exportation de données ne fonctionnera pas pour les sources de données dont le traitement des données est désactivé. Un message d’avertissement approprié, tel que celui illustré dans l’image ci-dessus, s’affiche lorsque de telles sources de données sont détectées.

Le bouton Afficher les événements des 7 derniers jours redirige l’administrateur vers la vue Recherche en libre-service, via laquelle les administrateurs peuvent vérifier que les événements ont bien été transmis à Citrix Analytics for Security. Le bouton Intégrer les sources de données redirige vers la vue Sources de données où vous pouvez être guidé en détail à travers le processus d’intégration.

S’il n’y a pas de sources de données intégrées, un message d’avertissement approprié s’affiche, comme le montre la capture d’écran suivante :

Événements disponibles pour la consommation SIEM

La carte Événements disponibles pour la consommation SIEM affiche le nombre d’événements Insight et de sources de données, ainsi que leur répartition, qui devraient être transmis à votre environnement SIEM. En développant, une ventilation plus détaillée de chaque type d’événement de données pour l’exportation est également disponible.

Consommation de données par SIEM

La carte Consommation de données par SIEM représente l’état du flux de données préparées par Citrix Analytics vers votre environnement SIEM. L’état de consommation des données est basé sur le mouvement de décalage au sein de votre rubrique Kafka. Le cas échéant, la carte affiche également l’horodatage de la dernière détection de consommation de données réussie. L’état de consommation des données et l’horodatage sont actualisés toutes les 10 minutes. Cliquez ici pour en savoir plus sur la gestion des groupes de consommateurs/décalages Kafka.

L’état de consommation des données peut prendre les états suivants :

1. Consommation inactive

   • Aucun historique d’exportation de données : Cet état est représenté par un point orange pour indiquer qu’aucune donnée préparée par Citrix Analytics n’a jamais été transmise avec succès à votre environnement SIEM.

     

     Cela peut être dû à :

     • Une configuration de source de données incorrecte/incomplète. La carte Données disponibles dans Citrix Analytics peut être utilisée pour vérifier s’il y a suffisamment de sources de données et si leur traitement des données est activé pour permettre l’exportation.

     • Un manque d’activité utilisateur. Le bouton Afficher les événements des 7 derniers jours dans la carte Données disponibles dans Citrix Analytics peut être utilisé pour vérifier l’absence d’activité utilisateur. De plus, la carte Événements disponibles pour la consommation SIEM peut être utilisée pour vérifier s’il y a des événements Insight ou de sources de données préparés par Citrix Analytics pour être transmis à votre SIEM.

     • Une configuration SIEM incorrecte/incomplète. Vérifiez que l’étape de configuration du compte dans l’onglet Configuration a été effectuée avec succès. Une coche verte est visible à l’étape de configuration du compte si la configuration est terminée.

       Si l’état ne change pas même après une configuration de compte réussie, dépannez davantage en vérifiant :

       • Les problèmes de pare-feu ou les paramètres SIEM mal configurés – reportez-vous à Configuration de l’environnement SIEM.

       • Les problèmes d’informations d’identification avec la configuration du compte Kafka ou votre environnement SIEM – reportez-vous à Intégration SIEM à l’aide de Kafka.

   • Aucune consommation active détectée : Cet état indique qu’au moins au cours des 10 dernières minutes, les données n’ont pas été transmises avec succès à votre environnement SIEM. La carte affichera également l’horodatage du dernier mouvement de données réussi. Comme pour Aucun historique d’exportation de données, vous pouvez dépanner cela en utilisant les cartes Données disponibles dans Citrix Analytics et Événements disponibles pour la consommation SIEM. S’il y a une activité utilisateur suffisante et que le nombre d’événements disponibles augmente, il serait judicieux de se concentrer sur le dernier horodatage réussi pour vérifier si des modifications de pare-feu ou des rotations de mot de passe se sont produites après cet horodatage.

     

   • Exporté il y a plus de 7 jours : Cet état indique que la dernière consommation active sur votre SIEM a été détectée il y a plus d’une semaine. Similaire aux deux états ci-dessus, utilisez les cartes Données disponibles dans Citrix Analytics et Événements disponibles pour la consommation SIEM pour dépanner votre configuration SIEM si c’est l’état de consommation de données détecté.

     

     Remarque

     Politique de rétention Kafka : Les rubriques Kafka de Citrix Analytics ne conservent les événements que pendant un maximum de 7 jours. Pour éviter ou prévenir une perte de données potentielle, il est recommandé de configurer un intervalle d’interrogation des données qui ne dépasse pas 7 jours.

   En cas de consommation inactive, vous pouvez afficher les messages d’avertissement suivants pour vous aider à naviguer dans le processus de dépannage.

   Comme souligné dans le cas Aucun historique d’exportation de données, si la configuration SIEM n’est pas terminée, aucune donnée ne circule jamais dans l’environnement SIEM. Par conséquent, l’utilisateur est redirigé vers l’onglet Configuration pour terminer la configuration du compte, comme le montre la capture d’écran suivante :

   

   Si la configuration SIEM est terminée, il se peut que les données ne circulent pas activement, comme le montrent les états Aucune consommation active détectée ou Exporté il y a plus de 7 jours. Par conséquent, l’utilisateur est invité à se rendre dans la section Génération d’événements de test pour tester la connexion SIEM, comme le souligne le message d’avertissement suivant.

   

2. Consommation active

   • Consommation active détectée : Cet état indique qu’une consommation active a été détectée sur votre SIEM.

     

Guide rapide d’exportation de données

L’onglet Résumé est complété par le volet Guide rapide d’exportation de données pour faciliter le déploiement, la gestion et le dépannage de vos configurations SIEM. En plus de fournir un guide complet de la vue Exportation de données pour la sécurité, le Guide rapide comprend également des conseils utiles sur la façon de configurer et de gérer votre environnement SIEM en fournissant des liens vers la documentation pertinente.

Il existe également une section Tester la connexion SIEM dans le volet Guide rapide qui redirige l’utilisateur vers l’étape Tester la connexion SIEM au sein de l’étape de configuration de l’environnement SIEM. Cela permet à l’utilisateur de vérifier si l’intégration SIEM est elle-même défaillante, écartant ainsi la possibilité de problèmes avec le traitement des événements par Citrix Analytics for Security. L’utilisateur peut alors corriger la connexion SIEM pour activer le flux de données.

L’onglet Configuration, tout en guidant la configuration du déploiement, aide également les administrateurs avec des conseils utiles, des messages d’avertissement et des pièges courants lors de la configuration de leur SIEM. Des avertissements appropriés s’affichent lorsque :

• Citrix Analytics détecte qu’aucune source de données n’a été intégrée. Il est recommandé d’intégrer Apps and Desktops pour collecter la télémétrie basée sur l’activité utilisateur. En l’absence de la source de données intégrée, aucun flux de données n’est observé, même si votre configuration SIEM a pu être effectuée avec succès.

  

• Comme l’illustre l’image suivante, les étapes de configuration de l’environnement SIEM et d’événements de données pour l’exportation sont désactivées jusqu’à ce que la configuration du compte soit terminée avec succès.

  

• Les exportations de données ont été désactivées. L’avertissement sur l’étape Événements de données pour l’exportation sert de rappel pour activer les exportations de données afin d’effectuer toute modification.

  

• À l’étape Événements de données pour l’exportation, si l’exportation de données pour une source de données particulière est désactivée, aucun événement de source de données ne circule vers le SIEM. Vous devez l’activer en configurant et en sélectionnant les types d’événements de source de données souhaités. De plus, assurez-vous que le traitement des données pour la source de données respective est activé pour garantir que les données atteignent Citrix Analytics.

  

Génération d’événements de test

La génération d’événements de test est fournie dans le cadre de l’étape Configuration de l’environnement SIEM pour améliorer l’expérience de dépannage. Une fois qu’un utilisateur a terminé la configuration SIEM, la génération d’événements de test permet de tester rapidement la connexion SIEM en envoyant un événement de test directement dans la rubrique Kafka d’exportation de données SIEM du client.

Elle permet également aux nouveaux utilisateurs de tester rapidement leur intégration SIEM avec Citrix Analytics sans avoir à intégrer explicitement une nouvelle source de données et à générer ensuite une activité utilisateur.

Pour tester cette fonctionnalité, l’utilisateur doit cliquer sur le bouton Envoyer des données de test. Cela génère un événement de test factice et l’envoie à la rubrique Kafka d’exportation de données SIEM du client. Ce processus de génération d’événements de test peut prendre jusqu’à 1 minute, comme le montre la capture d’écran suivante :

Si les données de l’événement de test sont écrites avec succès dans la rubrique Kafka du client, un message de succès s’affiche, indiquant que la connexion SIEM est réussie. Selon l’environnement choisi (Splunk et Sentinel), les administrateurs peuvent copier la requête et vérifier leurs environnements SIEM pour l’événement de test.

Pour Elasticsearch et d’autres environnements, le message de succès suivant s’affiche.

Remarque

Une fois qu’un événement de test est généré, le bouton Envoyer des données de test est désactivé pendant les 24 heures suivantes, et les utilisateurs voient la fenêtre contextuelle suivante en survolant le bouton. Après 24 heures à compter du dernier horodatage de succès, le bouton est activé pour que les utilisateurs puissent tester à nouveau la fonctionnalité.

Si les données de l’événement de test ne sont pas écrites avec succès dans la rubrique Kafka du client, un message d’échec s’affiche, comme le montre la capture d’écran suivante. L’utilisateur peut renvoyer les données pour tester la connexion.

Alerte e-mail SIEM

Citrix Analytics envoie des alertes par e-mail pour informer les administrateurs des scénarios susceptibles d’entraîner une interruption du flux de données vers leur environnement SIEM. Il contient des informations situationnelles sur les activités qui pourraient entraîner une perte de données de sécurité temporaire/permanente. Il aide également à naviguer dans le parcours de dépannage en libre-service pour l’exportation de données SIEM.

Quelques propriétés importantes de cet ensemble d’alertes e-mail pour vous aider à les localiser dans votre boîte de réception :

• L’e-mail est distribué aux administrateurs Citrix Cloud™, aux administrateurs de sécurité complets, aux administrateurs de sécurité en lecture seule et aux administrateurs de sécurité et de performances en lecture seule.

• L’expéditeur est Citrix Cloud donotreplynotifications@citrix.com.

• La ligne d’objet est :

  • Alerte d’exportation de données SIEM - Le mot de passe a été réinitialisé pour les alertes e-mail de réinitialisation de mot de passe.
  • Alerte d’exportation de données SIEM - Le flux de données s’est arrêté pour les alertes e-mail d’interruption du flux de données.

Comment activer les notifications par e-mail ?

Si vous êtes un administrateur Citrix Cloud avec des autorisations d’accès personnalisées (Administrateur de sécurité complet, Administrateur de sécurité en lecture seule, Sécurité et performances en lecture seule) pour gérer Security Analytics, les notifications par e-mail sont toujours activées pour votre compte Citrix Cloud. Par défaut, les notifications e-mail hebdomadaires sont envoyées aux administrateurs de sécurité Citrix - liste par défaut. Vous pouvez également modifier la liste de distribution qui reçoit cette alerte. Pour plus d’informations, consultez .

Si vous êtes un administrateur Citrix Cloud avec des autorisations d’accès personnalisées (Administrateur de sécurité complet, Administrateur de sécurité en lecture seule, Sécurité et performances en lecture seule) pour gérer Security Analytics, les notifications par e-mail sont toujours activées pour votre compte Citrix Cloud.

Types d’alertes e-mail SIEM

1. Alerte e-mail de réinitialisation du mot de passe SIEM

   L’e-mail d’alerte de réinitialisation du mot de passe SIEM est reçu lorsque le mot de passe du compte est réinitialisé via la page Exportations de données. La réinitialisation du mot de passe SIEM uniquement via l’interface utilisateur de Citrix Analytics peut entraîner une non-concordance du mot de passe avec celui configuré sur votre SIEM. Cela entraîne une interruption du flux de données. Cet e-mail d’alerte contient l’heure à laquelle le mot de passe a été réinitialisé. Si le flux de données s’arrête, vous pouvez accéder à l’onglet Résumé, vérifier si l’horodatage « dernière exportation à » est proche de l’horodatage de réinitialisation du mot de passe, et ainsi relayer les modifications de mot de passe nécessaires. Cela raccourcit le processus de débogage et vous aide à retrouver un flux de données réussi vers votre environnement SIEM en un rien de temps.

   

   

2. Alerte e-mail d’interruption du flux de données pendant 24 heures

   Cet e-mail d’alerte est envoyé lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 24 heures. L’e-mail inclut l’heure à laquelle le dernier événement a été exporté, ainsi que des conseils de dépannage rapides et utiles qui peuvent être effectués pour rétablir le flux de données. Ce serait le bon moment pour rétablir rapidement le flux de données afin de ne perdre aucune donnée de sécurité.

3. Alerte e-mail d’interruption du flux de données pendant 7 jours

   Cet e-mail d’alerte est envoyé lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 7 jours. Étant donné que la période de rétention de la rubrique Kafka du client est de 7 jours, il est essentiel de suivre les conseils de dépannage et de s’aider du guide rapide disponible sur la page Exportations de données pour ne perdre aucune donnée supplémentaire, car cet e-mail avertit d’une situation de perte permanente d’informations de sécurité.

4. Alerte e-mail d’interruption du flux de données pendant 30 jours

   Cet e-mail d’alerte est envoyé lorsque le flux de données du service Citrix Analytics vers votre environnement SIEM est interrompu pendant plus de 30 jours. À ce stade, le client a perdu des données de sécurité et il est impératif d’utiliser les capacités de dépannage pour rétablir le flux dès que possible.