Citrix Analytics for Security

Security Insight用のシグマ署名の例

このページには、管理者がCitrix Security Analyticsを使用して有意義な結果を達成するのに役立つクエリの例が含まれています。

これらの例は、以下のカテゴリのリスクを対象としています:

  • 侵害されたエンドポイント
  • インサイダーの脅威
  • データ流出

これらの例の使用方法

データソースを表示し、データ処理をオンにする

データソースを表示するには、Citrix Analytics GUIで[ 設定]>[データソース]>[セキュリティ ]をクリックします。[ アプリとデスクトップ-Workspace アプリ ] サイトカードが [ データソース ] ページに表示されます。Citrix Analytics がこのデータソースのデータの処理を開始できるようにするには、[データ処理を有効にする ]をクリックします。

Citrix Analytics for Securityは、次の2種類のリスクインサイトデータをSIEMサービスに送信します:

  • リスクインサイトイベント (デフォルトエクスポート)
  • データソースイベント (オプションのエクスポート)

SIEM 環境の一部として、リスクインサイトイベントデータソースが利用可能で、デフォルトでは常に有効になっています。詳しくは、「 Citrix Analytics for SecurityからSIEMサービスにエクスポートされるデータイベント」を参照してください。

CAS 署名または Sigma 署名を使用して、データソース内の特定のユーザーイベントを検証できます。CASクエリには、Citrix Analytics GUIのセルフサービス検索ページからアクセスできます。シグマ署名はシンプルまたはユーザーフレンドリーな形式で記述されているため、さまざまなSIEM環境と互換性があります。

CAS クエリーの使用

セルフサービス検索ページの CAS クエリを使用して、さまざまなデータソースから受信したユーザーイベントを検索してフィルタリングできます。Citrix Analytics GUIから[ 検索 ]をクリックし、検索ボックスにクエリを入力します。詳細については、「 セルフサービス検索の使用方法」を参照してください。

既存のテンプレートを使用してカスタムリスク指標を作成することもできます。カスタムリスク指標を作成するには、[ セキュリティ] > [カスタムリスク指標] > [指標の作成] に移動します。詳細については、「 カスタムリスク指標の作成」を参照してください。

シグマ署名の使用

Sigmaは、アナリストがログイベントの説明に使用できるテキストベースのクエリを作成するためのユーザーフレンドリーなオープンシグネチャ形式で、検出を簡単に記述できます。Sigma 署名を SIEM ツールのクエリ言語に変換する方法はいくつかあります。

さまざまなリスクインサイトについては、以下のさまざまなカスタム指標のユースケースを参照してください:

Security Insight用のシグマ署名の例

この記事の概要