Microsoft Sentinelとの統合
メモ
Microsoft Sentinel < CAS-PM-Ext@cloud.com > の統合、Microsoft Sentinel へのデータのエクスポートに関するサポートの依頼、またはフィードバックの提供については、お問い合わせください。
Logstash エンジンを使用した Microsoft Sentinel へのデータエクスポートはプレビュー中です。この機能はサービスレベルアグリーメントなしで提供され、本番環境のワークロードには推奨されません。詳細については、 Microsoft Sentinel のドキュメントを参照してください 。
Logstashエンジンを使用して、Citrix Analytics for SecurityをMicrosoft Sentinelと統合します。
この統合により、Citrix IT環境からMicrosoft Sentinelにユーザーのデータをエクスポートして関連付け、組織のセキュリティ体制に関するより深い洞察を得ることができます。SSplunk k環境内のCitrix Analytics for Securityに固有の洞察に満ちたダッシュボードを表示します。セキュリティ要件に基づいてカスタムビューを作成することもできます。
統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください。
前提条件
-
少なくとも 1 つのデータソースのデータ処理を有効にします。これは、Citrix Analytics for SecurityがMicrosoft Sentinel統合プロセスを開始するのに役立ちます。
-
ネットワークの許可リストに次のエンドポイントがあることを確認します。
エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン Kafkaブローカー casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
-
Logstash用のMicrosoft Sentinel出力プラグインを備えたLogstashバージョン7.17.7以降(セキュリティ向けCitrix Analyticsとの互換性がテストされたバージョン:v7.17.7およびv8.5.3)を必ず使用してください。
Microsoft Sentinelとの統合
-
[設定] > [データエクスポート]に移動します。
-
アカウント設定セクションで 、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。
-
パスワードが次の条件を満たしていることを確認します。
-
[ Configure ] をクリックして Logstash 設定ファイルを生成します。
-
Azure Sentinel (プレビュー) タブを選択して構成ファイルをダウンロードします。
-
Logstash構成ファイル:Logstashデータ収集エンジンを使用してCitrix Analytics for SecurityからMicrosoft Sentinelにイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれます。
Logstash の設定ファイルの構造については、 Logstash のドキュメントを参照してください。
-
JKS ファイル:SSL 接続に必要な証明書が含まれます。
注
これらのファイルには機密情報が含まれています。安全な場所に保管してください。
-
-
Azure Sentinel インテグレーションを準備します。
-
Azure ポータルで、 Microsoft Sentinelを有効にします。ワークスペースを作成することも、既存のワークスペースを使用して Microsoft Sentinel を実行することもできます。
-
メインメニューから [データコネクタ] を選択し、[ データコネクタ ] ギャラリーを開きます。
-
「 Citrix Analytics(セキュリティ)」を検索します。
-
Citrix Analytics(セキュリティ) ]を選択し、[ コネクタページを開く]を選択します。
-
Citrix Analytics(セキュリティ) ]ページから、[ ワークスペースID ]と[ 主キー]をコピーします。この情報は、以降の手順で Logstash 設定ファイルに入力する必要があります。
-
ホストマシンで Logstash を設定します。
-
Linux または Windows ホストマシンで、 Logstash 用の Logstashおよび Microsoft Sentinel 出力プラグインをインストールします。
-
Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。
ホストマシンタイプ ファイル名 ディレクトリパス Linux CAS_AzureSentinel_LogStash_Config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
.zip および.tar.gz アーカイブの場合: {extract.path}/config
kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
.zip および.tar.gz アーカイブの場合: {extract.path}/ssl
Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
kafka.client.truststore.jks Logstashインストールパッケージのデフォルトのディレクトリ構造については、 Logstashのドキュメントを参照してください。
-
Logstash 設定ファイルを開き、次の操作を行います。
-
ファイルの input セクションに、次のように入力します。
-
パスワード:Citrix Analytics for Securityで構成ファイルを準備するために作成したアカウントのパスワード。
-
SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。
-
-
ファイルの出力セクションで、 ファイルの出力セクションにワークスペース IDとプライマリキー (Microsoft Sentinel からコピーしたもの) を入力します。
-
-
Logstashホストマシンを再起動して、Citrix Analytics for SecurityからMicrosoft Sentinelに処理済みのデータを送信します。
-
-
Microsoft Sentinelワークスペースに移動し、 Citrix Analytics ワークブックのデータを表示します。
-
データ伝送をオンまたはオフにする
Citrix Analytics for Securityが構成ファイルを準備すると、Microsoft Sentinelのデータ転送がオンになります。
セキュリティ向けCitrix Analytics からのデータの送信を停止するには:
-
[設定] > [データエクスポート]に移動します。
-
トグルボタンをオフにしてデータ転送を無効にします。デフォルトでは、 データ転送は常に有効になっています 。
確認用の警告ウィンドウが表示されます。データ転送を停止するには、[ データ転送をオフにする ] ボタンをクリックします。
データ転送を再度有効にするには、トグルボタンをオンにします。
Microsoft Sentinel 統合の詳細については、次のリンクを参照してください。