製品ドキュメント
Citrix Analytics for Security™
PDFを表示

Elasticsearch統合

September 16, 2025
寄稿者: 
C C

Elasticsearch統合、Elasticsearchへのデータのエクスポート、またはフィードバックに関するサポートをリクエストするには、CAS-PM-Ext@cloud.comまでお問い合わせください。

Citrix Analytics for SecurityをLogstashエンジンを使用してElasticsearchと統合します。この統合により、Citrix IT環境からElasticsearchにユーザーデータをエクスポートして関連付け、組織のセキュリティ体制に関するより深いインサイトを得ることができます。また、ElasticsearchをKibanaLogRhythmなどの可視化サービスやSIEMとそれぞれ使用することもできます。

統合の利点と、SIEMに送信される処理済みデータの種類については、「セキュリティ情報およびイベント管理の統合」を参照してください。

前提条件

  • 少なくとも1つのデータソースでデータ処理を有効にします。これにより、Citrix Analytics for Security™がElasticsearch統合プロセスを開始できるようになります。

  • 次のエンドポイントがネットワークの許可リストに含まれていることを確認します。

    エンドポイント 米国リージョン 欧州連合リージョン アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Elasticsearchとの統合

  1. 設定 > データエクスポートに移動します。

  2. アカウント設定セクションで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な構成ファイルを準備するために使用されます。

    SIEMデータエクスポート

  3. パスワードが次の条件を満たしていることを確認します。

    SIEMパスワード要件

  4. 構成をクリックして、Logstash構成ファイルを生成します。

    Elasticsearchの構成

  5. SIEM環境セクションからElastic Searchタブを選択して、構成ファイルをダウンロードします。

    • Logstash構成ファイル: Logstashデータ収集エンジンを使用してCitrix Analytics for SecurityからElasticsearchにイベントを送信するための構成データ(入力、フィルター、および出力セクション)が含まれています。Logstash構成ファイルの構造については、Logstashドキュメントを参照してください。

    • JKSファイル: SSL接続に必要な証明書が含まれています。

      これらのファイルには機密情報が含まれています。安全な場所に保管してください。

      Elasticsearchの選択

  6. Logstashを構成します。

    1. LinuxまたはWindowsホストマシンにLogstashをインストールします。既存のLogstashインスタンスを使用することもできます。

    2. Logstashをインストールしたホストマシンで、次のファイルを指定されたディレクトリに配置します。

      ホストマシンの種類 ファイル名 ディレクトリパス
      Linux CAS_Elasticsearch_LogStash_Config.config DebianおよびRPMパッケージの場合: /etc/logstash/conf.d/
          .zipおよび.tar.gzアーカイブの場合: {extract.path}/config
        kafka.client.truststore.jks DebianおよびRPMパッケージの場合: /etc/logstash/ssl/
          .zipおよび.tar.gzアーカイブの場合: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Logstashインストールパッケージのデフォルトのディレクトリ構造については、Logstashドキュメントを参照してください。

    3. Logstash構成ファイルを開き、次の操作を行います。

      1. ファイルの入力セクションに、次の情報を入力します。

        • パスワード: 構成ファイルを準備するためにCitrix Analytics for Securityで作成したアカウントのパスワード。

        • SSLトラストストアの場所: SSLクライアント証明書の場所。これは、ホストマシン上のkafka.client.truststore.jksファイルの場所です。

        Elasticsearch入力セクション

      2. ファイルの出力セクションに、ホストマシンまたはElasticsearchが実行されているクラスターのアドレスを入力します。

        Elasticsearch出力セクション

    4. Citrix Analytics for SecurityからElasticsearchに処理済みデータを送信するために、ホストマシンを再起動します。

構成が完了したら、ElasticsearchでCitrix Analyticsデータを表示できることを確認します。

データ送信の有効化または無効化

Citrix Analytics for Securityが構成ファイルを準備すると、Elasticsearchのデータ送信が有効になります。

Citrix Analytics for Securityからのデータ送信を停止するには:

  1. 設定 > データエクスポートに移動します。

  2. トグルボタンをオフにして、データ送信を無効にします。デフォルトでは、データ送信は常に有効になっています。

    SIEM送信の無効化

    確認のための警告ウィンドウが表示されます。データ送信を無効にするボタンをクリックして、送信アクティビティを停止します。

    SIEM送信無効化の警告

データ送信を再度有効にするには、トグルボタンをオンにします。

Elasticsearch統合
September 16, 2025
寄稿者: 
C C
September 16, 2025
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.