Citrix Analytics for Security

脅威分析とデータ相関のためのCitrix Analytics SIEMデータモデルの活用

この記事では、お客様のSIEM環境に送信されるイベントによって示されるエンティティデータの関係について説明します。これを理解するために、クライアントIPとOSという属性が焦点となる脅威ハンティングのシナリオを例にとってみましょう。上記の属性をユーザーに関連付ける次の方法について説明します。

  • カスタムリスク指標インサイトの使用
  • データソースイベントの使用

Splunkは、次の例で紹介するSIEM環境として選ばれました。同様のデータ相関は、Citrix Analyticsのワークブックテンプレートを使用してSentinelで実行することもできます。これについてさらに詳しく調べるには、 Microsoft Sentinel用のCitrix Analyticsワークブックを参照してください

カスタムリスク指標インサイト

SIEMのCitrix Analyticsデータエクスポート形式で説明したように、指標の概要とイベントの詳細のインサイトはデフォルトのリスクインサイトデータセットの一部です。Citrix Virtual Apps and Desktops インジケーターデータセットの場合、クライアントIPとOSはデフォルトでエクスポートされます。したがって、管理者がこれらのフィールドを含む条件付きまたは条件なしのカスタムインジケーターを設定すると、そのデータポイントがSplunk環境に流れ込みます。

Citrix Analytics でのカスタムリスク指標の設定

  1. Citrix Analytics for Securityダッシュボード > カスタムリスク指標 > 指標の作成に移動します。ユーザーの行動を監視するのに役立つ任意の条件でカスタムリスク指標を作成できます。カスタムインジケーターを設定すると、関連する条件をトリガーしたすべてのユーザーが Splunk 環境に表示されます。

    カスタムリスク指標の設定

  2. 作成したリスク指標のオカレンスをCitrix Analytics for Securityで表示するには、[セキュリティ]>[ユーザー]に移動します。 ページの一番下に移動し、プラス (+) アイコンをクリックします

    作成されたリスク指標の出現状況を表示

    リスク指標カードが表示されます。リスク指標、重要度、発生率の詳細を表示できます。

    リスク指標の詳細

  3. もっと見る」をクリックします。 リスク指標の概要ページが表示されます

    リスク指標の概要

    リスク指標の概要ページでは、指標をトリガーしたユーザーの詳細を、詳細なタイムラインビューとユーザー概要で表示できます。タイムラインの詳細については、「 ユーザーリスクタイムラインとプロファイル」を参照してください。

    ユーザーリスクのタイムラインとプロファイル

Splunkでのリスク指標の発生-未処理クエリ

また、Splunk Enterprise for Citrix Analytics for Security Add-onでデータ入力を設定する際に使用したインデックスとソースタイプを使用して、クライアントのIPとOSの情報を取得することもできます。

  1. [ Splunk] > [新規検索] に移動します。検索クエリで、次のクエリを入力して実行します。

    index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>"
    
    <!--NeedCopy-->
    

    Query1a

  2. indicator_uuid を取得して、次のクエリを実行します。

    index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>"
    
    <!--NeedCopy-->
    

    Query2a

    イベント結果には、 **インジケーターイベントの概要とインジケーターイベントの詳細** (インジケーターによってトリガーされるアクティビティ)が含まれます。イベントの詳細には、 クライアント IPOS の情報 (名前、バージョン、追加情報) が含まれます。

データ形式の詳細については、「 Citrix Analytics SIEM用データエクスポート形式」を参照してください。

Splunk でのリスク指標の発生-ダッシュボードアプリ

Splunk向けCitrix Analyticsアプリのインストール方法に関するガイダンスについては、以下の記事を参照してください。

  1. Citrix Analytics — ダッシュボードタブをクリックし 、ドロップダウンリストから「 リスク指標の詳細 」オプションを選択します。

    リスク指標詳細オプション

  2. ドロップダウンリストからコンテンツを適切にフィルタリングし、[ 送信] をクリックします。

    リスク指標詳細オプションフィルタ

  3. ユーザーインスタンスをクリックすると、詳細が表示されます。

    リスク指標ユーザーインスタンス

  4. クライアント IPOS の情報 (名前、バージョン、追加情報) は、このページの下部に表示されます。

    クライアント IP と OS 情報

データソースイベント

Splunk 環境のクライアント IP と OS の詳細を取得するもう 1 つの方法は、エクスポート用のデータソースイベントを設定することです。この機能により、Self-Service Search ビューに表示されているイベントを Splunk 環境に直接送信できます。SIEM にエクスポートするVirtual Apps and Desktops のイベントタイプを設定する方法の詳細については、次の記事を参照してください。

  1. Citrix Analytic for セキュリティダッシュボード > 検索に移動します。このセルフサービス検索ページでは、すべてのイベントタイプと関連情報が表示されます。次のスクリーンショットの例として、 Session.Logon イベントタイプを確認できます。

    セッションログオン

  2. Session.Logonをエクスポート用のデータソースイベントに設定し保存を押してSplunk環境にフローさせます

    セッションログオンの設定

  3. Splunk に移動し、次のクエリを入力して実行します。

    index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon"  AND "<user you’re interested in>"
    
    <!--NeedCopy-->
    

    クライアント IP と OS に関連するフィールドが強調表示されます。

    Query3a

脅威分析とデータ相関のためのCitrix Analytics SIEMデータモデルの活用