脅威分析とデータ相関のためのCitrix Analytics SIEMデータモデルの活用
この記事では、お客様のSIEM環境に送信されるイベントによって示されるエンティティデータの関係について説明します。これを理解するために、クライアントIPとOSという属性が焦点となる脅威ハンティングのシナリオを例にとってみましょう。上記の属性をユーザーに関連付ける次の方法について説明します。
- カスタムリスク指標インサイトの使用
- データソースイベントの使用
Splunkは、次の例で紹介するSIEM環境として選ばれました。同様のデータ相関は、Citrix Analyticsのワークブックテンプレートを使用してSentinelで実行することもできます。これについてさらに詳しく調べるには、 Microsoft Sentinel用のCitrix Analyticsワークブックを参照してください。
カスタムリスク指標インサイト
SIEMのCitrix Analyticsデータエクスポート形式で説明したように、指標の概要とイベントの詳細のインサイトはデフォルトのリスクインサイトデータセットの一部です。Citrix Virtual Apps and Desktops インジケーターデータセットの場合、クライアントIPとOSはデフォルトでエクスポートされます。したがって、管理者がこれらのフィールドを含む条件付きまたは条件なしのカスタムインジケーターを設定すると、そのデータポイントがSplunk環境に流れ込みます。
Citrix Analytics でのカスタムリスク指標の設定
-
Citrix Analytics for Securityダッシュボード > カスタムリスク指標 > 指標の作成に移動します。ユーザーの行動を監視するのに役立つ任意の条件でカスタムリスク指標を作成できます。カスタムインジケーターを設定すると、関連する条件をトリガーしたすべてのユーザーが Splunk 環境に表示されます。
-
作成したリスク指標のオカレンスをCitrix Analytics for Securityで表示するには、[セキュリティ]>[ユーザー]に移動します。 ページの一番下に移動し、プラス (+) アイコンをクリックします。
リスク指標カードが表示されます。リスク指標、重要度、発生率の詳細を表示できます。
-
「 もっと見る」をクリックします。 リスク指標の概要ページが表示されます 。
リスク指標の概要ページでは、指標をトリガーしたユーザーの詳細を、詳細なタイムラインビューとユーザー概要で表示できます。タイムラインの詳細については、「 ユーザーリスクタイムラインとプロファイル」を参照してください。
Splunkでのリスク指標の発生-未処理クエリ
また、Splunk Enterprise for Citrix Analytics for Security Add-onでデータ入力を設定する際に使用したインデックスとソースタイプを使用して、クライアントのIPとOSの情報を取得することもできます。
-
[ Splunk] > [新規検索] に移動します。検索クエリで、次のクエリを入力して実行します。
index=<index configured by you> sourcetype=<sourcetype configured by you> AND "<tenant_id>" AND "<indicator name configured by you on CAS>" AND "<user you are interested in>" <!--NeedCopy-->
-
indicator_uuid を取得して、次のクエリを実行します。
index=<index configured by you> sourcetype=<sourcetype configured by you> "<tenant_id>" AND "<indicator_uuid>" <!--NeedCopy-->
イベント結果には、 **インジケーターイベントの概要とインジケーターイベントの詳細** (インジケーターによってトリガーされるアクティビティ)が含まれます。イベントの詳細には、 クライアント IP と OS の情報 (名前、バージョン、追加情報) が含まれます。
データ形式の詳細については、「 Citrix Analytics SIEM用データエクスポート形式」を参照してください。
Splunk でのリスク指標の発生-ダッシュボードアプリ
Splunk向けCitrix Analyticsアプリのインストール方法に関するガイダンスについては、以下の記事を参照してください。
-
Citrix Analytics — ダッシュボードタブをクリックし 、ドロップダウンリストから「 リスク指標の詳細 」オプションを選択します。
-
ドロップダウンリストからコンテンツを適切にフィルタリングし、[ 送信] をクリックします。
-
ユーザーインスタンスをクリックすると、詳細が表示されます。
-
クライアント IP と OS の情報 (名前、バージョン、追加情報) は、このページの下部に表示されます。
データソースイベント
Splunk 環境のクライアント IP と OS の詳細を取得するもう 1 つの方法は、エクスポート用のデータソースイベントを設定することです。この機能により、Self-Service Search ビューに表示されているイベントを Splunk 環境に直接送信できます。SIEM にエクスポートするVirtual Apps and Desktops のイベントタイプを設定する方法の詳細については、次の記事を参照してください。
-
Citrix Analytic for セキュリティダッシュボード > 検索に移動します。このセルフサービス検索ページでは、すべてのイベントタイプと関連情報が表示されます。次のスクリーンショットの例として、 Session.Logon イベントタイプを確認できます。
-
Session.Logonをエクスポート用のデータソースイベントに設定し 、 保存を押してSplunk環境にフローさせます 。
-
Splunk に移動し、次のクエリを入力して実行します。
index="<index you configured>" sourcetype="<sourcetype you configured>" "<tenant_id>" AND "datasourceCVADEventDetails" AND "Session.Logon" AND "<user you’re interested in>" <!--NeedCopy-->
クライアント IP と OS に関連するフィールドが強調表示されます。