Splunk 統合
Citrix Analytics for SecurityをSplunkと統合すると、ユーザーのデータをCitrix IT環境からSplunkにエクスポートして相互に関連付けることができ 、組織のセキュリティ体制についてより深い洞察を得ることができます。
統合の利点と、SIEM に送信される処理済みデータの種類の詳細については、 セキュリティ情報とイベント管理の統合を参照してください。
Splunkの導入方法論を包括的に理解し、効果的な計画を行うための戦略を採用するには、 SplunkでホストされているCitrix Analyticsアプリケーションを含むSplunkアーキテクチャのドキュメントを参照してください 。
セキュリティのためのCitrix Analytics と Splunk の統合
Citrix Analytics for SecurityとSplunkを統合するには、前述のガイドラインに従ってください。
-
データのエクスポート。Citrix Analytics for Securityは、Kafkaチャネルを作成し、リスクインサイトとデータソースイベントをエクスポートします。Splunk は、チャネルからこのリスクインテリジェンスを取得します。
-
Citrix Analytics 構成を取得します。認証用の事前定義されたアカウントのパスワードを作成します。セキュリティ向けCitrix Analytics は、SplunkのCitrix Analytics アドオンを構成するために必要な構成ファイルを準備します。
-
Splunk 用 Citrix Analytics アドオンをダウンロードしてインストールします。Splunkbase または Splunk Cloud のいずれかを使用して Splunk 用 Citrix Analytics アドオンをダウンロードし 、インストールプロセスを完了してください。
-
Splunk 用の Citrix Analytics アドオンを構成します。セキュリティ向けCitrix Analytics が提供する構成の詳細を使用してデータ入力を設定し、Splunk用のCitrix Analyticsアドオンを構成します。
Citrix Analytics 構成ファイルが準備されたら、以下を参照してください。
Splunk 用の Citrix Analytics アドオンを構成したら、以下を参照してください。
データのエクスポート
-
[設定] > [ **データエクスポート ]**に移動します。
-
アカウント設定セクションで 、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。
-
パスワードが次の条件を満たしていることを確認します。
-
[ 構成] を選択します。
Citrix Analytics for Security は、Splunk の統合に必要な構成の詳細を準備します。
-
[ Splunk] を選択します。
-
ユーザー名、ホスト、Kafka トピック名、グループ名などの設定の詳細をコピーします。
以降の手順でSSplunk 用Citrix Analytics アドオンを構成するには、これらの詳細が必要です。
重要
これらの情報は機密情報であるため、安全な場所に保存する必要があります。
Splunk Integrationの候補データを生成するには、 少なくとも1つのデータソースのデータ処理をオンにするか、 テストイベント生成機能を使用してください。Citrix Analytics for SecurityがSplunkの統合プロセスを開始するのに役立ちます。
パスワードリセット機能
Citrix Analytics for Securityで構成パスワードをリセットする場合は、次の手順に従います。
-
アカウント設定ページで 、「 パスワードのリセット」をクリックします。
-
[パスワードのリセット ]ウィンドウで、[新しいパスワード]フィールドと[ 新しいパスワードの確認]フィールドに、更新されたパスワードを指定します 。表示されるパスワードルールに従います。
-
[ リセット] をクリックします。設定ファイルの準備が開始されます。
注:
設定パスワードをリセットしたら、Splunk 環境の [Add Data]ページでデータ入力を設定するときに、必ず新しいパスワードを更新してください。Citrix Analytics for Securityは、Splunkにデータを送信し続けるのに役立ちます。
データ伝送をオンまたはオフにする
Citrix Analytics からの Splunk データエクスポートのデータ転送は、デフォルトでオンになっています。
セキュリティ向けCitrix Analytics からのデータの送信を停止するには:
-
[設定] > [データエクスポート]に移動します。
-
トグルボタンをオフにしてデータ転送を無効にします。
データ転送を再度有効にするには、トグルボタンをオンにします。
Splunk向けCitrix Analyticsアドオン
アドオンアプリケーションは次のいずれかのプラットフォームにインストールできます。
Splunk向けCitrix Analyticsアドオン(オンプレミス/エンタープライズ)
サポートされるバージョン
Citrix Analytics for Securityは、次のオペレーティングシステムで Splunk 統合をサポートしています。
- CentOS Linux 7 以降
- Debian GNU/Linux 10.0 以降
- Red Hat エンタープライズ Linux サーバー 7.0 以降
- Ubuntu 18.04 LTS以降
注
Citrix では、 前述のオペレーティングシステムの最新バージョンまたは各ベンダーのサポートを受けているバージョンを使用することをお勧めします。
Linux カーネル (64 ビット) オペレーティングシステムの場合は、Splunk がサポートしているカーネルバージョンを使用してください。詳細については、 Splunk のドキュメントを参照してください。
当社の Splunk インテグレーションは、Splunk 8.1 (64 ビット) 以降の Splunk バージョンで設定できます。
前提条件
-
Splunk 用の Citrix Analytics アドオンは 、セキュリティ向け Citrix Analytics の以下のエンドポイントに接続します。エンドポイントがネットワークの許可リストに含まれていることを確認します。
エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン Kafkaブローカー casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
注:
IP アドレスではなくエンドポイント名を使用してみてください。エンドポイントのパブリック IP アドレスは変更される可能性があります。
Splunk 用 Citrix Analytics アドオンをダウンロードしてインストールする
アドオンは、「 ファイルからアプリをインストール」を使用してインストールするか 、 Splunk 環境内からインストールするかを選択できます。
ファイルからアプリをインストールする
-
Splunkbaseに移動
-
Splunk 用 Citrix Analytics アドオンファイルをダウンロードします。
-
Splunk Web ホームページで、[ アプリ] の横にある歯車アイコンをクリックします。
-
[ ファイルからアプリをインストール] をクリックします。
-
ダウンロードしたファイルを探し、[ アップロード] をクリックします。
メモ
-
古いバージョンのアドオンを使用している場合は、[ アプリのアップグレード ] を選択して上書きします。
-
Citrix Analytics Splunk for Splunkを2.0.0より前のバージョンからアップグレードする場合は 、アドオンインストールフォルダーの /bin フォルダー内にある以下のファイルとフォルダーを削除し、Splunk Forwarder または Splunk スタンドアロン環境を再起動する必要があります。
cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
rm -rf splunklib
rm -rf mac
rm -rf linux_x64
rm CARoot.pem
rm certificate.pem
-
-
アプリが [アプリ] リストに表示されていることを確認します。
Splunk 内からアプリをインストールする
-
Splunk Web ホームページから、[ + その他のアプリを検索] をクリックします。
-
[その他のアプリの参照]ページで、[ Splunk]の[Citrix Analytics アドオン]を検索します。
-
アプリの横にある [ インストール ] をクリックします。
-
アプリが [アプリ] リストに表示されていることを確認します。
Splunk 用のCitrix Analytics アドオンを構成する
Citrix Analytics for Securityが提供する構成の詳細を使用して、SplunkのCitrix Analytics アドオンを構成します。アドオンが正常に構成されると、SplunkはCitrix Analytics for Securityからイベントの消費を開始します。
-
Splunk のホームページで、[ 設定] > [データ入力 ] の順に選択します。
-
[ ローカル入力 ]セクションで、[ Citrix Analytics アドオン]をクリックします。
-
[New] をクリックします。
-
[データの追加 ]ページで、Citrix Analytics 構成ファイルに記載されている詳細を入力します。
-
デフォルト設定をカスタマイズするには、[ 詳細設定 ] をクリックしてデータ入力を設定します。独自の Splunk インデックス、ホスト名、ソースタイプを定義できます。
-
[次へ] をクリックします。Citrix Analytics データ入力が作成され、Splunk 用の Citrix Analytics アドオンが正常に構成されました。
Splunk向けCitrix Analyticsアドオン (クラウド)
Splunk インテグレーションは、次の Splunk バージョン (Splunk 8.1 以降) で設定できます。
前提条件
Splunk向けCitrix Analyticsアドオンは、次のIPとアウトバウンドポートに接続して、セキュリティ向けCitrix 分析に接続します。次のIPと送信ポート(Citrix Cloudの地域によって異なります)がネットワークの許可リストに含まれていることを確認してください。これらのIPと送信ポートを構成するには、「 管理構成サービス(ACS)を使用してCitrix Analytics IPと送信ポートをSplunk Cloud許可リストに追加する 」セクションを参照してください。
米国リージョン | IP | アウトバウンドポート | 欧州連合地域 | IP | アウトバウンドポート | アジア太平洋南部リージョン | IP | アウトバウンドポート |
---|---|---|---|---|---|---|---|---|
casnb-0 Citrix ドットコム | 20.242.21.84 | 9094 | casnb-eu-0 Citrix.com | 20.229.150.41 | 9094 | casnb-aps-0 citrix.com | 20.211.0.214 | 9094 |
casnb-1.citrix.com | 20.98.232.61 | 9094 | casnb-eu-1.citrix.com | 20.107.97.59 | 9094 | casnb-aps-1 citrix.com | 20.211.38.102 | 9094 |
casnb-2.citrix.com | 20.242.21.108 | 9094 | casnb-eu-2.citrix.com | 51.124.223.162 | 9094 | casnb-aps-2 citrix.com | 20.211.36.180 | 9094 |
casnb-3.citrix.com | 20.242.57.140 | 9094 |
注:
これらの IP はローテーションの対象となります。上記のように、IP 許可リストが最新の IP で更新されていることを確認してください。
管理者構成サービス(ACS)を使用してCitrix Analytics IPとアウトバウンドポートをSplunk Cloudの許可リストに追加する
- Citrix Cloudの地域によっては、IPをゼロインで許可リストに追加する必要があります。
- Splunk クラウドプラットフォームで管理設定サービス (ACS) を有効にします。
- 管理者権限を持つローカルアカウントを使用して、許可リストのトークンを作成します。
- cURL GET および POST コマンドを実行して 、サブネットをそれぞれのポートの許可リストに追加し、正常に追加されたかどうかを検証します。
- cURL の GET および POST コマンドを実行して 、送信ポートを許可リストに追加し、正常に追加されたかどうかを確認します。
Splunk 用 Citrix Analytics アドオンをダウンロードしてインストールする
-
[ アプリ] > [その他のアプリを探す] > [Splunk向けCitrix Analyticsアドオンを検索する] に移動します。
- アプリをインストールします。
- アプリが [アプリ] リストに表示されていることを確認します。
Splunk 用のCitrix Analytics アドオンを構成する
-
[設定] > [データ入力] > [Citrix Analytics アドオン] に移動します。
-
入力を追加:Splunk インテグレーション Citrix Analytics for Security。[新規追加]をクリックします。 -
Citrix Analytics データエクスポートページで構成された詳細を入力して、データ入力を構成します 。
-
データ入力が正常に追加されたかどうかを確認してください。
Splunk 環境でイベントを利用する方法
アドオンの構成後、Splunk はセキュリティ向けCitrix Analytics からリスクインテリジェンスの取得を開始します。設定済みのデータ入力に基づいて Splunk 検索ヘッドから組織のイベントを検索することができます。
検索結果は次の形式で表示されます。
出力例:
アドオンの問題を検索してデバッグするには、次の検索クエリを使用します。
結果は次の形式で表示されます。
データ形式について詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。
Splunk 用 Citrix Analytics アドオンのトラブルシューティング
Splunk ダッシュボードにデータが表示されない場合や、Splunk 用の Citrix Analytics アドオンの構成中に問題が発生した場合は、デバッグ手順を実行して問題を修正します。詳しくは、「 Splunk 用 Citrix Analytics アドオンの構成に関する問題」を参照してください。
注
< CAS-PM-Ext@cloud.com >Splunkの統合、Splunkへのデータのエクスポート、またはフィードバックの提供に関するサポートをリクエストするには、お問い合わせください。
Splunk 向けCitrix Analytics アプリ
注
このアプリはプレビュー版です。
Splunk 向けの Citrix Analytics アプリを使用すると、Splunk エンタープライズ管理者は、セキュリティ向け Citrix Analytics から収集されたユーザーデータを、Splunk 上の洞察力に富んだ実用的なダッシュボードの形式で表示できます。これらのダッシュボードを使用すると、組織内のユーザーのリスクの高い行動を詳細に把握し、内部からの脅威を軽減するためにタイムリーな措置を講じることができます。また、セキュリティ向け Citrix Analytics から収集されたデータを、Splunk で構成された他のデータソースと関連付けることもできます。この相関関係により、複数のソースからのユーザーの危険なアクティビティを可視化し、IT環境を保護するための対策を講じることができます。
サポートされている Splunk バージョン
Splunk 向けCitrix Analytics アプリは、次のバージョンの Splunk で実行されます。
-
Splunk 9.0 64ビット
-
Splunk 8.2 64 ビット
-
Splunk 8.1 64 ビット
Splunk 用Citrix Analytics アプリケーションの前提条件
-
Splunk 用Citrix Analyticsアドオンをインストールします 。
-
Splunk 用 Citrix Analytics アドオンの前提条件が既に満たされていることを確認します 。
-
データがセキュリティ向け Citrix Analytics から Splunk に流れていることを確認します。
インストールと構成
アプリをインストールする場所はどこですか
Splunk 検索ヘッド
アプリをインストールして設定する方法は
Splunk 用 Citrix Analytics アプリをインストールするには、 Splunkbase からダウンロードするか、Splunk 内からインストールします。
ファイルからアプリをインストールする
-
Splunkbaseに移動
-
Splunk 用Citrix Analytics アプリファイルをダウンロードします。
-
Splunk Web ホームページで、[ アプリ] の横にある歯車アイコンをクリックします。
-
[ ファイルからアプリをインストール] をクリックします。
-
ダウンロードしたファイルを探し、[ アップロード] をクリックします。
注
古いバージョンのアプリを使用している場合は、[ アプリのアップグレード ] を選択して上書きします。
-
アプリが [アプリ] リストに表示されていることを確認します。
Splunk 内からアプリをインストールする
-
Splunk Web ホームページから、[ + その他のアプリを検索] をクリックします。
-
[その他のアプリの参照]ページで、 Citrix Analytics アプリで Splunkを検索します。
-
アプリの横にある [ インストール ] をクリックします。
インデックスとソースタイプを設定してデータを関連付ける
-
アプリをインストールしたら、[ 今すぐ設定] をクリックします。
-
次のクエリを入力します。
-
Citrix Analytics for Securityのデータが保存されるインデックスとソースタイプ。
注
これらのクエリ値は、Splunk の Citrix Analytics アドオンで指定されている値と同じである必要があります。詳しくは、「 Splunk 用の Citrix Analytics アドオンを構成する」を参照してください。
-
データとセキュリティ向け Citrix Analytics を関連付けるインデックスです。
-
-
[ アプリのセットアップを終了 ] をクリックして、構成を完了します。
SSplunk 用のCitrix Analytics アプリを構成してセットアップしたら、 Citrix Analytics ダッシュボードを使用して 、SSplunk のユーザーイベントを表示します。
Splunk 統合の詳細については、次のリンクを参照してください。