安全洞察的 Sigma 签名示例

December 7, 2023

投稿者:

本页包含示例查询，可帮助管理员使用 Citrix Security Analytics 取得有意义的结果。

这些示例涵盖以下类别的风险：

受损的端点
内幕威胁
数据泄露

如何使用这些示例

查看数据源并开启数据处理

要查看数据源，请在 Citrix Analytics GUI 中单击“设置”>“数据源”>“安全”。应用程序和桌面 - Workspace 应用程序站点卡显示在“数据源”页面上。单 击打开数据处理 以允许 Citrix Analytics 开始处理此数据源的数据。

Citrix Analytics for Security 将以下两种类型的风险洞察数据发送到您的 SIEM 服务：

风险洞察事件（默认导出）
数据源事件（可选导出）

作为 SIEM 环境的一部分，风险洞察事件数据源可用且默认情况下始终处于打开状态。有关更多信息，请参阅从 Citrix Analytics for Security 导出到您的 SIEM 服务的数据事件。

您可以使用 CAS 或 Sigma 签名来验证数据源中的任何特定用户事件。CAS 查询可通过 Citrix Analytics GUI 上的“自助搜索”页面进行访问。Sigma 签名以简单或用户友好的格式编写，使其与各种 SIEM 环境兼容。

使用 CAS 查询

您可以使用“自助搜索”页面下的 CAS 查询来查找和筛选从各种数据源收到的用户事件。在 Citrix Analytics GUI 中单击“搜索”，然后在搜索框中输入查询。有关更多详细信息，请参阅如何使用自助搜索。

您还可以使用现有模板创建自定义风险指标。要创建自定义风险指标，请导航到安全 > 自定义风险指标 > 创建指标。有关更多详细信息，请参阅创建自定义风险指标。

使用 Sigma 签名

Sigma 是一种用户友好的开放签名格式，用于创建基于文本的查询，分析人员可以使用这些查询来描述日志事件，从而使检测结果更易于编写。有几种不同的方法可以将 Sigma 签名转换为 SIEM 工具的查询语言。

您可以使用 Sigma 提供的 CLI 工具和 Python SDK。有关 Sigma 签名的更多信息，请参阅规则用法。
您可以使用公共工具，例如 uncoder.io 的 Sigma 翻译引擎，它提供免费套餐。

有关不同的风险见解，请参阅以下不同的自定义指标用例：

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

安全洞察的 Sigma 签名示例

December 7, 2023

投稿者:

December 7, 2023

投稿者:

在本文中

如何使用这些示例

这是否有帮助？