产品文档
Citrix Analytics for Security™
查看 PDF

Microsoft Sentinel 集成

September 16, 2025
投稿者: 
C C

注意

  • 请联系 CAS-PM-Ext@cloud.com 以获取 Microsoft Sentinel 集成、将数据导出到 Microsoft Sentinel 的帮助,或提供反馈。

  • 使用 Logstash 引擎将数据导出到 Microsoft Sentinel 的功能处于预览阶段。此功能不提供服务级别协议,不建议用于生产工作负载。有关详细信息,请参阅 Microsoft Sentinel 文档。

使用 Logstash 引擎将 Citrix Analytics for Security™ 与您的 Microsoft Sentinel 集成。

此集成使您能够将 Citrix IT 环境中的用户数据导出并关联到 Microsoft Sentinel,从而更深入地了解组织的安全状况。在您的 Splunk 环境中查看 Citrix Analytics for Security 独有的富有洞察力的仪表板。您还可以根据安全要求创建自定义视图。

有关集成优势以及发送到 SIEM 的已处理数据类型的更多信息,请参阅安全信息和事件管理集成

先决条件

  • 为至少一个数据源启用数据处理。这有助于 Citrix Analytics for Security 启动 Microsoft Sentinel 集成过程。

  • 确保以下端点在您的网络允许列表中。

    端点 美国区域 欧盟区域 亚太南部区域
    Kafka 代理 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

  • 确保您使用 Logstash 7.17.7 或更高版本(经测试与 Citrix Analytics for Security 兼容的版本:v7.17.7 和 v8.5.3)以及适用于 Logstash 的 Microsoft Sentinel 输出插件。

与 Microsoft Sentinel 集成

  1. 转到 “设置”>“数据导出”

  2. “帐户设置” 部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。

    SIEM 配置页面

  3. 确保密码满足以下条件:

    SIEM 密码要求

  4. 单击 “配置” 以生成 Logstash 配置文件。

    配置

  5. 选择 Azure Sentinel (Preview) 选项卡以下载配置文件:

    • Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics for Security 发送到 Microsoft Sentinel 的配置数据(输入、筛选器和输出部分)。

      有关 Logstash 配置文件结构的更多信息,请参阅 Logstash 文档。

    • JKS 文件:包含 SSL 连接所需的证书。

    注意

    这些文件包含敏感信息。请将其保存在安全的位置。

    选择 Microsoft Sentinel

  6. 准备您的 Azure Sentinel 集成:

    1. 在您的 Azure 门户上,启用 Microsoft Sentinel。您可以创建工作区或使用现有工作区来运行 Microsoft Sentinel。

    2. 从主菜单中,选择 “数据连接器” 以打开数据连接器库。

    3. 搜索 Citrix Analytics (Security)

    4. 选择 Citrix Analytics (Security),然后选择 “打开连接器页面”

      Sentinel 数据连接器页面

    5. Citrix Analytics (Security) 页面,复制 “工作区 ID”“主密钥”。您必须在后续步骤中将此信息输入到 Logstash 配置文件中。

      数据连接器配置页面

    6. 在您的主机上配置 Logstash:

      1. 在您的 Linux 或 Windows 主机上,安装 Logstash适用于 Logstash 的 Microsoft Sentinel 输出插件

      2. 在您安装 Logstash 的主机上,将以下文件放置在指定目录中:

        主机类型 文件名 目录路径
        Linux CAS_AzureSentinel_LogStash_Config.config 对于 Debian 和 RPM 软件包:/etc/logstash/conf.d/
            对于 .zip 和 .tar.gz 存档:{extract.path}/config
          kafka.client.truststore.jks 对于 Debian 和 RPM 软件包:/etc/logstash/ssl/
            对于 .zip 和 .tar.gz 存档:{extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        有关 Logstash 安装包的默认目录结构的更多信息,请参阅 Logstash 文档

      3. 打开 Logstash 配置文件并执行以下操作:

        1. 在文件的输入部分,输入以下内容:

          • 密码:您在 Citrix Analytics for Security 中创建的用于准备配置文件的帐户密码。

          • SSL 信任库位置:您的 SSL 客户端证书的位置。这是您的主机中 kafka.client.truststore.jks 文件的位置。

          输入部分

        2. 在文件的输出部分,输入 “工作区 ID”“主密钥”(您已从 Microsoft Sentinel 复制)。

          输出部分

      4. 重新启动 Logstash 主机,以将 Citrix Analytics for Security 的已处理数据发送到 Microsoft Sentinel。

    7. 转到您的 Microsoft Sentinel 工作区,并在 Citrix Analytics 工作簿中查看数据。

启用或禁用数据传输

Citrix Analytics for Security 准备好配置文件后,将为 Microsoft Sentinel 启用数据传输。

要停止从 Citrix Analytics for Security 传输数据:

  1. 转到 “设置”>“数据导出”

  2. 关闭切换按钮以禁用数据传输。默认情况下,数据传输始终处于启用状态。

    SIEM 传输关闭

    将出现一个警告窗口以供您确认。单击 “关闭数据传输” 按钮以停止传输活动。

    SIEM 传输关闭警告

要再次启用数据传输,请打开切换按钮。

要了解有关 Microsoft Sentinel 集成的更多信息,请参阅以下链接:

Microsoft Sentinel 集成
September 16, 2025
投稿者: 
C C
September 16, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.