Splunk 集成
将 Citrix Analytics for Security 与 Splunk 集成,将用户数据从您的 Citrix IT 环境导出并关联到 Splunk,从而更深入地了解组织的安全状况。
有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成。
要全面了解 Splunk 部署方法并采用有效规划的策略,请参阅 Splunk 中托管的 Splunk 体系结构和 Citrix Analytics 应用程序文档。
将 Citrix Analytics for Security 与 Splunk 集成
遵循上述准则,将 Citrix Analytics for Security 与 Splunk 集成:
-
数据导出。Citrix Analytics for Security 创建 Kafka 频道并导出风险洞察和数据源事件。Splunk 从渠道检索此风险智能。
-
在 Citrix Analytics 上获取配置。为您的预定义帐户创建密码以进行身份验证。Citrix Analytics for Security 准备您配置适用于 Splunk 的 Citrix Analytics 加载项所需的配置文件。
-
下载并安装适用于 Splunk 的 Citrix Analytics 加载项。使用 Splunkbase 或 Splunk Cloud 下载适用于 Splunk 的 Citrix Analytics 加载项以完成安装过程。
-
配置适用于 Splunk 的 Citrix Analytics 加载项。使用 Citrix Analytics for Security 提供的配置详细信息来设置数据输入,并配置适用于 Splunk 的 Citrix Analytics 加载项。
准备好 Citrix Analytics 配置文件后,请参阅:
配置适用于 Splunk 的 Citrix Analytics 加载项后,请参阅:
数据导出
-
前往“设置”>“数据导出”。
-
在“帐户设置”部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。
-
确保密码满足以下条件:
-
选择 配置。
Citrix Analytics for Security 准备了 Splunk 集成所需的配置详细信息。
-
选择 Splunk。
-
复制配置详细信息,包括用户名、主机、Kafka 主题名称和组名。
在后续步骤中,您需要这些详细信息才能配置适用于 Splunk 的 Citrix Analytics 加载项。
重要
这些详细信息是敏感的,您必须将它们存储在安全的位置。
要为 Splunk Integration 生成候选数据,请为 至少一个数据源开启数据处理或使用 测试事件生成功能。它有助于 Citrix Analytics for Security 启动 Splunk 集成流程。
重置密码功能
如果要在 Citrix Analytics for Security 上重置配置密码,请执行以下步骤:
-
在“帐户设置”页面上,单击“重置密码”。
-
在重置密码窗口中,在新密码和确认新密码字段中指定更新后的密码 。遵循显示的密码规则。
-
单击重置。配置文件准备工作已启动。
注意
重置配置密码后,请确保在 Splunk 环境的添加数据页面上设置数据输入时更新新密码。它有助于 Citrix Analytics for Security 继续向 Splunk 传输数据。
打开或关闭数据传输
默认情况下,从 Citrix Analytics 导出的 Splunk 数据传输处于启用状态。
要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:
-
前往“设置”>“数据导出”。
-
关闭切换按钮以禁用数据传输。
要再次启用数据传输,请打开切换按钮。
适用于 Splunk 的 Citrix Analytics 加载项
您可以选择在以下任一平台上安装附加应用程序:
适用于 Splunk 的 Citrix Analytics 插件(本地/企业版)
支持的版本
Citrix Analytics for Security 支持在以下操作系统上集成 Splunk:
- CentOS Linux 7 及更高版本
- Debian GNU/Linux 10.0 及更高版本
- 红帽企业 Linux 服务器 7.0 及更高版本
- Ubuntu 18.04 LTS 及更高版本
注意
Citrix 建议使用先前操作系统的最新版本或 仍在相应供应商支持的版本。
对于 Linux 内核(64 位)操作系统,请使用 Splunk 支持的内核版本。有关更多信息,请参阅 Splunk 文档。
您可以在以下 Splunk 版本上配置我们的 Splunk 集成:Splunk 8.1 (64 位)及更高版本。
必备条件
-
适用于 Splunk 的 Citrix Analytics 加载项连接到 Citrix Analytics for Security 上的以下端点。确保终端节点位于网络中的允许列表中。
端点 美国地区 欧盟区域 亚太南部地区 Kafka 代理 casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
注意:
尝试使用端点名称而不是 IP 地址。终端节点的公有 IP 地址可能会更改。
下载并安装适用于 Splunk 的 Citrix Analytics 加载项
您可以选择使用 从文件安装应用程序或从 Splunk 环境中安装插件。
从文件安装应用
-
转到 Splunkbase。
-
下载适用于 Splunk 的 Citrix Analytics 加载项文件。
-
在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。
-
单击 从文件安装应用程序。
-
找到下载的文件,然后单击 上传。
备注
-
如果您有旧版本的加载项,请选择 升级应用程序 以覆盖它。
-
如果要从 2.0.0 之前的版本升级适用于 Splunk 的 Citrix Analytics 加载项,则必须删除附加组件安装文件夹的 /bin 文件夹中的以下文件和文件夹,然后重新启动 Splunk 转发器或 Splunk 独立版环境:
cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
rm -rf splunklib
rm -rf mac
rm -rf linux_x64
rm CARoot.pem
rm certificate.pem
-
-
验证应用程序是否显示在应用程序列表中。
从 Splunk 内部安装应用
-
在 Splunk Web 主页上,单击 + 查找更多应用程序。
-
在浏览更多应用程序页面上,搜索 Citrix Analytics Add-on for Splunk(适用于 Splunk 的 Citrix Analytics 加载项)。
-
单击应用程序旁边的 安装 。
-
验证应用程序是否显示在应用程序列表中。
配置适用于 Splunk 的 Citrix Analytics 加载项
使用 Citrix Analytics for Security 提供的配置详细信息配置适用于 Splunk 的 Citrix Analytics 加载项。成功配置加载项后,Splunk 开始使用 Citrix Analytics for Security 中的事件。
-
在 Splunk 主页上,转到设置 > 数据输入。
-
在 本地输入 部分中,单击 Citrix Analytics 加载项。
-
单击新建。
-
在 添加数据 页面上,输入 Citrix Analytics 配置文件中提供的详细信息。
-
要自定义默认设置,请单击 更多设置并设置 数据输入。您可以定义自己的 Splunk 索引、主机名和源类型。
-
单击下一步。您的 Citrix Analytics 数据输入已创建,并且已成功配置适用于 Splunk 的 Citrix Analytics 加载项。
适用于 Splunk(云端)的 Citrix Analytics 插件
您可以在以下 Splunk 版本上配置我们的 Splunk 集成:Splunk 8.1 及更高版本。
必备条件
适用于 Splunk 的 Citrix Analytics 插件连接到以下 IP 和出站端口,以连接到 Citrix Analytics for Security。确保以下 IP 和出站端口(取决于您的 Citrix Cloud 区域)位于您的网络的允许列表中。要配置这些 IP 和出站端口,请参阅使用 Admin Configuration Service (ACS) 将 Citrix Analytics IP 和出站端口添加到 Splunk Cloud 允许列表部分。
美国地区 | IP | 出站端口 | 欧盟区域 | IP | 出站端口 | 亚太南部地区 | IP | 出站端口 |
---|---|---|---|---|---|---|---|---|
casnb-0 citrix.com | 20.242.21.84 | 9094 | casnb-eu-0 citrix.com | 20.229.150.41 | 9094 | casnb-aps-0 citrix.com | 20.211.0.214 | 9094 |
casnb-1.citrix.com | 20.98.232.61 | 9094 | casnb-eu-1.citrix.com | 20.107.97.59 | 9094 | casnb-aps-1 citrix.com | 20.211.38.102 | 9094 |
casnb-2.citrix.com | 20.242.21.108 | 9094 | casnb-eu-2.citrix.com | 51.124.223.162 | 9094 | casnb-aps-2 citrix.com | 20.211.36.180 | 9094 |
casnb-3.citrix.com | 20.242.57.140 | 9094 |
注意
这些 IP 可能会轮换。如上所示, 确保使用最新的 IP 更新您的 IP 允许列表。
Admin Configuration Service (ACS) 将 Citrix Analytics IP 和出站端口添加到 Splunk Cloud 允许列表
- 根据您的 Citrix Cloud 区域,必须将零个 IP 添加到允许列表中。
- 在 Splunk 云平台上启用 Admin Configuration Service (ACS)。
- 使用具有管理员权限的本地帐户为允许列表创建令牌。
- 运行 cURL GET 和 POST 命令将子网添加到相应端口的允许列表中,并验证它们是否已成功添加。
- 运行 cURL GET 和 POST 命令 将出站端口添加到允许列表中,并验证它们是否已成功添加。
下载并安装适用于 Splunk 的 Citrix Analytics 加载项
-
转到应用程序 > 查找更多应用程序 > 搜索适用于 Splunk 的 Citrix Analytics 加载项。
- 安装应用程序。
- 验证应用程序是否显示在应用程序列表中。
配置适用于 Splunk 的 Citrix Analytics 加载项
-
前往“设置”>“数据输入”> Citrix Analytics 加载项。
-
添加输入:Splunk 集成 Citrix Analytics for Security。单击添加新项。 -
通过输入 Citrix Analytics 数据导出页面上配置的详细信息来配置数据输入。
-
验证您的数据输入是否已成功添加。
如何在 Splunk 环境中使用事件
配置附加组件后,Splunk 开始从 Citrix Analytics for Security 检索风险情报。您可以根据配置的数据输入在 Splunk 搜索头上开始搜索组织的事件。
搜索结果按以下格式显示:
输出示例:
要搜索和调试插件的问题,请使用以下搜索查询:
结果按以下格式显示:
有关数据格式的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式。
对适用于 Splunk 的 Citrix Analytics 加载项进行故障排除
如果您在 Splunk 控制板中看不到任何数据,或者在配置适用于 Splunk 的 Citrix Analytics 加载项时遇到问题,请执行调试步骤来修复问题。有关更多信息,请参阅适用于 Splunk 的 Citrix Analytics 加载项的配置问题。
注意
联系 CAS-PM-Ext@cloud.com 以请求有关 Splunk 集成、将数据导出到 Splunk 的帮助或提供反馈。
适用于 Splunk 的 Citrix Analytics 应用
注意
此应用程序处于预览中。
适用于 Splunk 的 Citrix Analytics 应用程序使 Splunk Enterprise 管理员能够在 Splunk 上以富有洞察力且可操作的控制板形式查看从 Citrix Analytics for Security 收集的用户数据。使用这些控制板,您可以详细了解组织中用户的风险行为,并及时采取措施来缓解任何内部威胁。您还可以将从 Citrix Analytics for Security 收集的数据与 Splunk 上配置的其他数据源关联起来。这种关联使您可以从多个来源了解用户的风险活动,并采取措施保护您的 IT 环境。
支持的 Splunk 版本
适用于 Splunk 的 Citrix Analytics 应用程序在以下 Splunk 版本上运行:
-
Splunk 9.0 64 位
-
Splunk 8.2 64 位
-
Splunk 8.1 64 位
适用于 Splunk 的 Citrix Analytics 应用的先决条
-
安装适用于 Splunk 的 Citrix Analytics 加载项。
-
确保已满足适用于 Splunk 的 Citrix Analytics 加载项提及的必备条件。
-
确保数据从 Citrix Analytics for Security 传输到 Splunk。
安装和配置
在哪里安装应用程序
Splunk 搜索头
如何安装和配置应用程序
您可以通过从 Spl unkbase 下载适用于 Splunk 的 Citrix Analytics 应用程序或从 Splunk 中安装来安装该应用程序。
从文件安装应用
-
转到 Splunkbase。
-
下载适用于 Splunk 的 Citrix Analytics 应用程序文件。
-
在 Splunk Web 主页上,单击 应用程序旁边的齿轮图标。
-
单击 从文件安装应用程序。
-
找到下载的文件,然后单击 上传。
注意
如果您使用的是旧版本的应用程序,请选择 升级应用程序 以覆盖它。
-
验证应用程序是否显示在应用程序列表中。
从 Splunk 内部安装应用
-
在 Splunk Web 主页上,单击 + 查找更多应用程序。
-
在浏览更多应用程序页面上,搜索适用于 Splunk 的 Citrix Analytics 应用程序。
-
单击应用程序旁边的 安装 。
配置索引和源类型以关联数据
-
安装应用程序后,单击 立即设置。
-
输入以下查询:
-
存储来自 Citrix Analytics for Security 的数据的索引和源类型。
注意
这些查询值必须与适用于 Splunk 的 Citrix Analytics 加载项中指定的相同。有关更多信息,请参阅配置适用于 Splunk 的 Citrix Analytics 加载项。
-
要从中将数据与 Citrix Analytics for Security 关联起来的索引。
-
-
单击 完成应用程序安装程序 以完成配置。
配置并设置适用于 Splunk 的 Citrix 分析应用程序后,使用 Citrix Analytics 控制板 查看 Splunk 上的用户事件。
有关 Splunk 集成的更多信息,请参阅以下链接: