Citrix Analytics for Security

安全信息和事件管理 (SIEM) 集成

注意:

联系 CAS-PM-Ext@cloud.com 请求有关 SIEM 集成的帮助,将数据导出到 SIEM 并提供反馈。

将 Citrix Analytics for Security 与您的 SIEM 服务集成,并将用户数据从 Citrix IT 环境导出到 SIEM。 将导出的数据与 SIEM 中的可用数据相关联,以更深入地了解组织的安全状况。

这种集成增强了 Citrix Analytics for Security 和 SIEM 的价值。

优势

  • 使您的安全运营团队能够关联、分析和搜索来自不同日志的数据。

  • 帮助您的安全运营团队识别并快速修复安全风险。

  • 在一个集中位置查看安全警报。

  • 用于检测组织风险分析功能(如风险指示器、用户配置文件和风险评分)的潜在安全威胁的集中式方法。

  • 能够将用户帐户的 Citrix Analytics 风险情报信息与 SIEM 中连接的外部数据源进行组合和关联。

SIEM 集成架构

您的 SIEM 集成与部署在 Citrix Analytics for Security 云上的北向 Kafka 连接。 这可以通过以下两种方式实现:

  • Kafka 终端节点:如果您的 SIEM 支持 Kafka 端点,请使用 Logstash 配置文件中提供的参数以及 JKS 文件或 PEM 文件中的证书详细信息将 SIEM 与 Citrix Analytics for Security 集成。 使用 Kafka 终端节点,您可以连接数据并将其提取到所选的 SIEM。

  • Logstash 引擎:如果您的 SIEM 不支持 Kafka 终端节点,则可以使用 Logstash 数据收集引擎。 您可以将 Citrix Analytics for Security 中的风险洞察数据发送到 输出插件 Logstash 支持的。

请参阅以下 SIEM 解决方案架构图,了解数据如何从 Citrix Analytics for Security 流向您的 SIEM 服务:

SIEM 解决方案架构

打开或关闭数据传输

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 转到 设置 > 数据导出.

  2. 关闭切换按钮以禁用 数据传输.

注意 默认情况下,SIEM 的数据传输始终处于打开/启用状态。

![数据传输已开启](/en-us/citrix-analytics/media/data-transmission-turnedon.png)

要再次启用数据传输,请打开切换按钮。

设置 SIEM 环境

要将数据导出到 SIEM,您必须执行以下操作:

  • 设置 Kafka 帐户和身份验证凭据
  • 下载预填充的配置并设置 SIEM 环境
  • 用于导出的数据事件

SIEM 导出帐户设置

  1. 要设置您的账户,请导航到 设置 > 数据导出 > 展开帐户设置. 通过指定用户名和密码创建帐户。 设置账户后,将生成您的 Kafka 详细信息。 这些详细信息在生成配置文件时会自动嵌入。

    帐户设置

  2. 点击 配置 以生成配置文件。 配置文件包含 Kafka 终端节点、特定订阅主题和组 ID 等详细信息。 此外,它还预先配置了完成身份验证和数据流所需的 Kafka 和 SSL 属性。

SIEM 配置和环境设置

根据需要选择 SIEM 环境。 您可以将 Citrix Analytics for Security 与以下服务集成。 请参阅以下链接以获取详细信息和 SIEM 特定配置:

SIEM 环境

从 Citrix Analytics for Security 导出到 SIEM 服务的数据事件

作为 SIEM 导出的一部分,有两种类型的数据集:

  1. 风险洞察事件 (默认导出) – 完成账户配置和 SIEM 设置后,默认数据(风险洞察事件)开始流向您的 SIEM 部署。 风险洞察数据包含用户风险评分、用户配置文件和风险指示器警报。 这些是由 Citrix Analytics 机器学习算法、用户行为分析生成的,并基于用户事件。 有关可用事件类型、元数据和架构的信息,请参阅 SIEM 的风险洞察数据.

  2. 数据源事件(可选导出) - 此外,您还可以配置数据导出功能,以从启用了 Citrix Analytics for Security 的产品数据源导出用户事件。 当您在 Citrix 环境中执行任何活动时,将生成数据源事件。 导出的事件是自助服务视图中提供的未处理的实时用户和产品使用情况数据。 这些事件中包含的元数据可以进一步用于更深入的威胁分析、创建新的仪表板,并与安全和 IT 基础设施中的其他非 Citrix 数据源事件相关联。

    目前,Citrix Analytics for Security 会将以下数据源的用户事件发送到您的 SIEM:Citrix Virtual Apps and Desktops、Secure Private Access 和设备状态服务。

    有关可用事件类型、元数据和架构的信息,请参阅 数据源事件.

    注意:

    对于使用 Logstash 数据代理的客户,建议从 Citrix 安全分析 门户,并在 Logstash 服务部署上进行了更新。 这可确保创建正确的数据源事件表,并且事件现在可在 SIEM 索引中使用。

    数据导出

SIEM 集成疑难解答

“安全数据导出”视图包括一个 总结 选项卡,以帮助管理员对其 SIEM 与 Citrix Analytics 的集成进行故障排除。 这 总结 Dashboard 通过引导数据通过有助于故障排除过程的检查点来提供对数据运行状况和流的可见性。

数据导出疑难解答

要了解有关此功能的更多信息,请参阅 数据导出疑难解答.

安全信息和事件管理 (SIEM) 集成