Citrix Analytics for Security

Microsoft Sentinel 集成

备注

  • 联系 CAS-PM-Ext@cloud.com 以请求 Microsoft Sentinel 集成、将数据导出到 Microsoft Sentinel 或提供反馈方面的帮助。

  • 使用 Logstash 引擎将数据导出到 Microsoft Sentinel 正在预览中。此功能在没有服务级别协议的情况下提供,不建议用于生产工作负载。有关更多信息,请参阅 Microsoft Sentinel 文档。

使用 Logstash 引擎将 Citrix Analytics for Security 与 Microsoft Sentinel 集成。

此集成使您能够将用户数据从 Citrix IT 环境导出并关联到 Microsoft Sentinel,从而更深入地了解组织的安全状况。在 Splunk 环境中查看 Citrix Analytics for Security 独有的富有洞察力的控制板。您还可以根据自己的安全要求创建自定义视图。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

必备条件

  • 为至少一个数据源启用数据处理。它有助于 Citrix Analytics for Security 开始 Microsoft Sentinel 集成过程。

  • 确保以下终端节点位于网络的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 代理 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    
  • 确保将 logstash 版本 7.17.7 或更高版本(与 Citrix Analytics for Security 的兼容性测试版本:v7.17.7 和 v8.5.3)与适用于 Logstash 的 Microsoft Sentinel 输出插件一起使用。

与 Microsoft Sentinel 集成

  1. 前往“设置”>“数据导出”。

  2. 在“帐户设置”部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。

    SIEM 配置页

  3. 确保密码满足以下条件:

    SIEM 密码要求

  4. 单击 配置 以生成 Logstash 配置文件。

    Configure

  5. 选择 Azure Sentinel(预览)选项卡以下载配置文件:

    • Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics for Security 发送到 Microsoft Sentinel 的配置数据(输入、筛选和输出部分)。

      有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。

    • JKS 文件:包含 SSL 连接所需的证书。

    注意

    这些文件包含敏感信息。将它们存放在安全可靠的地方。

    选择 Microsoft Sentinel

  6. 准备 Azure Sentinel 集成:

    1. 在 Azure 门户上,启用 Microsoft Sentinel。您可以创建一个工作区或使用现有的工作区来运行 Microsoft Sentinel。

    2. 从主菜单中,选择 数据连接器 以打开数据连接器库。

    3. 搜索 Citrix Analytics(安全性)

    4. 选择 Citrix Analytics(安全) ,然后选择 打开连接器页面

      Sentinel 数据连接器页面

    5. Citrix Analytics(安全性) 页面中,复制 Workspace ID主键。在后续步骤中,必须在 Logstash 配置文件中输入此信息。

      数据连接器配置页

    6. 在您的主机上配置 Logstash:

      1. 在您的 Linux 或 Windows 主机上,安装 Logstash适用于的 Logstash 和 Microsoft Sentinel 输出插件

      2. 在安装了 Logstash 的主机上,将以下文件放在指定的目录中:

        主机类型 文件名 目录路径
        Linux CAS_AzureSentinel_LogStash_Config.config 对于 Debian 和 RPM 软件包:/etc/logstash/conf.d/
            对于 .zip 和 .tar.gz 存档:{extract.path}/config
          kafka.client.truststore.jks 对于 Debian 和 RPM 软件包:/etc/logstash/ssl/
            对于 .zip 和 .tar.gz 存档:{extract.path}/ssl
        Windows CAS_AzureSentinel_LogStash_Config.config C:\logstash-7.xx.x\config
          kafka.client.truststore.jks  

        有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档

      3. 打开 Logstash 配置文件并执行以下操作:

        1. 在文件的输入部分,输入以下内容:

          • 密码:您在 Citrix Analytics for Security 中创建的用于准备配置文件的帐户的密码。

          • SSL 信任存储位置:SSL 客户端证书的位置。这是主机中 kafka.client.truststore.jks 文件的位置。

          输入部分

        2. 在文件的输出部分,在文件的输出部分输入 Works pace ID主键 (您从 Microsoft Sentinel 复制的)。

          输出部分

      4. 重新启动 Logstash 主机,将处理过的数据从 Citrix Analytics for Security 发送到 Microsoft Sentinel。

    7. 转到您的 Microsoft Sentinel Workspace 并查看 Citrix Analytics 工作簿中的数据。

打开或关闭数据传输

Citrix Analytics for Security 准备配置文件后,Microsoft Sentinel 的数据传输将打开。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据导出”。

  2. 关闭切换按钮以禁用数据传输。默认情况下,数据传输始终处于启用状态。

    SIEM 变速箱关闭

    此时会出现一个警告窗口供您确认。单击“关闭数据传输”按钮以停止传输活动。

    SIEM 传输关闭警告

要再次启用数据传输,请打开切换按钮。

要了解有关 Microsoft Sentinel 集成的更多信息,请参阅以下链接:

Microsoft Sentinel 集成