Citrix Analytics for Security

Elasticsearch 集成

注意

如需帮助 Elasticsearch 集成、将数据导出到 Elasticsearch 或提供反馈,请联系 CAS-PM-Ext@cloud.com

通过使用 Logstash 引擎将 Citrix Analytics for Security 与 Elasticsearch 集成在一起。通过此集成,您可以将 Citrix IT 环境中的用户数据导出并将其关联到 Elasticsearch,从而更深入地了解组织的安全状况。您还可以将 Elasticsearch 与可视化服务和 SIEM(例如 KibanaLogRhythm)分别结合使用。

有关集成的好处以及发送到 SIEM 的已处理数据类型的更多信息,请参阅 安全信息和事件管理集成

必备条件

  • 为至少一个数据源启用数据处理。它可以帮助 Citrix Analytics for Security 开始 Elasticsearch 集成过程。

  • 确保以下终端节点位于网络的允许列表中。

    端点 美国地区 欧盟区域 亚太南部地区
    Kafka 代理 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

与 Elasticsearch 集成

  1. 前往“设置”>“数据导出”。

  2. 在“帐户设置”部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。

    SIEM 数据导出

  3. 确保密码满足以下条件:

    SIEM 密码要求

  4. 单击 配置 以生成 Logstash 配置文件。

    配置 Elasticsearch

  5. 从“SIEM 环境”部分选择弹性搜索选项卡以下载配置文件:

    • Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics 安全版发送到 Elasticsearch 的配置数据(输入、筛选和输出部分)。有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。

    • JKS 文件:包含 SSL 连接所需的证书。

      注意

      这些文件包含敏感信息。将它们存放在安全可靠的地方。

      选择 Elasticsearch

  6. 配置 Logstash:

    1. 在您的 Linux 或 Windows 主机上,安装 Logstash。您也可以使用现有的 Logstash 实例。

    2. 在安装了 Logstash 的主机上,将以下文件放在指定的目录中:

      主机类型 文件名 目录路径
      Linux CAS_Elasticsearch_LogStash_Config.config 对于 Debian 和 RPM 软件包:/etc/logstash/conf.d/
          对于 .zip 和 .tar.gz 存档:{extract.path}/config
        kafka.client.truststore.jks 对于 Debian 和 RPM 软件包:/etc/logstash/ssl/
          对于 .zip 和 .tar.gz 存档:{extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档。

    3. 打开 Logstash 配置文件并执行以下操作:

      1. 在文件的输入部分,输入以下信息:

        • 密码:您在 Citrix Analytics for Security 中创建的用于准备配置文件的帐户的密码。

        • SSL 信任存储位置:SSL 客户端证书的位置。这是主机中 kafka.client.truststore.jks 文件的位置。

        Elasticsearch 输入部分

      2. 在文件的输出部分,输入运行 Elasticsearch 的主机或群集的地址。

        Elasticsearch 输出部分

    4. 重新启动主机,将 Citrix Analytics for Security 中的已处理数据发送到 Elasticsearch。

配置完成后,确认您可以在 Elasticsearch 中查看 Citrix Analytics 数据。

打开或关闭数据传输

Citrix Analytics for Security 准备配置文件后,将为 Elasticsearch 开启数据传输。

要停止从 Citrix Analytics for Security 传输数据,请执行以下操作:

  1. 前往“设置”>“数据导出”。

  2. 关闭切换按钮以禁用数据传输。默认情况下,数据传输始终处于启用状态。

    SIEM 变速箱关闭

    此时会出现一个警告窗口供您确认。单击“关闭数据传输”按钮以停止传输活动。

    SIEM 传输关闭警告

要再次启用数据传输,请打开切换按钮。

Elasticsearch 集成