Bu yazımda sizlere Citrix Analytics hizmetinin mimarisini, kavramlarını ve sahip olduğu yetenekleri hakkında bilgiler vereceğim.
Akıllı Tehdit Algılama
Günümüz dinamik BT ortamlarında, tehdit faktörleri değişmeye devam ediyor, kamu ve özel kuruluşlara odaklanan gelişmiş tehditler daha hızlı büyümektedir. Bilginin güvenliği ve gizliliği konusunda daha fazla endişe duyan birçok kuruluş, ortamlarında sınıfının en iyisi savunma güvenlik çözümülerini yapılarına entegre etmektedir. Ortaya çıkan teknolojilerden biri, akıllı bir tehdit tespit platformudur. Böyle bir platform, birçok kuruluşun ilgili savunma eylemlerini gerçekleştirmek için farklı kaynaklardan gelen tehdit verilerini bir araya getirmesine, ilişkilendirmesine ve analiz etmesine yardımcı olur.
Makine Öğrenimi ve Yapay Zeka
Birçok kuruluş çeşitli siber saldırılarla karşı karşıya kaldı (ve bugün de yüzleşmeye devam ediyor). İzinsiz giriş yapan kişiler, saldırılarında otomasyon ve komut dosyalarını benimseyerek saldırının hızını ve ölçeğini arttırmaktadır. Kuruluşlar, bu tür agresif saldırılara karşı koymak için saldırıyı hafifletebilmeli ve gerçek zamanlı olarak CPU hızında yanıt verebilmelidir. Makine öğrenimi ve yapay zeka, kuruluşun saldırılara karşı koymasına ve etkili bir şekilde savunma duvarları inşa etmesine yardımcı olabilir.
Makine öğrenimi ve yapay zekanın benimsenmesi, BT ortamının güvenliğini artırır. İş gücü hataları hafifletilebilir ve azaltılabilir. Makine öğrenimi ve yapay zeka; risk analizi, kötü amaçlı yazılımdan koruma ve anormallik algılama gibi alanlarda yardımcı olabilir.
Yapay zeka, çevredeki normal ve anormal davranışları ayırt etmek için uygulanabilir. Makine öğrenimi, bu davranışları tanımak ve arka planda ağa ve yazılım uygulamalarına bir güvenlik katmanı sağlamak için kullanılabilir. Ve yine Makine öğrenimi, depolanmış günlükleri / kayıtları kullanır ve gelecekteki verileri tahmin etmek için analizlerden öğrenir.
Yukarıdaki şema, kavramsal bir makine öğrenimi platformunu göstermektedir. Genel olarak, bir makine öğrenimi platformu, veri toplama noktalarından (veri kaynakları) gelen giriş verilerini analiz etmek için hizmet verir. Daha sonraki aşamalarda, verileri uygulamaların türüne göre ayırır. Platform, verilere ve sonuçlara göre modelleri ve profilleri güncellemeye devam eder. Makine öğrenimi teknikleri, ihtiyaca özel birçok şekilde uygulanır.
Daha büyük veri kümelerine makine öğrenimi tekniklerini uygulayarak, bir kuruluş tehdit istihbaratı derlemesinde ve tehdit araştırmasında daha verimli olabilir. Bu şekilde, kuruluşlar güvenlik tehditlerine ve endişelerine yaklaşımlarında daha proaktif olabilir.
Citrix Analytics’e Giriş
Pek çok kuruluş dünyanın her yerinden siber tehditlerle karşı karşıyadır. Gerçek zamanlı olarak, dış tehditlerden öte içeriden gelen tehditleri belirlemek ve engellemek daha zordur. Standart analitik, genellikle bu tehditleri sisteme ciddi zarar vermeden ortaya çıkarmada başarısız olur. Kuruluşlar, proaktif, güvenli öngörüler sağlayan kullanıcı davranışı analitiğini benimsemelidir. Standart analitik çözümleri esas olarak güvenliğe odaklanır ve kullanıcı etkinlikleri hakkında bilgi sağlamaz. Sonunda BT ekibi, BT ortamının performansı ve operasyonları üzerindeki kontrolünü kaybeder.
Citrix, Citrix ürün portföyünde çalışan anahtar teslimi bir çözüm geliştirmiştir. Citrix Analytics, yöneticilerin Citrix ortamlarındaki güvenlik tehditlerini algılamasına, analiz etmesine ve proaktif olarak yanıt vermesine olanak tanır.
Citrix Cloud aracılığıyla sunulan bir bulut hizmeti olan Citrix Analytics, yöneticilerin kullanıcı ve uygulama güvenlik tehditlerini ele almasına, uygulama performansını iyileştirmesine ve sürekli işlemleri desteklemesine olanak tanır.
Citrix Analytics Türleri
Security Analytics
Security Analytics, kullanıcı ve uygulama davranışına görünürlük sağlar. Yönetici, normal davranış ile kötü niyetli bir saldırganı ayırt edebilir. Dahili ve harici tehditleri proaktif olarak tanımlayan ve yöneten dahili bir makine öğrenimi platformudur.
Security Analytics, güvenlik izleme ve tehdit algılama için uç noktalardan gelen verileri toplar. Çoğu dağıtım, algoritmaya büyük ve çeşitli veri kümelerini dahil eden farklı bir araç setine sahiptir. Teknoloji değiştikçe güvenlik analitiği uyarlanabilir öğrenme becerilerini içerir. Bu, anormallik algılamanın arkasındaki mantığa ve öğrenilenlere dayalı olarak algılama modellerinin kalibre edilmesine yardımcı olur.
Citrix Security Analytics, birden çok veri kaynağından veri alır ve eyleme geçirilebilir öngörüler sağlar. Security Analytics’teki makine öğrenimi algoritmaları, kullanıcı davranışını algılar ve bunlarla ilgili önceden tanımlanmış eylemleri gerçekleştirir. Kullanıcılara, kullanıcı davranışına, uç noktalara, ağ trafiğine ve dosyalara göre dinamik olan risk puanı göstergeleri sağlar.
Security Analytics, aşağıdaki ürünlerle entegrasyonu destekler:
- Citrix Content Collaboration
- Citrix Endpoint Management
- Citrix Secure Workspace Access
- Citrix Gateway
- Citrix Virtual Apps and Desktops
- Microsoft® Graph Security
- Microsoft® Active Directory
Kullanıcı Risk Göstergeleri
Kullanıcı risk göstergeleri, şüpheli görünen veya kuruluş için bir güvenlik tehdidi oluşturabilen kullanıcı etkinlikleridir. Kullanıcı risk göstergeleri, dağıtımda kullanılan tüm Citrix Ürünlerini kapsar. İşaretler, kullanıcı davranışına dayalıdır ve kullanıcının davranışının normdan saptığı durumlarda tetiklenir. Kullanıcı risk göstergeleri, kullanıcının risk puanının belirlenmesine yardımcı olur.
Kullanıcı risk göstergeleri aşağıdaki kategorilere göre ortaya çıkar:
- Erişim tabanlı
- Veriye dayalı
- Uygulama tabanlı
Politikalar ve Eylemler
Politika, bir eylemin yürütülmesi için karşılanması gereken bir dizi koşul olarak tanımlanır. Bir politika, tek bir koşul ve bir veya daha fazla eylem içerir. Yönetici, bir kullanıcının hesabına uygulanabilen birden çok eylemle tek bir politika oluşturabilir.
Citrix Analytics’teki politikalar, olağandışı veya şüpheli etkinlikler meydana geldiğinde kullanıcı hesapları üzerinde eylemler gerçekleştirmeye yardımcı olur. Politikalar uygulandığında, beklenmedik bir olay meydana gelir gelmez eylem tetiklenir.
Belirtildiği gibi, politika bir dizi koşuldur. Risk puanı ve risk puanı değişikliği, belirli bir veri kaynağı için belirli bir kullanıcıya uygulanan küresel koşullardır.
Eylemler, şüpheli olaylara yanıt vermeye ve gelecekteki anormal olayların meydana gelmesini önlemeye yardımcı olur. Yönetici, olağandışı veya şüpheli davranışlar sergileyen kullanıcı hesapları üzerinde işlem yapabilir. Koşullara bağlı olarak eylemi otomatik veya manuel olarak uygulamak yöneticiye kalmıştır.
Performance Analytics
Performance Analytics, bir kuruluş genelinde kullanıcı oturumu ayrıntılarına ilişkin görünürlük sağlar. Analitik motorlar tarafından toplanan metrikler, bir kullanıcının oturum açma oturumu sırasında ortaya çıkan sorunları belirlemeye yardımcı olur.
Performans Analizi, son kullanıcı deneyimi sorunlarının temel nedenini bulmak için güçlü bir araçtır. Ayrıca, kullanıcı deneyimini ölçer ve uygulama performansı kullanıcılara uçtan uca görünürlük sağlar. Performance Analytics, birden çok siteden veya birden çok kaynaktan gelen verilerin birleşik bir ekranda temsil edilmesi için raporlamayı destekler.
Kullanıcı deneyimi puanı; gecikme, oturum açma süresi, yeniden bağlantılar ve hatalara göre hesaplanır. Ölçütlere dikkatlice bakılarak belirlenen sorunun temel nedeni bulunabilir. Örneğin, oturum açma süresi şunları içerir: Broker, Sanal Makine Başlangıcı, HDX Bağlantısı, Kimlik Doğrulama, GPO’lar, Profil Yükü vb.
Yukarıdaki diyagram, bir son kullanıcının gecikmesi, oturum açma süresi, başarısızlıklar ve yeniden bağlantılardan bilgi alarak UX puan derlemesini gösterir. Yöneticinin, kullanıcıların karşılaştığı sorunların temel nedenini bulmak için daha ayrıntılı inceleme yapmasına olanak tanır. Performans analizi, hem şirket içi hem de bulut tabanlı Citrix Virtual Apps and Desktops ortamları için kullanılabilir.
Operations Analytics
Operations Analytics, ziyaret edilen web siteleri ve bant genişliği tüketimi gibi kullanıcı etkinlikleri hakkında bilgi sağlar. Veri kaynaklarından alınan ölçümler, ağların izlenmesine ve düzeltici eylemlerin gerçekleştirilmesine yardımcı olur.
Operations Analytics, mevcut operasyonları iyileştirmeye odaklanan, iş analitiğine yönelik daha spesifik bir terimdir. Operations Analytics, günlük BT hizmetleri için daha şeffaf bilgiler elde etmek için çeşitli veri toplamanın kullanılmasını içerir. Citrix altyapısı, farklı iş yükü kümelerinin bir birleşimi olan birden çok üründen oluşur ve yöneticinin ortam hakkında bilgi sahibi olması gerekir. Ayrıca, birçok yönetici Citrix ortamının iyileştirilmesine ve optimizasyonuna odaklanmada başarısız olur.
Bu tür sorunların üstesinden gelmek için Citrix, Operations Analytics’i bir analitik çözümüne yerleştirmiştir. Analitik çözümü, makine öğrenimi algoritmalarını içerir ve müşterilerin Citrix ortamlarının operasyonel verilerine ilişkin eyleme dönüştürülebilir içgörüler sunar.
Örneğin, bir kuruluş Citrix Secure Workspace Access hizmetini kullanıyorsa, yöneticiler kullanıcı işlemleri ve uygulama işletim verileri hakkında içgörüler elde etmek için işlem gösterge tablolarını kullanabilir. Yönetici, veri tüketiminin (indirme ve yükleme), erişilen etki alanlarının ve veri kaynaklarına göre diğer mevcut metriklerin kapsamlı bir görünürlüğüne sahiptir. Bu ölçümler, kaynakların temin edilmesine ve sağlanmasına ve herhangi bir operasyon sorununa hızlı bir şekilde yanıt verilmesine yardımcı olur.
Başka bir şekilde, operasyon analitiği kurumsal kaynak planlaması fikrini destekler. Operation Analytics, kaynak yönetimine yönelik proaktif yaklaşımı geliştirmek için bilgileri toplar.
Yukarıdaki şema, Citrix portföy ürünleri ve üçüncü taraf ürünlerinde çalışan bulut tabanlı bir hizmet olan Citrix Analytics hizmetini göstermektedir. Farklı veri kaynaklarından veri toplar ve bir kullanıcının veya başka bir varlığın anormal davranışlarını tespit eder. Bu süreç, müşteri ortamını sürekli olarak izleyen Makine Öğrenimi (ML) algoritmalarını kullanır.
Veri Yönetişimi ve Kaynakları
Veri yönetişimi, günlüklerin toplanması, depolanması, saklanmasıyla ilgili bilgiler sağlar ve toplanan verileri Analytics hizmeti tarafından korur. Güvenlik yöneticileri, izlenmesi gereken günlükleri seçebilir ve günlüğe kaydedilen etkinliğe göre temsili eylem gerçekleştirebilir.
Kuruluşların çoğu, bireysel uygulamalar veya bölümler için bir tür veri yönetişimine sahiptir. Veri yönetimi, proje uygulaması sırasında gerçekleştirilmesi gereken önemli bir görevdir. Veri yönetiminin kapsadığı zorunlu konulardan birkaçı şunlardır:
- Veri kaynakları
- Veri gizliliği
- Veri transferi
- Veri kontrolü
- Veri saklama
- Veri depolama
- Veri kalitesi ve türleri
Veri kaynakları
Veri kaynakları, Citrix Analytics’e veri gönderen hizmetlerdir. Bulut üzerinde veya şirket içi konumlarda çalışan, ürün içindeki belirli işlevleri etkinleştirerek Citrix Analytics için bir veri kaynağı haline gelen hizmetler.
Citrix Cloud hesabıyla ilişkili Content Collaboration, Endpoint Management dahil olmak üzere Citrix Cloud üzerinde çalışan hizmetler, Citrix Analytics tarafından otomatik olarak keşfedilir. Citrix Gateway ve Citrix Virtual Apps and Desktops gibi diğer şirket içi hizmetler, Citrix Analytics’e veri kaynakları olarak eklenebilir.
Citrix ürünleri için Citrix Analytics
Citrix Analytics, birden çok Citrix ve Microsoft® ürünüyle entegre edilebilir. Kullanıcı davranışına ilişkin kapsamlı bilgiler sağlamak için kullanıcılar, uygulamalar, uç noktalar, ağlar ve verilerle ilgili ölçümleri toplar. Citrix Analytics, bugün itibariyle aşağıdaki Citrix ürünlerini desteklemektedir:
- Citrix Secure Workspace Access
- Citrix Content Collaboration
- Citrix Gateway
- Citrix Virtual Apps and Desktops
- Citrix Endpoint Management
Citrix Analytics, ağdaki kullanıcıların ve uygulamaların profillerini oluşturur. Profil oluşturma yalnızca veri kaynağından (kullanıcı davranış bilgileri) toplanan bilgiler / verilerle mümkündür. Bu profil, cihazlar, dosyalar, konumlar vb. bilgiler içerir. Ağdaki tehditleri azaltmak için analitik tarafından oluşturulan model, yüksek görünürlük sağlar ve gerekli önlemleri alır. Bu hizmet, ortamdaki kullanıcı davranışı üzerinde tam bir görünürlük sağlar.
Yukarıdaki resim, Citrix ürünlerinin Citrix Analytics bulut hizmetiyle entegrasyonunu göstermektedir. Tipik olarak, son kullanıcılar Citrix Workspace’e bağlanmak ve gerekli kaynaklara erişmek için kendi cihazlarını kullanır. Bu hizmetler, Citrix Cloud’da barındırılan Citrix Analytics Hizmeti ile iletişim kurar. Ayrıca müşteriler, Citrix Analytics hizmetiyle iletişim kurmak için şirket içi Citrix Virtual Apps and Desktops ortamını bağlayabilir. Şirket içi kaynakların bağlanması, site toplama veya Teslimat Denetleyicisine yüklenmiş bir şirket içi StoreFront ve Citrix Analytics aracısı gerektirir.
Citrix Analytics hizmeti, günlükleri doğrudan veri kaynaklarından alır. Yakalanan veriler 13 ay boyunca veritabanlarında kalır. Citrix Analytics, bir makine öğrenimi platformu aracılığıyla analiz için bu ölçümleri kullanır ve sapkın veya şüpheli etkinlikler meydana geldiğinde eylemler gerçekleştirebilir.
Citrix Analytics ve Microsoft® Ürünleri Entegrasyonu
Günümüzde çoğu kuruluş, uç nokta koruması, ağ güvenlik duvarları, erişim kontrolleri, bulut güvenliği vb. içeren çok çeşitli güvenlik çözümleri portföyüne güveniyor. Sonunda, maliyeti ve karmaşıklığı artırma eğilimindedir. Bununla birlikte, birden fazla güvenlik aracını ve iş akışını bağlamak, BT ekibi için zorlu bir görev haline gelir. Bu zorlukların üstesinden gelmek için entegrasyon süreci basitleştirilmiştir. Microsoft® ürünleriyle Citrix Analytics entegrasyonu, basitleştirilmiş raporlama ve analitikle sonuçlanan güvenlik ve olay yönetiminin birleştirilmesine yardımcı olur.
Citrix Analytics, Microsoft® Graph Security ve Microsoft® Active Directory içeren Microsoft® ürünlerinin entegrasyonunu destekler. Şu anda, Microsoft® Graph Security’den Azure AD Identity Protection ve Windows Defender ATP’yi desteklemektedir. Bu hizmeti Microsoft® ürünlerinde etkinleştirmek için, müşterinin Citrix Cloud’dan Citrix Analytics Hizmetini etkinleştirmiş olması gerekir
Microsoft® Graph Security API, güvenlik uyarılarını entegre etmek, bağlamsal bilgilerin kilidini açmak ve güvenlik otomasyonunu basitleştirmek için standart bir arabirim ve tek tip şema sağlar. Microsoft® Graph Security; Microsoft® Defender ATP, Office 365 ATP, Azure ATP, Microsoft® Intune, Azure Sentinel vb. birden çok güvenlik sağlayıcısından gelen verileri toplar.
Microsoft® Graph Security API, Citrix Analytics ile kolayca birleştirilebilir. Microsoft® Graph Security, Güvenlik Sağlayıcılardan veri ileten Analytics hizmeti için bir veri kaynağı görevi görür. Şu anda bu çözüm, Microsoft® Graph Security’nin aşağıdaki güvenlik sağlayıcılarını desteklemektedir:
- Azure AD Identity Protection
- Windows Defender ATP
Yukarıdaki diyagram, genel analitik yeteneklerini geliştirmek için Citrix Analytics ile Microsoft® Graph Security çözümünü göstermektedir. Yönetici, uygulamaları ve son kullanıcı masaüstlerini içeren kaynak kullanımı sırasında kullanıcı davranışının net içgörülerine sahip olabilir. Citrix Analytics, verileri Azure’da barındırılan Microsoft® Graph Security’den alır. Her iki ürün de aynı platformda çalışır ve bu da entegrasyonu kolaylaştırır.
Citrix Analytics UI, yüksek, orta ve düşük risk puanı göstergelerine dayalı işlenmiş veriler sağlar. Risk puanına bağlı olarak, değer analizi söz konusu kullanıcı üzerinde eylemler gerçekleştirebilir. Microsoft® Graph Security’den Citrix’e giden harici beslemelerle, Analytics yöneticileri, bir kullanıcının kaynaklara erişiminin bütünsel bir resmine sahip olmaya başlayabilir.
Citrix Analytics ile Microsoft® Active Directory Entegrasyonu
Kuruluş, Microsoft® Active Directory hizmetini Citrix Analytics ile bağlayarak Citrix Analytics’teki kullanıcı profilinde bir iyileştirme sağlayabilir. Citrix Analytics’teki kullanıcı profili, kullanıcı bilgileri ve kullanıcı grupları verileri gibi içe aktarılan bilgileri kapsar. Citrix Analytics tarafından riskli kullanıcıların tanımlanması durumunda, iş unvanı, organizasyon, e-posta ve iletişim bilgileri gibi içe aktarılan bilgiler, kullanıcı profilinin görünürlüğünü sağlamaya yardımcı olur.
Security Analytics, ayrıcalıklı kullanıcıları izlemek için hükümlere sahiptir. Bu işlevsellik, yöneticinin ayrıcalıklı kullanıcıların davranış anormalliklerini yakından izlemesini sağlar. Örneğin, ayrıcalıklı bir kullanıcı dosya ve klasörleri aşırı derecede silmeye başlarsa, makine öğrenimi platformu olağandışı davranışları algılar ve bir alarmı tetikler.
Umarım sizler için de faydalı olmuştur.