Details zu Bot-Verstößen

Übermäßige Clientverbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Clientanforderung in der Citrix ADC Appliance verarbeitet, anstatt eine direkte Verbindung zum Server herzustellen. Web-Traffic umfasst Bots und Bots können verschiedene Aktionen mit einer schnelleren Geschwindigkeit ausführen als ein Mensch.

Mit dem Indikator Übermäßige Clientverbindungen können Sie Szenarien analysieren, wenn eine Anwendung ungewöhnlich hohe Clientverbindungen über Bots empfängt.

Übermäßige Clientverbindungen

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die gesamte IP-Adressen angibt, die die Anwendung transagieren

  • Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Übernahme von Konten

Hinweis:

Stellen Sie sicher, dass Sie die erweiterten Optionen für Sicherheitsanalysen und Webtransaktionen aktivieren. Weitere Informationen finden Sie unter Einrichten.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als schlechte Bots bekannt. Es ist wichtig, schlechte Bots zu identifizieren und Ihre Appliance vor jeglicher Form fortschrittlicher Sicherheitsangriffe zu schützen.

Voraussetzung

Sie müssen die Einstellungen für die Kontoübernahme in Citrix ADM konfigurieren.

  1. Navigieren Sie zu Analytics > Einstellungen > Sicherheitsverletzungen

  2. Klicken Sie auf Hinzufügen

    Übernahme von Konten

  3. Geben Sie auf der Seite Anwendung hinzufügen die folgenden Parameter an:

    1. Anwendung - Wählen Sie den virtuellen Server aus der Liste aus.

    2. Methode - Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sind GET, PUSH, POSTund UPDATE.

    3. Anmelde-URL und Erfolgsantwortcode: Geben Sie die URL der Webanwendung an, und geben Sie den HTTP-Statuscode an (z. B. 302), für den Citrix ADM die Kontenübernahmeverletzung von fehlerhaften Bots melden soll.

    4. Klicken Sie auf Hinzufügen.

      Übernahme von Konten

Nachdem Sie die Einstellungen konfiguriert haben, können Sie mithilfe des Indikators “ Kontoübernahme “ analysieren, ob fehlerhafte Bots versucht haben, Ihr Konto zu übernehmen, indem Sie mehrere Anfragen zusammen mit Anmeldeinformationen eingeben.

Kontoübernahme1

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die insgesamt ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen angibt

  • Die fehlerhafte Bot-IP-Adresse. Klicken Sie hier, um Details wie Uhrzeit, IP-Adresse, Gesamtanzahl erfolgreicher Anmeldungen, fehlgeschlagene Anmeldungen und Gesamtanzahl der Anfragen von dieser IP-Adresse anzuzeigen.

    Kontoübernahme1

Ungewöhnlich hohe Upload-Volumen

Webverkehr umfasst auch Daten, die zum Hochladen verarbeitet werden. Wenn Ihre durchschnittlichen Upload-Daten pro Tag beispielsweise 500 MB betragen und Sie 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, das Hochladen von Daten schneller als Menschen zu verarbeiten.

Mit dem Indikator “ Ungewöhnlich hohes Upload-Volumen “ können Sie anormale Szenarien für Upload-Daten in die Anwendung über Bots analysieren.

Ungewöhnlich großes Upload-Volumen

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Upload-Datenvolumen angibt

  • Der akzeptierte Bereich von Upload-Daten in die Anwendung

Ungewöhnlich hohes Downloadvolumen

Ähnlich wie bei einem hohen Upload-Volumen können Bots Downloads auch schneller durchführen als Menschen.

Mit dem Indikator “ Ungewöhnlich hohes Downloadvolumen “ können Sie abnormale Szenarien von Downloaddaten aus der Anwendung über Bots analysieren.

Ungewöhnlich großer Download

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Download-Datenvolumen angibt

  • Der akzeptierte Bereich von Download-Daten aus der Anwendung

Ungewöhnlich hohe Anforderungsrate

Sie können den eingehenden und ausgehenden Datenverkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anforderungsrate ausführen. Wenn Sie beispielsweise eine Anwendung so konfigurieren, dass 100 Anforderungen/Minute zuzulassen und 350 Anfragen beobachtet werden, kann dies eine Möglichkeit eines Bot-Angriffs sein.

Mit dem Indikator “ Ungewöhnlich hohe Anforderungsrate “ können Sie die ungewöhnliche Anforderungsrate analysieren, die bei der Anwendung empfangen wurde.

Hohe Anforderungsrate

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die Gesamtanzahl der empfangenen Anfragen angibt und% der übermäßigen Anforderungen, die als die erwarteten Anforderungen empfangen wurden.

  • Der akzeptierte Bereich der erwarteten Anforderungsrate reicht von der Anwendung ab