Citrix Application Delivery Management-Service

Details zu Bot-Verstößen

Hinweis

Sie können auch die Traffic-Muster-Analysen anzeigen, auch wenn keine Verstöße festgestellt werden. Weitere Informationen finden Sie unter Verhaltensprüfungen ohne Verstöße

Übermäßige Clientverbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Clientanforderung in der Citrix ADC Appliance verarbeitet, anstatt eine direkte Verbindung zum Server herzustellen. In einigen Szenarien verwenden Angreifer automatisierte Bots, um Zugriff auf die Anwendung zu erhalten oder die Anwendung nicht mehr zu beantworten, indem sie hohe Verbindungen senden.

Mit dem Indikator Übermäßige Clientverbindungen können Sie Szenarien analysieren, wenn eine Anwendung ungewöhnlich hohe Clientverbindungen über Bots empfängt.

Übermäßige Clientverbindungen

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Empfindlichkeitsniveau und ändern Sie es auf niedrig, mittel oder hoch. Mit der Option “Empfindlichkeit bearbeiten” können Sie das vorhandene Profil für Verhaltensüberprüfungen anzeigen und bearbeiten oder ein neues Profil erstellen. Weitere Informationen finden Sie unter Konfigurieren von Verhaltensüberprüfungs

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die gesamte IP-Adressen angibt, die die Anwendung transagieren

  • Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Übernahme von Konten

Hinweis

Stellen Sie sicher, dass Sie die erweiterten Sicherheitsanalysen aktivieren Weitere Informationen finden Sie unter Einrichten.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als schlechte Bots bekannt. Es ist wichtig, schlechte Bots zu identifizieren und Ihre Appliance vor jeglicher Form fortschrittlicher Sicherheitsangriffe zu schützen.

Voraussetzung

Sie müssen die Einstellungen für die Kontoübernahme in Citrix ADM konfigurieren.

  1. Navigieren Sie zu Analytics > Sicherheit > Sicherheitsverletzungen

  2. Klicken Sie auf das Einstellungssymbol neben der Liste der Zeitdauer.

  3. Klicken Sie auf der Registerkarte Kontoübernahme auf Hinzufügen

    Übernahme von Konten

  4. Geben Sie auf der Seite Add Application die folgenden Parameter an:

    1. Anwendung - Wählen Sie den virtuellen Server aus der Liste aus.

    2. Methode - Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sind GET, PUSH, POSTund UPDATE.

    3. Login-URL und Erfolgs-Antwortcode - Geben Sie die URL der Webanwendung an und geben Sie den HTTP-Statuscode (z. B. 200) an, für den Citrix ADM den Verstoß gegen die Kontoübernahme von fehlerhaften Bots melden soll.

    4. Klicken Sie auf Hinzufügen.

      Übernahme von Konten

Nachdem Sie die Einstellungen mithilfe des Kontoübernahme-Indikators konfiguriert haben, können Sie analysieren, ob schlechte Bots versucht haben, Ihr Konto zu übernehmen, indem Sie mehrere Anfragen zusammen mit Anmeldeinformationen angeben.

Kontoübernahme1

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die insgesamt ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen angibt

  • Die fehlerhafte Bot-IP-Adresse. Klicken Sie hier, um Details wie Uhrzeit, IP-Adresse, Gesamtanzahl erfolgreicher Anmeldungen, fehlgeschlagene Anmeldungen und Gesamtanzahl der Anfragen von dieser IP-Adresse anzuzeigen.

    Kontoübernahme1

Kontoübernahme für Citrix Gateway

Viele Benutzer haben Zugriff auf Citrix Gateway für den Remote-Zugriff über VPN und auch für den Zugriff auf Citrix Virtual Apps and Desktops. Die Citrix Gateway-Anmeldeseite für diese Benutzer ist über das Internet zugänglich. Die Verfügbarkeit dieser Anmeldeseite wird zu einem einfachen Ziel für die Kontoübernahme. Einige böswillige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen wie Credential Stuffing und Kennwort-Sprühen durchführen.

  • Credential Stuffing — Ein Cyberangriff, bei dem die von einem Dienst erhaltenen Anmeldeinformationen für Datenschutzverletzungen in einem anderen Dienst verwendet werden, um Zugriff zu erhalten.

  • Kennwort-Sprühen — Ein Cyberangriff, bei dem der Angreifer/Bot versucht, unbefugten Zugriff auf einen Dienst zu erlangen, indem er die Anmeldeinformationen in kurzer Zeit wiederholt erraten.

Diese bösartigen Bots werden als schlechte Bots bekannt. In Citrix ADM können Sie solche ungewöhnlichen Anmeldeaktivitäten für Citrix Gateway analysieren. Mithilfe des Indikators “ Account Takeover for Citrix Gateway “ können Sie als Administrator analysieren, ob fehlerhafte Bots versucht haben, das Citrix Gateway-Konto zu übernehmen, indem Sie mehrere Anfragen zusammen mit Anmeldeinformationen angeben.

ATO

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm zeigt Details wie Gesamtanforderungen, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen an.

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die insgesamt ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen angibt

  • Die fehlerhafte Bot-IP-Adresse. Klicken Sie hier, um Details wie Zeit, Client-IP-Adresse, erfolgreiche Gesamteinmeldungen, vollständige fehlgeschlagene Anmeldungen und Gesamtanfragen anzuzeigen, die von dieser IP-Adresse gestellt wurden.

    Gateway-

Ungewöhnlich hohe Upload-Volumen

Der Webverkehr umfasst Daten, die zum Hochladen verarbeitet werden. Wenn Ihre durchschnittlichen Upload-Daten pro Tag beispielsweise 500 MB betragen und Sie 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, das Hochladen von Daten schneller als Menschen zu verarbeiten.

Mit dem Indikator “ Ungewöhnlich hohes Upload-Volumen “ können Sie anormale Szenarien für Upload-Daten in die Anwendung über Bots analysieren.

Ungewöhnlich großes Upload-Volumen

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Upload-Datenvolumen angibt

  • Der akzeptierte Bereich von Upload-Daten in die Anwendung

Ungewöhnlich hohes Downloadvolumen

Ähnlich wie bei einem hohen Upload-Volumen können Bots Downloads auch schneller durchführen als Menschen.

Mit dem Indikator “ Ungewöhnlich hohes Downloadvolumen “ können Sie abnormale Szenarien von Downloaddaten aus der Anwendung über Bots analysieren.

Ungewöhnlich großer Download

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Download-Datenvolumen angibt

  • Der akzeptierte Bereich von Download-Daten aus der Anwendung

Ungewöhnlich hohe Anforderungsrate

Sie können den eingehenden und ausgehenden Datenverkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anforderungsrate ausführen. Wenn Sie beispielsweise eine Anwendung so konfigurieren, dass 100 Anforderungen/Minute zuzulassen und 350 Anfragen beobachtet werden, kann dies eine Möglichkeit eines Bot-Angriffs sein.

Mit dem Indikator “ Ungewöhnlich hohe Anforderungsrate “ können Sie die ungewöhnliche Anforderungsrate analysieren, die bei der Anwendung empfangen wurde.

Hohe Anforderungsrate

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die Gesamtanzahl der empfangenen Anfragen angibt und% der übermäßigen Anforderungen, die als die erwarteten Anforderungen empfangen wurden.

  • Der akzeptierte Bereich der erwarteten Anforderungsrate reicht von der Anwendung ab

Website-Scanner

Ein Webcrawler, Spider oder Suchmaschinen-Bot kann Inhalte aus dem Internet herunterladen und indizieren. Der Zweck dieser Bots besteht darin, die Website-Inhalte im gesamten Internet zu indizieren und diese Websites in den Suchmaschinenergebnissen erscheinen zu lassen. Die Webcrawler-Bots beginnen mit einer bestimmten Reihe bekannter Quellen, folgen Hyperlinks von einer Seite zu einer anderen Seite und von einer anderen Seite zu weiteren Seiten und so weiter. Gute Bots folgen den Regeln und indizieren nur die Seiten, die in Suchmaschinen angezeigt werden müssen. Schlechte Bots versuchen, auf alle möglichen Inhalte einer Website zuzugreifen und die Website zu profilieren, die später für verschiedene Zwecke zur Ausrichtung auf die Website verwendet werden kann.

Voraussetzung

Sie müssen die Einstellungen für Website-Scanner in Citrix ADM konfigurieren.

  1. Navigieren Sie zu Analytics > Sicherheit > Sicherheitsverletzungen.

  2. Klicken Sie auf das Einstellungssymbol neben der Liste der Zeitdauer.

  3. Klicken Sie auf der Registerkarte Website-Scanning und Scraping auf Hinzufügen.

    Einstellungen für Websitescans

  4. Auf der Seite Website-Scanning und Scraping-Konfiguration hinzufügen :

    1. Sitzungsverfolgungsmethode — Wählen Sie die Nachverfolgungsmethode als Client-IP, Citrix Web Application Firewall, Backend-Anwendungoder URLaus.

      Hinweis

      Wenn Sie Backend-Anwendungauswählen, stellen Sie sicher, dass Sie die Option Cookie-Header aktivieren auswählen, wenn Sie dies aktivieren erweiterte Sicherheitsanalysen.

      Cookie-Header aktivieren

    2. Anwendung - Wählen Sie die Anwendung aus der Liste aus.

  5. Klicken Sie auf Hinzufügen.

    Methode zur Sitzungsverfolgung

Nachdem Sie die Einstellungen mithilfe des Indikators “ Website Scanners “ konfiguriert haben, können Sie analysieren, ob die Clientsitzung (guter Bot oder schlechter Bot) versucht, die gesamte Website zu scannen oder zu crawlen.

Website-Scanner

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Das Empfindlichkeitsniveau und ändern Sie es auf niedrig, mittel oder hoch. Mit der Option “Empfindlichkeit bearbeiten” können Sie das vorhandene Profil für Verhaltensüberprüfungen anzeigen und bearbeiten oder ein neues Profil erstellen. Weitere Informationen finden Sie unter Konfigurieren von Verhaltensüberprüfungs

  • Das Diagramm, das die potenziellen Scan-Details anzeigt.

  • Die Erkennungsmeldung, die die erkannten potenziellen Scannersitzungen angibt. Klicken Sie auf die Nummer unter Potenzielle Scanner-Sitzungen anzeigen, um Clientdetails

    Potenzielle Sitzungen

Inhalt Scrapers

Content Scraping ist der Prozess der Verwendung von Bots, um geschäftskritische Informationen aus einer Zielquelle zu extrahieren. Diese schlechten Bots können Inhalte wie Bilder, Text, HTML-Codes usw. innerhalb kurzer Zeit von Tausenden von Seiten verschrotten. Die Auswirkungen von Content Scraping können zu plagiierten Inhalten, Verlust des SEO-Rankings, dem Haftungsausschluss für das Urheberrecht usw. führen.

In Citrix ADM können Sie als Administrator analysieren, ob der schlechte Bot versucht, den Inhalt der Website zu verschrotten. Sie müssen die folgende Voraussetzung konfigurieren, um Details in Citrix ADM anzuzeigen.

Voraussetzung

Sie müssen die Content Scraping-Einstellungen in Citrix ADM konfigurieren.

  1. Navigieren Sie zu Analytics > Sicherheit > Sicherheitsverletzungen.

  2. Klicken Sie auf das Einstellungssymbol neben der Liste der Zeitdauer.

  3. Klicken Sie auf der Registerkarte Website-Scanning und Scraping auf Hinzufügen.

    Einstellungen für Websitescans

  4. Auf der Seite Website-Scanning und Scraping-Konfiguration hinzufügen :

    1. Sitzungsverfolgungsmethode — Wählen Sie die Nachverfolgungsmethode als Client-IP, Citrix Web Application Firewall, Backend-Anwendungoder URLaus.

      Hinweis

      Wenn Sie Backend-Anwendungauswählen, stellen Sie sicher, dass Sie die Option Cookie-Header aktivieren auswählen, wenn Sie dies aktivieren erweiterte Sicherheitsanalysen.

      Cookie-Header aktivieren

    2. Anwendung - Wählen Sie die Anwendung aus der Liste aus.

  5. Klicken Sie auf Hinzufügen.

    Methode zur Sitzungsverfolgung

Nachdem Sie die Einstellungen mit dem Content Scrapers-Indikator konfiguriert haben, können Sie analysieren, ob eine Client-Sitzung (guter Bot oder schlechter Bot) versucht, den Inhalt zu verschrotten.

Inhalt Scrapers

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Die Grafik, die die möglichen Ausschussdetails anzeigt.

  • Die Erkennungsmeldung, die die potenziell erkannten Scraper-Sitzungen anzeigt Klicken Sie auf die Zahl unter Potenzielle Scraper-Sessions anzeigen, um Kundendetails anzuzeigen.

API-Missbrauch

Der Prozess der Zertifizierung der Benutzeridentität, die auf die Serverressourcen zugreift, wird als API-Authentifizierung bezeichnet. Die API-Authentifizierung kann folgendermaßen erfolgen:

  • API-Schlüssel

  • JWT Token

  • Zertifikat

Schlechte Bots können diese Authentifizierungen verwenden oder stehlen und verschiedene Arten von Cyberangriffen wie Credential Stuffing und Kennwort-Sprühen durchführen. In Citrix ADM können Sie solche ungewöhnlichen Anmeldeaktivitäten für APIs analysieren.

Mithilfe des API-Missbrauchsindikators können Sie als Administrator mithilfe der API-Authentifizierung analysieren, ob schlechte Bots versucht haben, die Zielressource zu übernehmen.

Missbrauch der API

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Die Grafik zeigt Details wie Gesamtanforderungen, erfolgreiche Anmeldungen, fehlgeschlagene Anmeldungen und Verstöße gegen den API-Missbrauch an.

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für den Verstoß, die auf erfolgreiche API-Authentifizierung und Fehlerversuche hinweist.

  • Die schlechten Bot-Details. Klicken Sie hier, um Details wie Zeit, Client-IP-Adresse, erfolgreiche Gesamteinmeldungen, vollständige fehlgeschlagene Anmeldungen und Gesamtanfragen anzuzeigen, die von dieser IP-Adresse gestellt wurden.

    Schlechte Bot-Client-S

Auf Tastatureingaben und Mausdynamik basierende Bot-Erkennung

Über 35 Prozent des Webverkehrs besteht aus Bots, und diese Bots können verschiedene Aufgaben schneller ausführen als Menschen. In einigen Szenarien sind Bots auch an Aufgaben beteiligt, die Eingaben von Tastatur und Maus erfordern.

Beispielsweise muss nur ein Mensch ein Kennwort für den Zugriff auf eine gesicherte Ressource eingeben. Bots können an Angriffen wie der Kontoübernahme teilnehmen, indem sie automatisch Anmeldeinformationen bereitstellen und mehrere Kombinationen schneller ausprobieren als Menschen. Neben Verstößen (Kontoübernahme, übermäßige Clientverbindungen usw.) ermöglicht Ihnen Citrix ADM auch, Bots basierend auf Tastenanschlag und Mausdynamik zu erkennen und Einblicke in diese zu erhalten.

Voraussetzungen

  • Aktivieren Sie Bot-Einblick.

  • Konfigurieren Sie Folgendes in der Citrix ADC-Instanz:

     add/set bot profile <name> -KMDetection ( ON | OFF )
    
     bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
    
     add/set bot profile <name> -KMJavaScriptName  <string>
    
     set bot profile <profile_name> -KMEventsPostBodyLimit 8192K
     <!--NeedCopy-->
    
  • Bot-Richtlinie hinzufügen und Binden von Bot-Richtlinien an einen virtuellen Server.

  • Stellen Sie sicher, dass Sie überprüfen, ob die dynamische Bot-Erkennungsoption für Tastatureingaben und Maus im Verhaltensüberprüfungsprofil ausgewählt ist. Weitere Informationen finden Sie unter Konfigurieren des Verhaltensüberprüfungs.

Nachdem Sie die Voraussetzungen konfiguriert haben, können Sie mit dem dynamischen Bot-Erkennungsindikator für Tastatureg und Maus in Citrix ADM Bots anzeigen, die an Tastenanschlägen und der Mausdynamik beteiligt sind.

Tastenanschlag- und Maus-Bot

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Die Grafik, die die potenziellen Bot-Details anzeigt.

  • Die Erkennungsmeldung, die die erkannten potenziellen Bot-Sitzungen anzeigt. Klicken Sie auf die Nummer unter Potenzielle Bot Sessions anzeigen, um Details anzuzeigen, einschließlich des Bot-Typs und der Bot-Kategorie. Weitere Informationen finden Sie unter Bot-Erkennung.

    Potenzielle Bots