Citrix Analytics für Sicherheit

Dashboard zur Zugriffssicherung

Angesichts der zunehmenden Anzahl von Telearbeit möchten Sie als Citrix IT-Administrator möglicherweise die Gewissheit haben, dass Ihre Benutzer von ihren gewohnten und sicheren Standorten aus auf Citrix Virtual Apps and Desktops oder Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) zugreifen. Wenn sich Benutzer von unbekannten Standorten oder neuen Standorten aus angemeldet haben, können Sie ihre Anmeldedetails validieren und die erforderlichen Maßnahmen ergreifen, um Bedrohungen für Ihre Citrix IT-Umgebung zu mindern.

Das Access Assurance-Dashboard bietet einen Überblick über die Standorte und Netzwerke, von denen aus Ihre Benutzer auf virtuelle Apps oder virtuelle Desktops zugreifen. Citrix Analytics for Security empfängt diese Benutzeranmeldeereignisse von der Citrix Workspace-App, die auf den Geräten der Benutzer installiert ist. Weitere Informationen zu den unterstützten Versionen finden Sie in der Versionsmatrix der Citrix Workspace Workspace-App.

Das Dashboard ansehen

Um das Dashboard anzuzeigen, klicken Sie auf Sicherheit > Zugriffsversicherung. Wählen Sie den Zeitraum aus, für den Sie die Anmeldedetails anzeigen möchten.

Navigation zum Assurance-Dashboard

Zusammenfassung des Zugriffs

Der Übersichtsbereich des Dashboards enthält die folgenden Informationen für einen ausgewählten Zeitraum:

  1. Gesamtzahl der Benutzeranmeldungen an den Standorten (weltweit).

  2. Gesamtzahl der eindeutigen Benutzeranmeldungen an den Standorten (weltweit).

    Zusammenfassung des Zugriffs

Ort der Anmeldung

Der Abschnitt Anmeldeorte enthält die folgenden Informationen für einen ausgewählten Zeitraum:

  • Gesamtzahl der Länder, aus denen sich die Benutzer angemeldet haben.

  • Gesamtzahl der Städte, von denen aus sich die Benutzer angemeldet haben.

  • Gesamtzahl der Länder und die eindeutigen Benutzeranmeldungen in den Geofencing-Gebieten. Um die Anmeldedetails aus den Geofencing-Bereichen anzuzeigen, aktivieren Sie Geofencing.

  • Top 10 Standorte mit eindeutigen Benutzeranmeldungen. Manchmal stammen die wichtigsten Benutzeranmeldungen auch aus unbekannten Städten und Ländern und diese werden auf der Registerkarte Unbekannte Standorte aufgeführt. Die Liste der unbekannten Standorte ist auch eine Teilmenge der Top 10 Standorte. Informationen zu den Gründen, warum einige Standorte nicht identifiziert wurden, finden Sie unter Standorte, die als nicht verfügbar identifiziert wurden.

Sie können auch den Aufwärts- oder Abwärtstrend der gesamten Benutzeranmeldungen weltweit und der Gesamtzahl der eindeutigen Benutzeranmeldungen weltweit anzeigen. Für die 10 wichtigsten Standorte zeigt die Spalte ABWEICHUNG die Änderung (positiv (+) oder negativ (-)) in den Benutzeranmeldungen für jeden Standort an. Dieser Vergleich basiert auf dem ausgewählten Zeitraum und dem vorherigen Zeitraum gleicher Länge. Wenn Sie beispielsweise den Zeitraum Letzter Monatauswählen, werden der Trend der Benutzeranmeldung und die Abweichung zwischen dem letzten Monat und dem vorherigen mit dem letzten 1 Monat verglichen.

Hinweis:

Die Standortinformationen werden auf Stadt- und Länderebene bereitgestellt und stellen keine genaue Geolocation dar. Weitere Informationen zu Access Assurance und Geolocation finden Sie unter Häufig gestellte Fragen.

Details der Benutzeranmeldungen

Wählen Sie in der Tabelle Top 10 Unique Logon Locations einen Speicherort aus, an dem die Benutzer und deren Zugriffsprofile und Anmeldedetailsangezeigt werden sollen.

Übersichtsseite für Benutzeranmeldung

Die Karte zeigt die Anzahl der eindeutigen Benutzer von verschiedenen Standorten für einen ausgewählten Zeitraum an. Bewegen Sie den Mauszeiger über die blaue Blase oder zoomen Sie auf eine Position, um die Gesamtzahl der eindeutigen Benutzeranmeldungen vom Standort aus anzuzeigen. Klicken Sie auf die blaue Blase, um die Zugangsdetails für einen Standort anzuzeigen.

Zoom-In-Ansicht zuordnen

In der unteren rechten Ecke der Karte können Sie den Bereich der eindeutigen Benutzeranmeldungen anzeigen. Für einen ausgewählten Zeitraum gibt die kleine Blase die Mindestanzahl der eindeutigen Benutzeranmeldungen an den Standorten an. Die große Blase gibt die maximale Anzahl der eindeutigen Benutzeranmeldungen an den Standorten an.

Bereich der Benutzeranzahl

Standorte, die als nicht verfügbar identifiziert wurden

In der Tabelle Top 10 Unique Logon Locations sehen Sie möglicherweise, dass einige Standorte unbekannt oder nicht verfügbar sind. Klicken Sie auf einen unbekannten Speicherort, um die entsprechenden Benutzeranmeldedetails auf der Seite Benutzeranmeldungen anzuzeigen.

Auf der Seite Benutzeranmeldungen wird in der Tabelle DATA das NA-Label angezeigt, falls keine Landes- oder Stadtinformationen verfügbar sind.

Bewegen Sie den Mauszeiger über das NA-Label, um den Grund für die nicht verfügbaren Standortinformationen anzuzeigen.

Standort nicht verfügbar

Möglicherweise wird eines der folgenden Szenarien für die Nichtverfügbarkeit eines Standortes angezeigt:

Szenario Gründe
Der Name der Stadt und der Ländername sind nicht verfügbar. Eines der Folgenden
 
  1. Die Benutzer verwenden eine nicht unterstützte Version der Citrix Workspace-App. Aktualisieren Sie den Client auf eine unterstützte Version, um die Standortinformationen anzuzeigen.
Standorte mit privaten IPs Das Gerät des Benutzers befindet sich in einem privaten Netzwerk. In diesem Fall stehen die Standortinformationen für Citrix Analytics nicht zur Verfügung.
Der Ländername ist verfügbar, der Name der Stadt ist jedoch nicht verfügbar. Das Gerät des Benutzers verwendet möglicherweise eine Unternehmens-IP. Die IP-Bereiche des Unternehmens sind im externen Geolokationsdienst verschleiert. Daher sind die Standortinformationen für Citrix Analytics nicht verfügbar.

Geofencing aktivieren

Geofencing hilft Ihnen dabei, die Benutzer zu identifizieren, die von außerhalb von Safe Geofence und innerhalb riskanter Geofence-Bereiche auf virtuelle Apps oder virtuelle Desktops zugreifen. Um die Seite Zugriffsübersicht anzuzeigen, navigieren Sie zu Sicherheit > Zugriffsabsicherung.

Standardmäßig sind die Geofence-Einstellungen immer aktiviert. Um Ihren Geofence zu konfigurieren, klicken Sie auf Geofence hinzufügen/bearbeiten.

Geofence aktivieren

Das Fenster Geofence-Einstellungen wird mit zwei Registerkarten angezeigt:

  • Sichere Standorte: Sie können die Länder konfigurieren oder entfernen, die unter einen sicheren Standort fallen.
  • Riskante Standorte: Sie können die Länder konfigurieren oder entfernen, die unter einen riskanten Standort fallen. Sie können auch die Gesamtzahl der auf jeder Registerkarte konfigurierten sicheren und riskanten Standorte anzeigen. Um ein Land aus einem Geofence für sichere Standorte oder Risikostandortgeofence zu löschen oder zu entfernen, klicken Sie auf das Schließen-Zeichen (X) neben dem Land. Klicken Sie auf Speichern, um die Geofence-Einstellungen zu speichern.

Geofence-Einstellungen

Sie können die Länder konfigurieren, die unter Geofence für riskante Standorte fallen. Wenn für Geofence riskante Standorte keine Risikoindikatoren hinzugefügt wurden oder die Risikoindikatoren gelöscht wurden, wird neben Geofence hinzufügen/bearbeiten eine Warnmeldung zum Aktualisierenvon Geofenceangezeigt.

Geofence aktualisieren

Um den Indikator neu zu erstellen, navigieren Sie zur Registerkarte Riskante Standorte und aktivieren Sie den Schalter Risikoindikator für riskanten Geofence .

Risikoindikator für riskanten Geofence

Der Indikator wird mit der Standardliste der riskanten Standorte erstellt.

Auf der Seite Zugriffszusammenfassung werden auch die sicheren und riskanten Geofences-Länder angezeigt.

  • Geofenced Safe-Länder sind mit einem hellgrauen Kreis gekennzeichnet.
  • Geofencing, Riskante Länder sind mit einem dunkelgrauen Kreis gekennzeichnet.

Geofence-Länder

Geofence: Eindeutige Benutzeranmeldungen

Navigieren Sie zur Seite Zugriffszusammenfassung, um Geofence: Eindeutige Benutzeranmeldungen anzuzeigen. Die Karte zeigt die Anzahl der riskanten Standorte innerhalb und außerhalb sicherer Standorte an.

  • Innerhalb eines riskanten Standorts: Identifizieren Sie Benutzer, die sich innerhalb der Geofencebereiche riskanter Standorte angemeldet haben.
  • Außerhalb des sicheren Standorts Identifizieren Sie Benutzer, die sich von außerhalb der Geofencebereiche sicherer Standorte angemeldet haben.

Eindeutige Geofence-Benutzeranmeldungen

Um eine detaillierte Zusammenfassung der gesamten Benutzeranmeldungen und der eindeutigen Benutzeranmeldungen zu erhalten, klicken Sie auf die Zahl neben Innerhalb eines riskanten Standorts oder Außerhalb eines sicheren Standorts.

Übersichtsseite zur Zugriffssicherung

Diese Funktion verwendet den folgenden vorkonfigurierten benutzerdefinierten Risikoindikator:

  • CVAD-Sitzung außerhalb von Geofence gestartet: Zur Überwachung von Benutzeranmeldungen außerhalb von Safe Geofence.
  • Die CVAD-Sitzung wurde in riskantem Geofence gestartet: Zur Überwachung von Benutzeranmeldungen innerhalb des riskanten Geofence.

Wenn Benutzeranmeldungen außerhalb des Geofence erkannt werden, wird der Risikoindikator ausgelöst und die außerhalb der Geofence-Richtlinie gestartete Sitzung wird auf diese Benutzer angewendet. Die Richtlinie löst die Aktion Endbenutzerantwort anfordern aus und basierend auf der Antwort des Benutzers können Sie geeignete Maßnahmen ergreifen, um Bedrohungen durch verdächtige Anmeldungen zu verhindern. Weitere Informationen finden Sie unter vorkonfigurierte benutzerdefinierte Risikoindikatoren.

Hinweise

  • Wenn Sie in den Geofence-Einstellungendie Länder ändern, wird die CVAD-Sitzung, die außerhalb des Geofence-Risikoindikators gestartet wurde, ebenfalls aktualisiert.

  • Wenn Sie beispielsweise die Länder Australien und Indien als neue geofenced-Länder auswählen und speichern, wird die vorkonfigurierte Bedingung des Risikoindikators zusätzlich zu den USA (dem Standard-Geofence) mit den neuen Ländern aktualisiert. Sie können auch das Standardgeofenceland USA entfernen.

    Vorkonfigurierter Zustand des Risikoindikators: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Nach dem Aktualisieren der Geofence-Einstellungen ist der Zustand des Risikoindikators:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Wenn die außerhalb des Geofence-Risikoindikators gestartete CVAD-Sitzung zuvor aus Ihrem Konto gelöscht wurde, wird durch Aktivieren der Geofence-Einstellungen der Risikoindikator erneut erstellt. Die Geofence-Länder des Risikoindikators werden über die Geofence-Einstellungengesteuert.

Nach dem Aktivieren der Geofence-Einstellungenwerden auf der Karte die geofencing-Bereiche und die eindeutigen Benutzeranmeldungen aus diesen Bereichen angezeigt.

Anmeldenetzwerk

Im Access Assurance-Dashboard können Sie jetzt die folgenden zusätzlichen Benutzerdetails anzeigen:

  • Die Organisationen, die den IP-Adressen zugeordnet sind, von denen aus sich die Benutzer angemeldet haben. Zu diesen Organisationen gehören Einrichtungen wie Unternehmen, Regierungen, Bildungseinrichtungen und Internetdienstanbieter.

  • Das gesamte eindeutige öffentliche Subnetz und das private Subnetz, von dem aus sich die Benutzer angemeldet haben.

  • Die Details, die sich der Benutzer mit Proxys und privaten VPN-Diensten angemeldet hat.

Mithilfe dieser zusätzlichen Informationen können Sie als Administrator die Benutzeranmeldedaten überprüfen und sicherstellen, dass die Benutzeranmeldung den Sicherheitsanforderungen der Organisation entspricht.

Benutzernetzwerkdetails anzeigen

Navigieren Sie zu Sicherheit > Access Assurance und scrollen Sie nach unten, um Details unter Logon Networkanzuzeigen.

Anmeldenetzwerk

  • IP-Adressen insgesamt: Gibt die Gesamtzahl der eindeutigen IP-Adressen an, die für die Anmeldung an virtuellen Sitzungen verwendet wurden.

  • Subnetze insgesamt: Gibt die Gesamtzahl der Subnetze an, die für die Anmeldung an virtuellen Sitzungen verwendet wurden.

  • Gesamtzahl der Proxytypen: Gibt die Gesamtzahl der Netzwerk- oder Protokolltypen an, die vom Server für den Proxy der Benutzerverbindung verwendet werden.

  • Unter Top Distribution of IP Registration Organizationskönnen Sie sich einen Überblick über die Gesamtzahl der Benutzeranmeldungen und die eindeutigen Anmeldedetails jeder Organisation (ISP) anzeigen lassen. Sie können auf das Diagramm klicken, um die Details der Benutzer sowie deren Zugriffsprofile und Anmeldedetails anzuzeigen, die der ausgewählten Organisation zugeordnet sind.

  • Unter Gesamtzahl eindeutiger öffentlicher Subnetzekönnen Sie sich einen Überblick über die Subnetze, die Gesamtzahl der Benutzeranmeldungen aus jedem Subnetz und den Abweichungstrend in jedem Subnetz anzeigen lassen. Sie können auf jedes Subnetz klicken, um die Details der Benutzer sowie deren Zugriffsprofile und Anmeldedetails anzuzeigen, die mit dem ausgewählten Subnetz verknüpft sind.

Zugriffsprofile der Benutzer anzeigen

Wenn Sie eine Metrik (Standort, Organisation oder Subnetz) aufschlüsseln, bietet die Seite Zugriffsprofil eine Zusammenfassung der Zugriffe Ihrer Benutzer auf virtuelle Apps oder virtuelle Desktops von den ausgewählten Standorten aus. Sie können die Option „Einmaliges Anmelden“ oder „Gesamtanmeldung“ wählen, um die Trendanalyse für den ausgewählten Zeitraum anzuzeigen.

Eindeutige und vollständige Benutzeranmeldung

Sie können die wichtigsten Zugriffsereignisse für die ausgewählte Metrik (Standort, Organisation oder Subnetz) anzeigen. Diese Informationen helfen Ihnen, die Zugriffsmuster und die Details für die Bedrohungsuntersuchung und -analyse zu überprüfen.

Der Aufwärts- oder Abwärtstrend für die Gesamtzahl der Benutzeranmeldungen und der eindeutigen Benutzeranmeldungen wird auf der Grundlage des ausgewählten Zeitraums und des vorherigen Zeitraums gleicher Länge verglichen. Wenn Sie beispielsweise den Zeitraum als Letzter Monatauswählen, wird der Trend zwischen dem letzten Monat und dem vorherigen Monat mit dem letzten Monat verglichen.

Zugriff auf die Profilseitenansicht

Facetten

Für die Zugriffsereignisse können Sie folgende Facetten verwenden:

  • Ort- Filtern Sie die Zugriffsereignisse nach Ländern und ihren Städten.

  • Betriebssystem- Filtern Sie die Zugriffsereignisse nach den Betriebssystemen und deren Versionen.

  • Subnetz— Filtert die Zugriffsereignisse nach den Subnetzen.

  • Client-IP-Typ— Filtert die Zugriffsereignisse nach öffentlichen oder privaten Ereignissen.

  • IP-registrierende Organisation— Filtert die Organisation, die der öffentlichen IP-Adresse zugeordnet ist.

  • Privater VPN-Dienst— Filtert die Zugriffsereignisse nach den Namen der privaten VPN-Netzwerke.

  • Proxytyp— Filtert die Zugriffsereignisse nach den Proxytyp-Klassifizierungen wie HTTP, Web, Tor und SOCKS.

Hinweis

Möglicherweise wird das Label “Nicht verfügbar” auch angezeigt, wenn Daten entweder nicht verfügbar oder nicht identifiziert sind.

Zeigen Sie auf der Grundlage der angewendeten Filter die folgenden Informationen für die Gesamtzahl der Benutzeranmeldungen und eindeutigen Benutzeranmeldungen an:

  • Netzwerk— Die wichtigsten Subnetze und die IP-Adressen, von denen aus sich die Benutzer bei virtuellen Apps oder virtuellen Desktops angemeldet haben.

    Top Zugriffsdetails

  • Standorte— Die wichtigsten Länder und Städte, von denen aus sich die Benutzer bei virtuellen Apps oder virtuellen Desktops angemeldet haben.

    Standortdetails für den Zugriff von oben

  • Endpunkte— Die wichtigsten Geräte- und Betriebssystemnamen, die auf Benutzeranmeldungen von Apps und Desktops basieren.

    Details zu den wichtigsten Zugriffsendpunkten

Anmeldedetails von Benutzern anzeigen

Auf der Seite Benutzeranmeldungen werden die Details der Benutzeranmeldungen an virtuellen Apps oder virtuellen Desktops von den ausgewählten Speicherorten aus angezeigt. Diese Informationen helfen Ihnen bei der Untersuchung und Analyse von Bedrohungen.

Benutzeranmeldeseite

In der Tabelle DATA werden die folgenden Anmeldedetails für die ausgewählten Standorte und den Zeitraum angezeigt:

  • Zeit. Das Datum und die Uhrzeit, zu der sich der Benutzer angemeldet hat.

  • Benutzername. Die Identität des Nutzers.

  • Client-IP. Die IP-Adresse des Benutzergeräts.

  • Client-IP-Typ. Die Art der IP-Adresse des Benutzers, z. B. öffentlich oder privat.

  • Stadt und Land. Die Standorte, von denen aus sich der Benutzer bei virtuellen Apps oder virtuellen Desktops angemeldet hat.

  • Geräte-ID. Der Identitätscode des Benutzergeräts.

  • Name des Betriebssystems. Das Betriebssystem auf dem Benutzergerät. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.

    Tabelle mit Benutzeranmeldedaten

Wenn du jedes Event erweiterst, siehst du die folgenden Details:

  • Version des Betriebssystems. Die Version des Betriebssystems auf dem Benutzergerät. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.

  • Zusätzliche Informationen zum Betriebssystem— Alle zusätzlichen Informationen des Betriebssystems wie Buildnummern, Service Packs und Patches. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.

  • Version der Arbeitsbereich-App. Die Build-Version der Citrix Workspace-App oder Citrix Receiver.

    Zugriffsprotokoll auf Datentabelle

In der Tabelle DATA können Sie die folgenden Vorgänge ausführen:

  • Klicken Sie auf Spalten hinzufügen oder entfernen, um die Tabellenspalten basierend darauf zu aktualisieren, wie Sie die Daten anzeigen möchten.

  • Klicken Sie auf Sortieren nach, und wählen Sie die Datenelemente für eine mehrspaltige Sortierung aus. Weitere Informationen finden Sie unter Mehrspaltige Sortierung.

  • Klicken Sie auf In CSV-Format exportieren, um die in der Tabelle DATA angezeigten Daten in eine CSV-Datei herunterzuladen und für Ihre Analyse zu verwenden.

Suchleiste

Sie können die Suchleiste auch verwenden, um Ihre Abfrage mithilfe der mit einem Anmeldeereignis verknüpften Dimensionen zu definieren.

Beispiel:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Suchfeld

Facetten

Sie können die folgenden Facetten für die Anmeldeereignisse verwenden:

  • Standorte— Filtern Sie die Anmeldeereignisse nach Ländern und ihren Städten.

  • Betriebssystem— Filtern Sie die Anmeldeereignisse nach Betriebssystem und deren Versionen.

  • Subnetz— Filtert die Zugriffsereignisse nach den Subnetzen.

  • Client-IP-Typ— Filtern Sie die Zugriffsereignisse nach öffentlichen und privaten IP-Typen.

  • IP-Registrierungsorganisation— Filtern Sie die Zugriffsereignisse nach dem vom Benutzer verwendeten ISP.

  • Privater VPN-Dienst— Filtert die Zugriffsereignisse nach den Namen der privaten VPN-Netzwerke.

  • Proxytyp— Filtert die Zugriffsereignisse nach den Proxytyp-Klassifizierungen wie HTTP, Web, Tor und SOCKS.

Hinweis

Möglicherweise wird das Label “Nicht verfügbar” auch angezeigt, wenn Daten entweder nicht verfügbar oder nicht identifiziert sind.

Dashboard zur Zugriffssicherung