Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Benutzerdefinierte Risikoindikatoren

September 16, 2025
Beitrag von: 
C C

Es gibt zwei Arten von Risikoindikatoren, die Sie in Citrix Analytics for Security™ sehen:

  • Standard-Risikoindikatoren: Diese Risikoindikatoren basieren auf dem Algorithmus für maschinelles Lernen. Weitere Informationen finden Sie unter Citrix Benutzer-Risikoindikatoren.

  • Benutzerdefinierte Risikoindikatoren: Diese Risikoindikatoren werden manuell von den Administratoren erstellt.

Wenn Sie einen benutzerdefinierten Risikoindikator erstellen, können Sie die Auslösebedingungen und die Parameter basierend auf Ihren Anwendungsfällen definieren. Wenn die Benutzerereignisse Ihren definierten Kriterien entsprechen, löst Citrix Analytics den benutzerdefinierten Risikoindikator aus und zeigt ihn in der Risiko-Timeline des Benutzers an.

Erstellen Sie benutzerdefinierte Risikoindikatoren für die folgenden Datenquellen:

  • Citrix Gateway
  • Citrix Secure Private Access™
  • Citrix Virtual Apps and Desktops™ On-Premises
  • Citrix DaaS (ehemals Citrix Virtual Apps™ and Desktops Service)
  • Citrix Secure Browser

Vorkonfigurierte benutzerdefinierte Risikoindikatoren

Citrix bietet auch einige benutzerdefinierte Risikoindikatoren mit vorkonfigurierten Bedingungen an, um Sie bei der Überwachung der Sicherheit Ihrer Citrix Infrastruktur zu unterstützen. Sie können die vorkonfigurierten Bedingungen basierend auf Ihren Anwendungsfällen ändern. Weitere Informationen finden Sie unter Vorkonfigurierte benutzerdefinierte Risikoindikatoren.

Seite für benutzerdefinierte Risikoindikatoren

Die Seite Benutzerdefinierte Risikoindikatoren bietet Einblicke in alle benutzerdefinierten Risikoindikatoren, die für einen Benutzer generiert wurden, deren Schweregrad, Datenquelle, Anzahl der Richtlinien, Risikokategorie, Status sowie das Datum und die Uhrzeit der letzten Änderung des Indikators. Informationen zum Erstellen eines benutzerdefinierten Risikoindikators finden Sie unter Erstellen eines benutzerdefinierten Risikoindikators.

Benutzerdefinierte Indikatoren

Wenn Sie den Risikoindikator auswählen, werden Sie zur Seite Risikoindikator ändern weitergeleitet. Weitere Informationen finden Sie unter Ändern eines benutzerdefinierten Risikoindikators.

Analysieren eines benutzerdefinierten Risikoindikators

Betrachten Sie einen Benutzer, dessen Aktion einen von Ihnen definierten benutzerdefinierten Risikoindikator ausgelöst hat. Citrix Analytics zeigt den benutzerdefinierten Risikoindikator in der Risiko-Timeline des Benutzers an.

Wenn Sie den benutzerdefinierten Risikoindikator in der Risiko-Timeline des Benutzers auswählen, zeigt der rechte Bereich die folgenden Informationen an:

  • Definierte Bedingung(en): Zeigt eine Zusammenfassung der Bedingungen an, die Sie beim Erstellen eines benutzerdefinierten Risikoindikators definieren.

  • Beschreibung: Bietet eine Zusammenfassung der Beschreibung, die Sie beim Erstellen des benutzerdefinierten Risikoindikators angeben. Wenn beim Erstellen des benutzerdefinierten Risikoindikators keine Beschreibung angegeben wird, wird in diesem Abschnitt Keine angezeigt.

  • Auslösefrequenz: Zeigt die Option an, die Sie im Abschnitt Erweiterte Optionen beim Erstellen des benutzerdefinierten Risikoindikators auswählen.

  • Ereignisdetails: Zeigt die Timeline und die Details der Benutzerereignisse an, die den benutzerdefinierten Risikoindikator ausgelöst haben. Sie können auf Ereignissuche klicken, um die Benutzerereignisse auf der Self-Service-Suchseite anzuzeigen. Die Self-Service-Suchseite zeigt die Ereignisse an, die dem Benutzer und dem benutzerdefinierten Risikoindikator zugeordnet sind. Die Suchabfrage zeigt die für den benutzerdefinierten Risikoindikator definierten Bedingungen an.

Benutzerdefinierte Indikatoren

Hinweis

Benutzerdefinierte Risikoindikatoren werden mit einer Beschriftung in der Benutzer-Risiko-Timeline dargestellt.

Aktionen, die Sie auf den Benutzer anwenden können

Wenn ein benutzerdefinierter Risikoindikator für einen Benutzer ausgelöst wird, können Sie eine Aktion manuell anwenden oder eine Richtlinie erstellen, um eine Aktion automatisch anzuwenden. Weitere Informationen finden Sie unter Richtlinien und Aktionen.

Vorlagen für benutzerdefinierte Risikoindikatoren

Sie können einen benutzerdefinierten Risikoindikator erstellen, indem Sie eine der vordefinierten Vorlagen verwenden oder ohne Vorlage fortfahren.

Die Vorlagen dienen als Ausgangspunkt für die Erstellung eines benutzerdefinierten Risikoindikators. Sie leiten Sie bei der Erstellung eines benutzerdefinierten Risikoindikators an, indem sie vordefinierte Abfragen und Parameter bereitstellen, die Sie basierend auf Ihren Anwendungsfällen auswählen können.

Sie können eine Vorlage unverändert verwenden oder sie an Ihre Anforderungen anpassen. Mithilfe der Vorlagen können Administratoren ohne zusätzliche Schulung Risikoindikatoren von Interesse erstellen.

Eine Vorlage besteht aus den folgenden Informationen:

  • Beschreibung: Gibt den Zweck der in der Vorlage definierten Abfrage an.

  • Datenquelle: Gibt die Datenquelle an, auf die die Vorlage angewendet wird.

  • Risikokategorie: Gibt die Risikokategorie an, die mit den von der Abfrage gesuchten Ereignissen verbunden ist. Es gibt vier Kategorien riskanter Ereignisse: Datenexfiltration, Insider-Bedrohungen, kompromittierte Benutzer und kompromittierte Endpunkte. Weitere Informationen finden Sie unter Risikokategorien.

  • Frequenz: Gibt die Häufigkeit an, mit der die Abfrage ausgelöst wird.

  • Schweregrad: Gibt den Schweregrad des mit dem Ereignis verbundenen Risikos an. Das Risiko kann hoch, mittel oder niedrig sein.

  • Erstellt von: Gibt den Ersteller der Vorlage an. Die Vorlagen sind immer systemdefiniert.

  • Abfrage: Gibt die in der Vorlage definierten Bedingungen an. Die Abfrage ruft die Benutzerereignisse ab, die die Bedingungen erfüllen.

Die folgende Abbildung zeigt die Vorlage für den Anwendungsfall „Zwischenablage-Nutzung in SaaS-Apps“.

Vorlage für Zwischenablage-Nutzung

Wenn Sie keine Vorlage für Ihren Anwendungsfall finden oder Ihre eigene Abfrage definieren möchten, können Sie ohne Vorlage fortfahren.

Erstellen eines benutzerdefinierten Risikoindikators

So erstellen Sie einen benutzerdefinierten Risikoindikator:

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren > Indikator erstellen.

    Benutzerdefinierten Risikoindikator erstellen

  2. Wählen Sie eine Vorlage aus, um den Anwendungsfall anzuzeigen. Wenn sie Ihren Anforderungen entspricht, wählen Sie Vorlage auf Indikator anwenden.

    Hinweis

    Sie können auch die vordefinierten Bedingungen und Parameter einer Vorlage ändern.

    Vorlage auswählen

  3. Wenn Sie keine gewünschte Vorlage finden oder Ihre eigene Bedingung erstellen möchten, wählen Sie Ohne Vorlage fortfahren.

    Ohne Vorlage auswählen

  4. Befolgen Sie die Anweisungen auf dem Bildschirm, um einen Indikator zu erstellen.

Hinweise

  • Sie können maximal 50 benutzerdefinierte Risikoindikatoren erstellen. Wenn Sie dieses Maximum erreichen, müssen Sie einen vorhandenen benutzerdefinierten Risikoindikator löschen oder bearbeiten, um einen neuen benutzerdefinierten Risikoindikator zu erstellen.

  • Wenn ein benutzerdefinierter Risikoindikator ausgelöst wird, wird er sofort in der Benutzer-Timeline angezeigt. Die Risikozusammenfassung und der Risikowert des Benutzers werden jedoch nach einigen Minuten (ca. 15–20 Minuten) aktualisiert.

Definieren einer Bedingung für einen benutzerdefinierten Risikoindikator

Verwenden Sie das Abfragefeld, um Ihre Bedingungen für den benutzerdefinierten Risikoindikator zu definieren. Abhängig von der ausgewählten Datenquelle erhalten Sie die entsprechenden Dimensionen und die gültigen Operatoren zum Definieren Ihrer Bedingungen.

Wenn Sie bestimmte Dimensionen wie Event-Type und Clipboard-Operation zusammen mit einem gültigen Operator auswählen, werden die Werte der Dimension automatisch angezeigt. Sie können einen Wert aus den vorgeschlagenen Optionen auswählen oder einen neuen Wert eingeben, je nach Ihren Anforderungen.

Die folgende Abbildung zeigt die vorgeschlagenen Werte der Dimension Event-Type.

Abfragebeispiel

Wenn Sie eine Vorlage verwenden, ist die Bedingung vordefiniert. Sie können die vordefinierte Bedingung jedoch basierend auf Ihrem Anwendungsfall erweitern oder ändern.

Unterhalb des Abfragefelds sehen Sie den Link Geschätzte Auslöser. Klicken Sie auf den Link, um die ungefähre Anzahl der Instanzen des benutzerdefinierten Risikoindikators vorherzusagen, die für die definierten Bedingungen ausgelöst würden. Diese Instanzen werden basierend auf den historischen Daten berechnet, die Citrix Analytics verwaltet und die die definierten Bedingungen erfüllen.

Stellen Sie sicher, dass Sie auf Geschätzte Auslöser klicken, um die Anzahl der Vorkommen des benutzerdefinierten Risikoindikators für die zuletzt definierte Bedingung vorherzusagen.

Verwenden der erweiterten Optionen

Wählen Sie im Abschnitt Erweiterte Optionen die Häufigkeit des Ereignisses aus, um den benutzerdefinierten Risikoindikator auszulösen. Wenn Sie keine Option auswählen, betrachtet Citrix Analytics Jedes Mal: Generieren Sie den Risikoindikator jedes Mal, wenn das/die Ereignis(se) auftritt/auftreten als Standardoption und generiert den benutzerdefinierten Risikoindikator. Sie können eine der folgenden Optionen auswählen:

  • Jedes Mal: Der Risikoindikator wird ausgelöst, wann immer die Ereignisse die definierten Bedingungen erfüllen.

  • Erstes Mal: Der Risikoindikator wird ausgelöst, wenn die Ereignisse die definierten Bedingungen zum ersten Mal erfüllen.

    • Erstes Mal für ein neues: Aktivieren Sie diese Option, um Ereignisse zu erkennen, die zum ersten Mal von einer neuen Entität empfangen werden. Einige Beispiele für Entitäten sind Client-IP, Land, Stadt und Geräte-ID. Sie können nur eine Entität basierend auf der Datenquelle auswählen. Diese Option ermöglicht es Ihnen, einen Risikoindikator zu erstellen, ohne einen expliziten Wert für die Entitäten anzugeben. Wenn Sie beispielsweise die Entität als „Stadt“ auswählen, müssen Sie den Stadtnamen nicht angeben. Der Risikoindikator wird ausgelöst, wenn Ereignisse zum ersten Mal aus einer neuen Stadt empfangen werden.

      Die folgende Tabelle listet die Entitäten auf, die jeder Datenquelle entsprechen, und beschreibt die Auslösebedingungen.

      Datenquelle Entität Auslösebedingung
      Secure Private Access Stadt Wenn sich ein Benutzer zum ersten Mal von einer neuen Stadt anmeldet.
        Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse anmeldet.
        Land Wenn sich ein Benutzer zum ersten Mal von einem neuen Land anmeldet.
      Apps und Desktops App-Name Wenn ein Benutzer zum ersten Mal eine neue virtuelle Anwendung oder eine SaaS-Anwendung öffnet.
        App-URL Wenn ein Benutzer zum ersten Mal eine neue App-URL in einem Browser auf seinem virtuellen Desktop eingibt.
        Stadt Wenn ein Benutzer zum ersten Mal Apps oder Desktops von einer neuen Stadt aus startet.
        Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse anmeldet.
        Land Wenn ein Benutzer zum ersten Mal Apps oder Desktops von einem neuen Land aus startet.
        Geräte-ID Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops von einem neuen Gerät wie einem Mobiltelefon, Laptop oder Desktop-Computer aus startet.
        Download-Gerätetyp Wenn ein Benutzer zum ersten Mal ein neues Speichermedium wie ein USB-Laufwerk verwendet.
        Druckdateiformat Format der gedruckten Datei.
        Druckdateigröße Größe der gedruckten Datei in Bytes.
        Druckdateiname Name der gedruckten Datei.
        Druckername Name des verwendeten Druckers.
        Gesamtzahl der gedruckten Kopien Gesamtzahl der vom Benutzer gedruckten Kopien.
        Gesamtzahl der gedruckten Seiten Gesamtzahl der vom Benutzer gedruckten Dokumentseiten.
      Gateway Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse anmeldet.
      Secure Browser Benutzername Der Name des Benutzers, der das Ereignis initiiert hat.
        Zugriff erlaubt Ob dem Benutzer der Zugriff auf den Hostdienst erlaubt oder verweigert wird.
        Client-IP Die IP-Adresse des Benutzergeräts.
        Hostname aufgerufen Der Hostdienst, auf den der Benutzer über das Netzwerk zugegriffen hat.
        Sitzungs-ID Die eindeutige Nummer, die der Benutzersitzung zugewiesen ist.

      Das folgende Beispiel zeigt einen benutzerdefinierten Risikoindikator, der für die Datenquelle „Apps und Desktops“ erstellt wurde. Der Risikoindikator wird ausgelöst, wenn ein Benutzer zum ersten Mal einen virtuellen Desktop oder eine virtuelle App von einem neuen Gerät aus startet.

      Geräte-ID zum ersten Mal

      Sie können auch eine Bedingung zusammen mit der Option Erstes Mal für ein neues hinzufügen. In diesem Fall wird der Risikoindikator ausgelöst, wenn er die Ereignisse von der neuen Entität zum ersten Mal erkennt und wenn die Ereignisse die definierte Bedingung erfüllen.

      Das folgende Beispiel zeigt eine für den benutzerdefinierten Risikoindikator definierte Bedingung und die aktivierte Option Erstes Mal für eine neue Geräte-ID. Der Risikoindikator wird ausgelöst, wenn ein Benutzer in Indien zum ersten Mal eine virtuelle Desktopsitzung von einem neuen Gerät aus startet.

      Erstes Mal mit Bedingung

  • Exzessiv: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

    • Ereignisse erfüllen die definierten Bedingungen.

    • Ereignisse treten eine bestimmte Anzahl von Malen während des angegebenen Zeitraums auf.

  • Häufig: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

    • Die Ereignisse erfüllen die definierten Bedingungen.

    • Die Ereignisse treten eine bestimmte Anzahl von Malen während des angegebenen Zeitraums auf.

    • Das Ereignismuster wiederholt sich eine bestimmte Anzahl von Malen.

Auswählen der Risikokategorie

Wählen Sie die Risikokategorie für Ihren benutzerdefinierten Risikoindikator aus.

Risikoindikatoren werden basierend auf der Art des Risikoprofils des benutzerdefinierten Risikoindikators gruppiert. Hilfe bei der Auswahl der Risikokategorie finden Sie unter Risikokategorien.

Auswählen des Schweregrads

Der Schweregrad gibt den Grad der Ernsthaftigkeit eines riskanten Ereignisses an, das vom Risikoindikator erkannt wird. Wenn Sie einen benutzerdefinierten Risikoindikator erstellen, wählen Sie einen Schweregrad – hoch, mittel oder niedrig.

Wenn Sie eine Vorlage anwenden, ist die Schweregradoption vorausgewählt. Sie können diese Vorauswahl je nach Anwendungsfall ändern.

Unterstützte Operatoren zum Definieren einer Bedingung

Sie können die folgenden Operatoren verwenden, während Sie eine Bedingung definieren.

Operator Beschreibung Beispiel Ausgabe
Weist der Suchabfrage einen Wert zu. User-Name : John Zeigt Ereignisse für den Benutzer John an.
= Weist der Suchabfrage einen Wert zu. User-Name = John Zeigt Ereignisse für den Benutzer John an.
~ Sucht ähnliche Werte. User-Name ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
”” Schließt durch Leerzeichen getrennte Werte ein. User-Name = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
<, > Sucht nach relationalen Werten. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
AND Sucht Werte, bei denen beide Bedingungen wahr sind. User-Name : John AND Datenvolumen > 100 Zeigt Ereignisse des Benutzers John an, bei denen das Datenvolumen größer als 100 GB ist.
* Sucht Werte, die dem Zeichen null oder mehrfach entsprechen. User-Name = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    User-Name = John Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    User-Name = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
!~ Überprüft die Benutzerereignisse auf das von Ihnen angegebene Übereinstimmungsmuster. Dieser NOT LIKE-Operator gibt die Ereignisse zurück, die das Übereinstimmungsmuster nirgendwo in der Ereigniszeichenfolge enthalten. User-Name !~ John Zeigt Ereignisse für alle Benutzer außer John, John Smith oder ähnliche Benutzer an, die den übereinstimmenden Namen „John“ enthalten.
!= Überprüft die Benutzerereignisse auf die von Ihnen angegebene exakte Zeichenfolge. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die exakte Zeichenfolge nirgendwo in der Ereigniszeichenfolge enthalten. Land != USA Zeigt Ereignisse für alle Länder außer den USA an.
IN Weist einer Dimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. User-Name IN (John, Kevin) Findet alle Ereignisse, die sich auf John oder Kevin beziehen.
NOT IN Weist einer Dimension mehrere Werte zu und findet die Ereignisse, die die angegebenen Werte nicht enthalten. User-Name NOT IN (John, Kevin) Findet die Ereignisse für alle Benutzer außer John und Kevin.
IS EMPTY Überprüft auf Nullwerte oder leere Werte für eine Dimension. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-Name, Browser und Land. Er funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-Size, Download-File-Size und Client-IP. Land IS EMPTY Findet Ereignisse, bei denen der Ländername nicht verfügbar oder leer ist (nicht angegeben).
IS NOT EMPTY Überprüft auf Nicht-Nullwerte oder einen bestimmten Wert für eine Dimension. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-Name, Browser und Land. Er funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-Size, Download-File-Size und Client-IP. Land IS NOT EMPTY Findet Ereignisse, bei denen der Ländername verfügbar oder angegeben ist.
OR Sucht nach Werten, bei denen eine oder beide Bedingungen wahr sind. (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” Zeigt Session.Logon-Ereignisse für alle Benutzernamen an, die mit John beginnen oder mit Smith enden.

Hinweis

Für den Operator NOT EQUAL verwenden Sie beim Eingeben der Werte für die Dimensionen in Ihrer Bedingung die exakten Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Die Dimensionswerte sind Groß- und Kleinschreibung-sensitiv.

Ändern eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren.

  2. Wählen Sie den benutzerdefinierten Risikoindikator aus, den Sie ändern möchten.

  3. Ändern Sie auf der Seite Indikator ändern die Informationen nach Bedarf.

  4. Klicken Sie auf Änderungen speichern.

Hinweis

Wenn Sie Attribute wie Bedingung, Risikokategorie, Schweregrad und Name eines vorhandenen benutzerdefinierten Risikoindikators ändern, können Sie in der Benutzer-Timeline weiterhin die früheren Vorkommen des benutzerdefinierten Risikoindikators (mit den alten Attributen) anzeigen, die für den Benutzer ausgelöst wurden.

Beispiel: Sie haben einen benutzerdefinierten Risikoindikator mit der Bedingung Land != Indien erstellt. Dieser benutzerdefinierte Risikoindikator wird also ausgelöst, wenn sich ein Benutzer von außerhalb Indiens anmeldet. Nun ändern Sie die Bedingung des benutzerdefinierten Risikoindikators in Land != “Vereinigte Staaten”. In diesem Fall können Sie die früheren Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Land != Indien in den Benutzer-Timelines der Benutzer, die den Risikoindikator ausgelöst haben, weiterhin anzeigen.

Löschen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren.

  2. Wählen Sie den benutzerdefinierten Risikoindikator aus, den Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im Dialogfeld Ihre Anfrage zum Löschen des benutzerdefinierten Risikoindikators.

Hinweis

Wenn Sie einen benutzerdefinierten Risikoindikator löschen, können Sie in der Benutzer-Timeline weiterhin die früheren Vorkommen des benutzerdefinierten Risikoindikators anzeigen, die für den Benutzer ausgelöst wurden.

Beispiel: Sie löschen einen vorhandenen benutzerdefinierten Risikoindikator mit der Bedingung Land != Indien. In diesem Fall können Sie die früheren Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Land != Indien in den Benutzer-Timelines der Benutzer, die den Risikoindikator ausgelöst haben, weiterhin anzeigen.

Benutzerdefinierte Risikoindikatoren
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.