Citrix Analytics für Sicherheit

Benutzerdefinierte Risikoindikatoren

Die Benutzerrisikoindikatoren, die Citrix Analytics standardmäßig erkennt, basieren auf Algorithmen für maschinelles Lernen. Mit Citrix Analytics können Sie jetzt benutzerdefinierte Risikoindikatoren erstellen. Sie können Bedingungen basierend auf den Benutzerereignissen definieren und einen benutzerdefinierten Risikoindikator erstellen. Wenn die Ereignisse den definierten Kriterien entsprechen, löst Citrix Analytics den benutzerdefinierten Risikoindikator aus und zeigt ihn in der Risikozeitleiste des Benutzers an.

Sie können benutzerdefinierte Risikoindikatoren für die folgenden Datenquellen erstellen:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Seite Benutzerdefinierte Risikoindikatoren

Die Seite Benutzerdefinierte Risikoindikatoren bietet Einblicke in alle benutzerdefinierten Risikoindikatoren, die für einen Benutzer generiert wurden, den Schweregrad, die Datenquelle, die Anzahl der Richtlinien, die Risikokategorie, den Status sowie das Datum und die Uhrzeit der letzten Änderung des Indikators. Um einen benutzerdefinierten Risikoindikator zu erstellen, siehe Erstellen eines benutzerdefinierten Risikoindikators.

Benutzerdefinierte Indikatoren

Wenn Sie den Risikoindikator auswählen, werden Sie zur Seite Risikoindikator ändern weitergeleitet. Weitere Informationen finden Sie unter Ändern eines benutzerdefinierten Risikoindikators.

Analyse eines benutzerdefinierten Risikoindikators

Betrachten Sie einen Benutzer, dessen Aktion einen von Ihnen definierten benutzerdefinierten Risikoindikator ausgelöst hat. Citrix Analytics zeigt den benutzerdefinierten Risikoindikator auf der Risikozeitleiste des Benutzers an.

Wenn Sie den benutzerdefinierten Risikoindikator auf der Risikozeitleiste des Benutzers auswählen, werden im rechten Bereich die folgenden Informationen angezeigt:

  • Definierte Bedingung (en): Zeigt eine Zusammenfassung der Bedingungen an, die Sie beim Erstellen eines benutzerdefinierten Risikoindikators definieren.

  • Beschreibung: Bietet eine Zusammenfassung der Beschreibung, die Sie beim Erstellen des benutzerdefinierten Risikoindikators angeben. Wenn beim Erstellen des benutzerdefinierten Risikoindikators keine Beschreibung angegeben wird, spiegelt dieser Abschnitt Keinewider.

  • Triggerfrequenz: Zeigt die Option an, die Sie beim Erstellen des benutzerdefinierten Risikoindikators im Abschnitt Erweiterte Optionenauswählen.

  • Ereignisdetails: Zeigt die Zeitleiste und die Details der Benutzerereignisse an, die den benutzerdefinierten Risikoindikator ausgelöst haben. Sie können auf Ereignissuche klicken, um die Benutzerereignisse auf der Self-Service-Suchseite anzuzeigen. Auf der Self-Service-Suchseite werden die mit dem Benutzer verbundenen Ereignisse und der benutzerdefinierte Risikoindikator angezeigt. Die Suchanfrage zeigt die Bedingungen an, die für den benutzerdefinierten Risikoindikator definiert sind.

Benutzerdefinierte Indikatoren

Hinweis

Benutzerdefinierte Risikoindikatoren werden mit einem Etikett auf der Zeitleiste des Benutzerrisikos dargestellt.

Aktionen, die Sie auf den Benutzer anwenden können

Derzeit ist die Möglichkeit, geeignete Maßnahmen für Benutzerkonten zu ergreifen, die benutzerdefinierte Risikoindikatoren auslösen, nicht verfügbar.

Erstellen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Registerkarte Indikatoren die Option Indikator erstellenaus.

    Benutzerdefinierte Indikatoren

  3. Wählen Sie die Datenquelle aus, für die Sie den benutzerdefinierten Risikoindikator erstellen möchten.

  4. Definieren Sie die Bedingungen für Ihren benutzerdefinierten Risikoindikator mithilfe der Dimensionen und der gültigen Operatoren im Bedingungsfeld. Weitere Informationen zu den Dimensionen (Facetten) für eine Datenquelle finden Sie unter Self-Service-Suche.

    Der Link Geschätzte Trigger wird im Abschnitt Erweiterte Optionen aktiviert. Klicken Sie auf den Link, um die ungefähren Instanzen des benutzerdefinierten Risikoindikators vorherzusagen, die für die definierten Bedingungen ausgelöst würden. Diese Instanzen werden basierend auf den historischen Daten berechnet, die Citrix Analytics verwaltet und Ihre definierten Bedingungen erfüllt.

    Hinweis

    Stellen Sie sicher, dass Sie auf Geschätzte Auslöser klicken, um die Anzahl der benutzerdefinierten Risikoindikatoren für die zuletzt definierte Bedingung vorherzusagen.

  5. Wählen Sie im Abschnitt Erweiterte Optionen die Häufigkeit des Ereignisses aus, um den benutzerdefinierten Risikoindikator auszulösen. Wenn Sie keine Option auswählen, berücksichtigt Citrix Analytics Jedes Mal: Generieren Sie den Risikoindikator jedes Mal, wenn die Ereignisse auftreten, als Standardoption und generiert den benutzerdefinierten Risikoindikator. Sie können eine der folgenden Optionen auswählen:

    • Jedes Mal: Der Risikoindikator wird immer dann ausgelöst, wenn die Ereignisse die definierten Bedingungen erfüllen.

    • Erstes Mal: Der Risikoindikator wird ausgelöst, wenn die Ereignisse zum ersten Mal die definierten Bedingungen erfüllen.

      • Erstes Mal für eine neue: Aktivieren Sie diese Option, um Ereignisse zu erkennen, die zum ersten Mal von einer neuen Entität empfangen wurden. Einige Beispiele für die Entitäten sind Client-IP, Land, Stadt und Geräte-ID. Sie können nur eine Entität basierend auf der Datenquelle auswählen. Mit dieser Option können Sie einen Risikoindikator erstellen, ohne einen expliziten Wert für die Entitäten anzugeben. Wenn Sie beispielsweise die Entität als “Stadt” auswählen, müssen Sie den Namen der Stadt nicht angeben. Der Risikoindikator wird ausgelöst, wenn Ereignisse zum ersten Mal aus einer neuen Stadt eingehen.

        Die folgende Tabelle listet die Entitäten auf, die jeder Datenquelle entsprechen, und beschreibt die Triggerbedingungen.

        Datenquelle Entität Trigger Zustand
        Access Control, Content Collaboration Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse aus anmeldet.
          Land Wenn sich ein Benutzer zum ersten Mal aus einem neuen Land anmeldet.
          Ort Wenn sich ein Benutzer zum ersten Mal von einer neuen Stadt aus anmeldet.
        Virtual Apps and Desktops Geräte-ID Wenn ein Benutzer virtuelle Apps oder virtuelle Desktops zum ersten Mal von einem neuen Gerät wie einem Mobiltelefon, einem Laptop oder einem Desktop-Computer aus startet.
          Speicher-Medien Wenn ein Benutzer zum ersten Mal ein neues Speichermedium wie ein USB-Laufwerk verwendet.
          App-Name Wenn ein Benutzer zum ersten Mal eine neue virtuelle Anwendung oder eine SaaS-Anwendung öffnet.
          App-URL Wenn ein Benutzer zum ersten Mal eine neue App-URL in einem Browser in seinem virtuellen Desktop eingibt.
          Land Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops aus einem neuen Land startet.
          Ort Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops von einer neuen Stadt aus startet.
        Gateway Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse aus anmeldet.

        Das folgende Beispiel zeigt einen benutzerdefinierten Risikoindikator, der für die Datenquelle Virtual Apps and Desktops erstellt wurde. Der Risikoindikator wird ausgelöst, wenn ein Benutzer zum ersten Mal einen virtuellen Desktop oder eine virtuelle App von einem neuen Gerät aus startet.

        Geräte-ID zum ersten Mal

        Sie können auch eine Bedingung zusammen mit dem Ersten Mal für eine neue Option hinzufügen. In diesem Fall wird der Risikoindikator ausgelöst, wenn er die Ereignisse der neuen Entität zum ersten Mal erkennt und wenn die Ereignisse die definierte Bedingung erfüllen.

        Das folgende Beispiel zeigt eine Bedingung, die für den benutzerdefinierten Risikoindikator und die Option Erstes Mal für eine neue Device-ID definiert wurde. Der Risikoindikator wird ausgelöst, wenn ein in Indien ansässiger Benutzer zum ersten Mal eine virtuelle Desktop-Sitzung von einem neuen Gerät aus startet.

        Zum ersten Mal mit Bedingung

    • Übermäßig: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

      • Ereignisse erfüllen die definierten Bedingungen.

      • Ereignisse treten während des angegebenen Zeitraums für die angegebene Anzahl von Malen auf.

    • Häufig: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

      • Die Ereignisse erfüllen die definierten Bedingungen.

      • Die Ereignisse treten während des angegebenen Zeitraums für die angegebene Anzahl von Malen auf.

      • Das Ereignismuster wiederholt sich für die angegebene Anzahl von Malen.

  6. Wählen Sie die Risikokategorie des benutzerdefinierten Risikoindikators aus. Risikoindikatoren werden basierend auf dem Typ-Risikoexponierung des benutzerdefinierten Risikoindikators gruppiert. Unterstützung bei der Auswahl der Risikokategorie finden Sie unter Risikokategorien.

  7. Wählen Sie den Schweregrad des benutzerdefinierten Risikoindikators aus.

  8. Definieren Sie den Namen des benutzerdefinierten Risikoindikators im Textfeld Indikatorname .

  9. Geben Sie im Textfeld Beschreibung eine gültige Beschreibung für den benutzerdefinierten Risikoindikator ein.

  10. Unten auf der Seite “Indikator erstellen “ können Sie den benutzerdefinierten Risikoindikator nach Bedarf aktivieren oder deaktivieren.

  11. Klicken Sie auf Indikator erstellen.

    Benutzerdefinierte Indikatoren

Hinweise

  • Sie können benutzerdefinierte Risikoindikatoren bis zu einer Höchstgrenze von 50 erstellen. Wenn Sie diese Höchstgrenze erreichen, müssen Sie alle vorhandenen benutzerdefinierten Risikoindikatoren löschen oder bearbeiten, um einen benutzerdefinierten Risikoindikator zu erstellen.

  • Wenn ein benutzerdefinierter Risikoindikator ausgelöst wird, wird er sofort in der Benutzerzeitleiste angezeigt. Die Risikoübersicht und die Risikobewertung des Benutzers werden jedoch nach einigen Minuten (ca. 15-20 Minuten) aktualisiert.

Unterstützte Operatoren für die Definition einer Bedingung

Sie können die folgenden Operatoren verwenden, während Sie eine Bedingung definieren.

Betreiber Beschreibung Beispiel Ausgabe
: Weisen Sie der Suchanfrage einen Wert zu. Benutzername: John Zeigt Ereignisse für den Benutzer John an.
= Weisen Sie der Suchanfrage einen Wert zu. Benutzername = John Zeigt Ereignisse für den Benutzer John an.
~ Suche nach ähnlichen Werten. Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
”” Schließen Sie Werte getrennt durch Leerzeichen ein. Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
<, > Suchen Sie nach einem relationalen Wert. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
UND Suchwerte, bei denen beide Bedingungen zutreffen. Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse von Benutzer John an, bei denen das Datenvolumen größer als 100 GB ist.
* Sucht Werte, die dem Zeichen Null oder öfter entsprechen. Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername = *John* Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
!~ Überprüft die Benutzerereignisse auf das von Ihnen angegebene übereinstimmende Muster. Dieser NOT LIKE Operator gibt die Ereignisse zurück, die das übereinstimmende Muster nirgendwo in der Ereigniszeichenfolge enthalten. Benutzername! ~ John Zeigt Ereignisse für die Benutzer an, außer John, John Smith oder solche Benutzer, die den übereinstimmenden Namen “John” enthalten.
!= Überprüft die Benutzerereignisse auf die genaue Zeichenfolge, die Sie angeben. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die genaue Zeichenfolge nicht irgendwo in der Ereigniszeichenfolge enthalten. Country != USA Zeigt Ereignisse für Länder mit Ausnahme der USA an.
IN Weisen Sie einer Dimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. Benutzername IN (John, Kevin) Finden aller Ereignisse im Zusammenhang mit John oder Kevin.
NOT IN Weisen Sie einer Dimension mehrere Werte zu und suchen Sie die Ereignisse, die die angegebenen Werte nicht enthalten. Benutzername NICHT IN (John, Kevin) Finde die Events für alle Benutzer außer John und Kevin.
IST LEER Sucht nach Nullwert oder leerem Wert für eine Dimension. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST LEER Finden Sie Ereignisse, bei denen der Ländername nicht verfügbar oder leer ist (nicht angegeben).
IST NICHT LEER Überprüft, ob kein Nullwert oder ein bestimmter Wert für eine Dimension vorhanden ist. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST NICHT LEER Finden von Ereignissen, bei denen der Ländername verfügbar oder angegeben ist.

Hinweis

Verwenden Sie für den Operator NOT EQUAL, während Sie die Werte für die Dimensionen in Ihrem Zustand eingeben, die genauen Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird die Groß-/Kleinschreibung

Ändern eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Registerkarte Indikatoren den zu ändernden benutzerdefinierten Risikoindikator aus.

  3. Ändern Sie auf der Seite Indikator ändern die Informationen nach Bedarf.

  4. Klicken Sie auf Änderungen speichern.

Hinweis

Wenn Sie die Attribute wie Zustand, Risikokategorie, Schweregrad und Name eines vorhandenen benutzerdefinierten Risikoindikators auf der Benutzerzeitleiste ändern, können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators (mit den alten Attributen) anzeigen, die für den Benutzer ausgelöst wurden.

Beispielsweise haben Sie einen benutzerdefinierten Risikoindikator mit der Bedingung Country != India. Dieser benutzerdefinierte Risikoindikator wird also ausgelöst, wenn sich ein Benutzer von außerhalb des Landes Indien anmeldet. Jetzt ändern Sie den Zustand des benutzerdefinierten Risikoindikators in Country != “United States”. In diesem Fall können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Country != India über die Benutzerzeitpläne, die den Risikoindikator ausgelöst haben.

Löschen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Aktivieren Sie auf der Registerkarte Indikatoren das Kontrollkästchen des benutzerdefinierten Risikoindikators.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im Dialog Ihre Anfrage, den benutzerdefinierten Risikoindikator zu löschen.

Hinweis

Wenn Sie einen benutzerdefinierten Risikoindikator löschen, können Sie auf der Benutzerzeitleiste weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators anzeigen, die für den Benutzer ausgelöst wurden.

Beispielsweise löschen Sie einen vorhandenen benutzerdefinierten Risikoindikator mit der Bedingung Land! = Indien. In diesem Fall können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Country != India über die Benutzerzeitpläne, die den Risikoindikator ausgelöst haben.

Benutzerdefinierte Beispiele für Risikoindikatoren

Die folgenden Beispiele veranschaulichen, wie benutzerdefinierte Risikoindikatoren für die Citrix Gateway-Datenquelle erstellt werden. Informationen zu den Dimensionen (Facetten) und Operatoren, die für die Gateway-Datenquelle verfügbar sind, finden Sie unter Self-Service-Suche nach Gateway.

Benutzerdefinierte Gateway Risikoindikatoren

  • Ungültiger Risikoindikator für Anmeldeinformationen: Sie können den benutzerdefinierten Risikoindikator erstellen, indem Sie die folgenden Bedingungen definieren:

    • Ereignis: Benutzer geben ungültige oder falsche Anmeldeinformationen ein.

    • Ereignisfrequenz: Die Ereignisse finden dreimal täglich statt.

    Ungültige Anmeldeinformationen definierte Bedingungen

    Wenn die angegebenen Bedingungen erfüllt sind, löst Analytics den benutzerdefinierten Risikoindikator aus und Sie können den Risikoindikator auf der Risikozeitleiste des Benutzers anzeigen.

    Ungültiger individueller Risikoindikator

    Klicken Sie im benutzerdefinierten Risikoindikator auf Ereignissuche, um die Ereignisdetails auf der Self-Service-Suchseite anzuzeigen.

    Ungültige Suche nach Anmelde

  • Gateway-Benutzer hat keinen benutzerdefinierten Risikoindikator gefunden: Sie können den benutzerdefinierten Risikoindikator erstellen, indem Sie die folgenden Bedingungen definieren:

    • Ereignis: Ein Benutzer versucht, sich mit einem nicht registrierten Benutzernamen bei Citrix Gateway anzumelden.

    • Ereignisfrequenz: Die Ereignisse treten dreimal täglich auf und dieses Muster wiederholt sich mindestens zweimal.

    Nicht registrierte Anmeldeinformationen definierte Bedingungen

    Wenn die angegebenen Bedingungen erfüllt sind, löst Analytics den benutzerdefinierten Risikoindikator aus und Sie können den Risikoindikator auf der Risikozeitleiste des Benutzers anzeigen.

    Benutzerdefinierter Risikoindikator für nicht registrierte

    Klicken Sie im benutzerdefinierten Risikoindikator auf Ereignissuche, um die Ereignisdetails auf der Self-Service-Suchseite anzuzeigen.

    Suche nach nicht registrierten Anmeldeinformationen

Vorkonfigurierte individuelle Risikoindikatoren

Citrix bietet eine Liste vorkonfigurierter benutzerdefinierter Risikoindikatoren, mit denen Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren werden gemäß bestimmten Sicherheitsrisikoszenarien wie kompromittierten Benutzern, Insider-Bedrohungen und Datenexfiltration definiert. Weitere Informationen finden Sie unter Vorkonfigurierte benutzerdefinierte Risikoindikatoren.