Citrix Analytics für Sicherheit

Benutzerdefinierte Risikoindikatoren

Die Benutzerrisikoindikatoren, die Citrix Analytics standardmäßig erkennt, basieren auf maschinellen Lernalgorithmen. Mit Citrix Analytics können Sie jetzt benutzerdefinierte Risikoindikatoren erstellen. Sie können Bedingungen basierend auf den Benutzerereignissen definieren und einen benutzerdefinierten Risikoindikator erstellen. Wenn die Ereignisse den definierten Kriterien entsprechen, löst Citrix Analytics den benutzerdefinierten Risikoindikator aus und zeigt ihn in der Risikozeitleiste des Benutzers an.

Sie können benutzerdefinierte Risikoindikatoren für die folgenden Datenquellen erstellen:

  • Citrix Zugriffssteuerung
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Seite “Benutzerdefinierte Risikoindikatoren”

Die Seite Benutzerdefinierte Risikoindikatoren bietet Einblicke in alle benutzerdefinierten Risikoindikatoren, die für einen Benutzer generiert wurden, den Schweregrad, die Datenquelle, die Anzahl der Richtlinien, die Risikokategorie, den Status sowie das Datum und die Uhrzeit der letzten Änderung des Indikators. Informationen zum Erstellen eines benutzerdefinierten Risikoindikators finden Sie unter Erstellen eines benutzerdefinierten Risikoindikators.

Benutzerdefinierte Indikatoren

Wenn Sie den Risikoindikator auswählen, werden Sie zur Seite Risikoindikator ändern weitergeleitet. Weitere Informationen finden Sie unter Ändern eines benutzerdefinierten Risikoindikators.

Analysieren eines benutzerdefinierten Risikoindikators

Betrachten Sie einen Benutzer, dessen Aktion einen benutzerdefinierten Risikoindikator ausgelöst hat, den Sie definiert haben. Citrix Analytics zeigt den benutzerdefinierten Risikoindikator auf der Risikozeitleiste des Benutzers an.

Wenn Sie den benutzerdefinierten Risikoindikator in der Risikozeitleiste des Benutzers auswählen, werden im rechten Fensterbereich die folgenden Informationen angezeigt:

  • Definierte Bedingung (en): Zeigt eine Zusammenfassung der Bedingungen an, die Sie beim Erstellen eines benutzerdefinierten Risikoindikators definieren.

  • Beschreibung: Enthält eine Zusammenfassung der Beschreibung, die Sie beim Erstellen des benutzerdefinierten Risikoindikators angeben. Wenn beim Erstellen des benutzerdefinierten Risikoindikators keine Beschreibung angegeben wird, wird in diesem Abschnitt Keine angezeigt.

  • Triggerfrequenz: Zeigt die Option an, die Sie beim Erstellen des benutzerdefinierten Risikoindikators im Abschnitt Erweiterte Optionenauswählen.

  • Ereignisdetails: Zeigt die Zeitleiste und die Details der Benutzerereignisse an, die den benutzerdefinierten Risikoindikator ausgelöst haben. Sie können auf Ereignissuche klicken, um die Benutzerereignisse auf der Self-Service-Suchseite anzuzeigen. Auf der Self-Service-Suchseite werden die mit dem Benutzer verbundenen Ereignisse und der benutzerdefinierte Risikoindikator angezeigt. Die Suchanfrage zeigt die Bedingungen an, die für den benutzerdefinierten Risikoindikator definiert sind.

Benutzerdefinierte Indikatoren

Hinweis

Benutzerdefinierte Risikoindikatoren werden mit einer Beschriftung auf der Zeitleiste des Nutzerrisikos dargestellt.

Aktionen, die Sie auf den Benutzer anwenden können

Derzeit ist die Möglichkeit, geeignete Aktionen für Benutzerkonten zu ergreifen, die benutzerdefinierte Risikoindikatoren auslösen, nicht verfügbar.

Erstellen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Registerkarte Indikatoren die Option Indikator erstellen aus.

    Benutzerdefinierte Indikatoren

  3. Wählen Sie die Datenquelle aus, für die Sie den benutzerdefinierten Risikoindikator erstellen möchten.

  4. Definieren Sie die Bedingungen für Ihren benutzerdefinierten Risikoindikator anhand der Dimensionen und des gültigen Betreiber im Bedingungsfeld. Weitere Informationen zu den Dimensionen (Facetten) für eine Datenquelle finden Sie unter Self-Service-Suche.

    Der Link Geschätzte Trigger wird im Abschnitt Erweiterte Optionen aktiviert. Klicken Sie auf den Link, um die ungefähren Instanzen des benutzerdefinierten Risikoindikators vorherzusagen, die für die definierten Bedingungen ausgelöst würden. Diese Instanzen werden basierend auf den historischen Daten berechnet, die Citrix Analytics verwaltet und die definierten Bedingungen erfüllt.

    Hinweis

    Stellen Sie sicher, dass Sie auf Geschätzte Triggerklicken, um die Anzahl der benutzerdefinierten Risikoindikatorvorkommen für die zuletzt definierte Bedingung vorherzusagen.

  5. Wählen Sie im Abschnitt Erweiterte Optionen die Häufigkeit des Ereignisses aus, um den benutzerdefinierten Risikoindikator auszulösen. Wenn Sie keine Option auswählen, berücksichtigt Citrix Analytics Jedes Mal: Generieren Sie den Risikoindikator jedes Mal, wenn das Ereignis (e) eintritt, als Standardoption und generiert den benutzerdefinierten Risikoindikator. Sie können eine der folgenden Optionen auswählen:

    • Jedes Mal: Der Risikoindikator wird ausgelöst, wenn die Ereignisse die definierten Bedingungen erfüllen.

    • Erstmalig: Der Risikoindikator wird ausgelöst, wenn die Ereignisse erstmalig die definierten Bedingungen erfüllen.

      • Zum ersten Mal für ein neues: Aktivieren Sie diese Option, um zum ersten Mal von einer neuen Entität empfangene Ereignisse zu erkennen. Einige Beispiele für die Entitäten sind Client IP, Country, City und Device-ID. Sie können nur eine Entität basierend auf der Datenquelle auswählen. Mit dieser Option können Sie einen Risikoindikator erstellen, ohne einen expliziten Wert für die Entitäten anzugeben. Wenn Sie beispielsweise die Entität als “Stadt” auswählen, müssen Sie den Namen der Stadt nicht angeben. Der Risikoindikator wird ausgelöst, wenn Ereignisse zum ersten Mal von einer neuen Stadt empfangen werden.

        Die folgende Tabelle listet die Entitäten auf, die jeder Datenquelle entsprechen, und beschreibt die Triggerbedingungen.

        Datenquelle Entität Trigger-Bedingung
        Zugangskontrolle, Content Collaboration Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse anmeldet.
          Land Wenn sich ein Benutzer zum ersten Mal von einem neuen Land aus anmeldet.
          Ort Wenn sich ein Benutzer zum ersten Mal von einer neuen Stadt aus anmeldet.
        Virtual Apps and Desktops Geräte-ID Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops von einem neuen Gerät wie einem Mobilgerät, Laptop oder Desktop-Computer startet.
          Storage-Medien Wenn ein Benutzer zum ersten Mal ein neues Speichermedium wie ein USB-Laufwerk verwendet.
          App-Name Wenn ein Benutzer zum ersten Mal eine neue virtuelle Anwendung oder eine SaaS-Anwendung öffnet.
          App-URL Wenn ein Benutzer zum ersten Mal eine neue App-URL in einem Browser auf seinem virtuellen Desktop eingibt.
          Land Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops aus einem neuen Land startet.
          Ort Wenn ein Benutzer zum ersten Mal virtuelle Apps oder virtuelle Desktops aus einer neuen Stadt startet.
        Gateway Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse anmeldet.

        Das folgende Beispiel zeigt einen benutzerdefinierten Risikoindikator, der für die Datenquelle Virtual Apps and Desktops erstellt wurde. Der Risikoindikator wird ausgelöst, wenn ein Benutzer zum ersten Mal einen virtuellen Desktop oder eine virtuelle App von einem neuen Gerät aus startet.

        Erstmalige Geräte-ID

        Sie können auch eine Bedingung zusammen mit dem ersten Mal für eine neue Option hinzufügen. In diesem Fall wird der Risikoindikator ausgelöst, wenn er die Ereignisse der neuen Entität zum ersten Mal erkennt und wenn die Ereignisse die definierte Bedingung erfüllen.

        Das folgende Beispiel zeigt eine Bedingung, die für den benutzerdefinierten Risikoindikator definiert wurde, und das erste Mal für eine neue aktivierte Geräte-ID-Option. Der Risikoindikator wird ausgelöst, wenn ein Benutzer in Indien zum ersten Mal eine virtuelle Desktopsitzung von einem neuen Gerät aus startet.

        Zum ersten Mal mit Bedingung

    • Übermäßig: Der Risikoindikator wird ausgelöst, nachdem folgende Bedingungen erfüllt sind:

      • Ereignisse erfüllen die definierten Bedingungen.

      • Ereignisse treten während des angegebenen Zeitraums für die angegebene Anzahl von Malen auf.

    • Häufig: Der Risikoindikator wird ausgelöst, nachdem folgende Bedingungen erfüllt sind:

      • Die Ereignisse erfüllen die definierten Bedingungen.

      • Die Ereignisse treten während des angegebenen Zeitraums für die angegebene Anzahl von Malen auf.

      • Das Ereignismuster wiederholt sich für die angegebene Anzahl von Malen.

  6. Wählen Sie die Risikokategorie des benutzerdefinierten Risikoindikators aus. Risikoindikatoren werden auf der Grundlage der Typrisiko-Risikoposition des benutzerdefinierten Risikoindikators gruppiert. Weitere Informationen zur Auswahl der Risikokategorie finden Sie unter Risiko-Kategorien.

  7. Wählen Sie den Schweregrad des benutzerdefinierten Risikoindikators aus.

  8. Definieren Sie den Namen des benutzerdefinierten Risikoindikators im Textfeld Indikatorname .

  9. Geben Sie im Textfeld Beschreibung eine gültige Beschreibung für den benutzerdefinierten Risikoindikator ein.

  10. Unten auf der Seite Indikator erstellen können Sie den benutzerdefinierten Risikoindikator nach Bedarf aktivieren oder deaktivieren.

  11. Klicken Sie auf Indikator erstellen.

    Benutzerdefinierte Indikatoren

Hinweis

Sie können benutzerdefinierte Risikoindikatoren bis zu einem maximalen Limit von 50 erstellen. Wenn Sie dieses Höchstlimit erreichen, müssen Sie einen vorhandenen benutzerdefinierten Risikoindikator löschen oder bearbeiten, um einen benutzerdefinierten Risikoindikator zu erstellen.

Unterstützte Operatoren zum Definieren einer Bedingung

Sie können die folgenden Operatoren verwenden, während Sie eine Bedingung definieren.

Operator Beschreibung Beispiel Ausgabe
: Weisen Sie der Suchanfrage einen Wert zu. Benutzername: John Zeigt Ereignisse für den Benutzer John an.
= Weisen Sie der Suchanfrage einen Wert zu. Benutzername = John Zeigt Ereignisse für den Benutzer John an.
~ Suche nach ähnlichen Werten. Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
”” Schließen Sie Werte getrennt durch Leerzeichen ein. Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
<, > Suchen Sie nach einem relationalen Wert. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
UND Suchwerte, bei denen beide Bedingungen zutreffen. Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse von Benutzer John an, bei denen das Datenvolumen größer als 100 GB ist.
* Sucht Werte, die dem Zeichen Null oder öfter entsprechen. Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername = *John* Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
!~ Überprüft die Benutzerereignisse auf das von Ihnen angegebene übereinstimmende Muster. Dieser NOT LIKE Operator gibt die Ereignisse zurück, die das übereinstimmende Muster nirgendwo in der Ereigniszeichenfolge enthalten. Benutzername! ~ John Zeigt Ereignisse für die Benutzer an, außer John, John Smith oder solche Benutzer, die den übereinstimmenden Namen “John” enthalten.
!= Überprüft die Benutzerereignisse auf die genaue Zeichenfolge, die Sie angeben. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die genaue Zeichenfolge nicht irgendwo in der Ereigniszeichenfolge enthalten. Country != USA Zeigt Ereignisse für Länder mit Ausnahme der USA an.
IN Weisen Sie einer Dimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. Benutzername IN (John, Kevin) Finde alle Veranstaltungen im Zusammenhang mit John oder Kevin.
NOT IN Weisen Sie einer Dimension mehrere Werte zu und suchen Sie die Ereignisse, die die angegebenen Werte nicht enthalten. Benutzername NICHT IN (John, Kevin) Finde die Events für alle Benutzer außer John und Kevin.

Der Operator NOT EQUAL (!=) ist für folgende Dimensionen gültig:

Datenquelle Dimensionen
Zugriffssteuerung Land, Stadt, Aktion, URL, URL-Kategorie, Reputation, Browser, Betriebssystem, Gerät
Content Collaboration Land, Stadt, Client OS
Gateway Phase der Authentifizierung, Client-IP
Virtual Apps and Desktops Land, Stadt, App-Name, Zwischenablage-Betrieb, Browser, OS

Hinweis

Verwenden Sie für den Operator NOT EQUAL bei der Eingabe der Werte für die Dimensionen in Ihrem Zustand die genauen Werte, die auf der Self-Service-Suche Seite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird zwischen Groß- und Kleinschreibung

Ändern eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Registerkarte Indikatoren den zu ändernden benutzerdefinierten Risikoindikator aus.

  3. Ändern Sie auf der Seite Indikator ändern die Informationen nach Bedarf.

  4. Klicken Sie auf Änderungen speichern.

Löschen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Aktivieren Sie auf der Registerkarte Indikatoren das Kontrollkästchen des benutzerdefinierten Risikoindikators.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im Dialogfeld Ihre Anforderung, den benutzerdefinierten Risikoindikator zu löschen.

Beispiele für benutzerdefinierte Risikoindikator

Die folgenden Beispiele veranschaulichen, wie benutzerdefinierte Risikoindikatoren für die Citrix Gateway Datenquelle erstellt werden. Weitere Informationen zu den Dimensionen (Facetten) und Operatoren, die für die Gateway-Datenquelle verfügbar sind, finden Sie unter Self-Service-Suche nach Gateway.

Benutzerdefinierte Gateway-Risikoindikatoren

  • Benutzerdefinierter Risikoindikator für ungültige Anmeldeinformationen: Sie können den benutzerdefinierten Risikoindikator erstellen, indem Sie die folgenden Bedingungen definieren:

    • Ereignis: Benutzer geben ungültige oder falsche Anmeldeinformationen ein.

    • Ereignisfrequenz: Die Ereignisse treten dreimal täglich auf.

    Ungültige Anmeldeinformationen definierte Bedingungen

    Wenn die angegebenen Bedingungen erfüllt sind, löst Analytics den benutzerdefinierten Risikoindikator aus, und Sie können den Risikoindikator in der Risikozeitleiste des Benutzers anzeigen.

    Benutzerdefinierter Risikoindikator für ungültige Anmeldeinformationen

    Klicken Sie im benutzerdefinierten Risikoindikator auf Ereignissuche, um die Ereignisdetails auf der Self-Service-Suchseite anzuzeigen.

    Ungültige Suche nach Anmeldeinformationen

  • Benutzerdefinierter Risikoindikator für Gateway-Benutzer nicht gefunden: Sie können den benutzerdefinierten Risikoindikator erstellen, indem Sie die folgenden Bedingungen definieren:

    • Ereignis: Ein Benutzer versucht, sich mit einem nicht registrierten Benutzernamen bei Citrix Gateway anzumelden.

    • Ereignisfrequenz: Die Ereignisse treten dreimal täglich auf und dieses Muster wiederholt sich mindestens zweimal.

    Nicht registrierte Anmeldeinformationen definierte Bedingungen

    Wenn die angegebenen Bedingungen erfüllt sind, löst Analytics den benutzerdefinierten Risikoindikator aus, und Sie können den Risikoindikator in der Risikozeitleiste des Benutzers anzeigen.

    Benutzerdefinierter Risikoindikator für nicht registrierte Anmeldeinformationen

    Klicken Sie im benutzerdefinierten Risikoindikator auf Ereignissuche, um die Ereignisdetails auf der Self-Service-Suchseite anzuzeigen.

    Suche nach nicht registrierten Anmeldeinformationen

Vorkonfigurierte individuelle Risikoindikatoren

Citrix bietet eine Liste vorkonfigurierter benutzerdefinierter Risikoindikatoren, mit denen Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren werden gemäß spezifischen Sicherheitsrisikoszenarien wie gefährdeten Benutzern, Insider-Bedrohungen und Datenexfiltration definiert. Weitere Informationen finden Sie unter Vorkonfigurierte individuelle Risikoindikatoren.