Citrix Analytics für Sicherheit

Benutzerdefinierte Risikoindikatoren

Es gibt zwei Arten von Risikoindikatoren, die Sie in Citrix Analytics for Security sehen:

  • Ausfallrisikoindikatoren: Diese Risikoindikatoren basieren auf dem Algorithmus für maschinelles Lernen. Weitere Informationen finden Sie unter Citrix Benutzerrisikoindikatoren.

  • Benutzerdefinierte Risikoindikatoren: Diese Risikoindikatoren werden von den Administratoren manuell erstellt.

Wenn Sie einen benutzerdefinierten Risikoindikator erstellen, können Sie die Auslösebedingungen und die Parameter basierend auf Ihren Anwendungsfällen definieren. Wenn die Benutzerereignisse Ihren definierten Kriterien entsprechen, löst Citrix Analytics den benutzerdefinierten Risikoindikator aus und zeigt ihn auf der Risikozeitleiste des Benutzers an.

Erstellen Sie benutzerdefinierte Risikoindikatoren für die folgenden Datenquellen:

  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops on-premises
  • Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)
  • Citrix Secure Browser

Vorkonfigurierte individuelle Risikoindikatoren

Citrix bietet auch einige benutzerdefinierte Risikoindikatoren mit vorkonfigurierten Bedingungen, mit denen Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Sie können die vorkonfigurierten Bedingungen basierend auf Ihren Anwendungsfällen ändern. Weitere Informationen finden Sie unter Vorkonfigurierte benutzerdefinierte Risikoindikatoren.

Seite Benutzerdefinierte Risikoindikatoren

Die Seite Benutzerdefinierte Risikoindikatoren bietet Einblicke in alle benutzerdefinierten Risikoindikatoren, die für einen Benutzer generiert wurden, den Schweregrad, die Datenquelle, die Anzahl der Richtlinien, die Risikokategorie, den Status sowie das Datum und die Uhrzeit der letzten Änderung des Indikators. Um einen benutzerdefinierten Risikoindikator zu erstellen, siehe Erstellen eines benutzerdefinierten Risikoindikators.

Benutzerdefinierte Indikatoren

Wenn Sie den Risikoindikator auswählen, werden Sie zur Seite Risikoindikator ändern weitergeleitet. Weitere Informationen finden Sie unter Ändern eines benutzerdefinierten Risikoindikators.

Analyse eines benutzerdefinierten Risikoindikators

Betrachten Sie einen Benutzer, dessen Aktion einen von Ihnen definierten benutzerdefinierten Risikoindikator ausgelöst hat. Citrix Analytics zeigt den benutzerdefinierten Risikoindikator auf der Risikozeitleiste des Benutzers an.

Wenn Sie den benutzerdefinierten Risikoindikator auf der Risikozeitleiste des Benutzers auswählen, werden im rechten Bereich die folgenden Informationen angezeigt:

  • Definierte Bedingung (en): Zeigt eine Zusammenfassung der Bedingungen an, die Sie beim Erstellen eines benutzerdefinierten Risikoindikators definieren.

  • Beschreibung: Bietet eine Zusammenfassung der Beschreibung, die Sie beim Erstellen des benutzerdefinierten Risikoindikators angeben. Wenn beim Erstellen des benutzerdefinierten Risikoindikators keine Beschreibung angegeben wird, spiegelt dieser Abschnitt Keinewider.

  • Triggerfrequenz: Zeigt die Option an, die Sie beim Erstellen des benutzerdefinierten Risikoindikators im Abschnitt Erweiterte Optionenauswählen.

  • Ereignisdetails: Zeigt die Zeitleiste und die Details der Benutzerereignisse an, die den benutzerdefinierten Risikoindikator ausgelöst haben. Sie können auf Ereignissuche klicken, um die Benutzerereignisse auf der Self-Service-Suchseite anzuzeigen. Auf der Self-Service-Suchseite werden die mit dem Benutzer verbundenen Ereignisse und der benutzerdefinierte Risikoindikator angezeigt. Die Suchanfrage zeigt die Bedingungen an, die für den benutzerdefinierten Risikoindikator definiert sind.

Benutzerdefinierte Indikatoren

Hinweis

Benutzerdefinierte Risikoindikatoren werden mit einem Etikett auf der Zeitleiste des Benutzerrisikos dargestellt.

Aktionen, die Sie auf den Benutzer anwenden können

Wenn ein benutzerdefinierter Risikoindikator für einen Benutzer ausgelöst wird, können Sie eine Aktion manuell anwenden oder eine Richtlinie erstellen, um eine Aktion automatisch anzuwenden. Weitere Informationen finden Sie unter Richtlinien und Aktionen.

Benutzerdefinierte Vorlagen für Risikoindikatoren

Sie können einen benutzerdefinierten Risikoindikator erstellen, indem Sie eine der vordefinierten Vorlagen verwenden, oder ohne Vorlage fortfahren.

Die Vorlagen dienen als Ausgangspunkt für die Erstellung eines benutzerdefinierten Risikoindikators. Es hilft Ihnen, einen benutzerdefinierten Risikoindikator zu erstellen, indem vordefinierte Abfragen und Parameter bereitgestellt werden, die Sie basierend auf Ihren Anwendungsfällen auswählen können.

Sie können eine Vorlage unverändert verwenden oder sie an Ihre Anforderungen anpassen. Mithilfe der Vorlagen können Administratoren ohne zusätzliche Schulung Risikoindikatoren für Interesse erstellen.

Eine Vorlage besteht aus den folgenden Informationen:

  • Beschreibung: Zeigt den Zweck der in der Vorlage definierten Abfrage an.

  • Datenquelle: Gibt die Datenquelle an, für die die Vorlage gilt.

  • Risikokategorie: Zeigt die Risikokategorie an, die mit den von der Abfrage durchsuchten Ereignissen verknüpft Es gibt vier Kategorien von riskanten Ereignissen: Datenexfiltration, Insider-Bedrohungen, kompromittierte Benutzer und Endpunkte für kompromittierte Daten. Weitere Informationen finden Sie unter Risikokategorien.

  • Frequenz: Gibt die Häufigkeit an, mit der die Abfrage ausgelöst wird.

  • Schweregrad: Zeigt den Schweregrad des mit dem Ereignis verbundenen Risikos an. Das Risiko kann hoch, mittel oder niedrig sein.

  • Erstellt von: Zeigt den Ersteller der Vorlage an. Die Vorlagen sind immer vom System definiert.

  • Abfrage: Zeigt die in der Vorlage definierten Bedingungen an. Die Abfrage ruft die Benutzerereignisse ab, die die Bedingungen erfüllen.

Das folgende Bild zeigt die Vorlage für die Verwendung von Anwendungsfall-Zwischenablage in SaaS-Apps.

Vorlage zur Verwendung der Zwischenablage

Wenn Sie keine Vorlage für Ihren Anwendungsfall finden oder eine eigene Abfrage definieren möchten, können Sie ohne Vorlage fortfahren.

Erstellen eines benutzerdefinierten Risikoindikators

So erstellen Sie einen benutzerdefinierten Risikoindikator:

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren > Indikator erstellen.

    Benutzerdefinierten Risikoindikator

  2. Wählen Sie eine Vorlage aus, um den Anwendungsfall anzuzeigen. Wenn es Ihre Anforderung erfüllt, wählen Sie Vorlage auf Indikator anwendenaus.

    Hinweis

    Sie können auch die vordefinierten Bedingungen und die Parameter einer Vorlage ändern.

    Vorlage wählen

  3. Wenn Sie keine gewünschte Vorlage finden oder eine eigene Bedingung erstellen möchten, wählen Sie Ohne Vorlage fortfahren.

    Ohne Vorlage wählen

  4. Befolgen Sie die Anweisungen auf dem Bildschirm, um einen Indikator zu erstellen.

Hinweise

  • Sie können benutzerdefinierte Risikoindikatoren bis zu einer Höchstgrenze von 50 erstellen. Wenn Sie diese Höchstgrenze erreichen, müssen Sie alle vorhandenen benutzerdefinierten Risikoindikatoren löschen oder bearbeiten, um einen benutzerdefinierten Risikoindikator zu erstellen.

  • Wenn ein benutzerdefinierter Risikoindikator ausgelöst wird, wird er sofort in der Benutzerzeitleiste angezeigt. Die Risikoübersicht und die Risikobewertung des Benutzers werden jedoch nach einigen Minuten (ca. 15-20 Minuten) aktualisiert.

Definieren einer Bedingung für einen benutzerdefinierten Risikoindikator

Verwenden Sie das Abfragefeld, um Ihre Bedingungen für den benutzerdefinierten Risikoindikator zu definieren. Abhängig von der ausgewählten Datenquelle erhalten Sie die entsprechenden Dimensionen und die gültigen Operatoren zum Definieren Ihrer Bedingungen.

Wenn Sie bestimmte Dimensionen wie Event-Type und Clipboard-Operation zusammen mit einem gültigen Operator auswählen, werden die Werte der Dimension automatisch angezeigt. Sie können einen Wert aus den vorgeschlagenen Optionen auswählen oder je nach Ihren Anforderungen einen neuen Wert eingeben.

Die folgende Abbildung zeigt die vorgeschlagenen Werte der Bemaßung Event-Type.

Beispiel für eine Abfrage

Wenn Sie eine Vorlage verwenden, ist die Bedingung vordefiniert. Sie können die vordefinierte Bedingung jedoch basierend auf Ihrem Anwendungsfall anhängen oder ändern.

Unterhalb des Abfragefeldes sehen Sie den Link Geschätzte Auslöser . Klicken Sie auf den Link, um die ungefähren Instanzen des benutzerdefinierten Risikoindikators vorherzusagen, die für die definierten Bedingungen ausgelöst würden. Diese Instanzen werden basierend auf den historischen Daten berechnet, die Citrix Analytics verwaltet und die definierten Bedingungen erfüllt.

Stellen Sie sicher, dass Sie auf Geschätzte Auslöser klicken, um die Anzahl der benutzerdefinierten Risikoindikatoren für die zuletzt definierte Bedingung vorherzusagen.

Verwenden der erweiterten Optionen

Wählen Sie im Abschnitt Erweiterte Optionen die Häufigkeit des Ereignisses aus, um den benutzerdefinierten Risikoindikator auszulösen. Wenn Sie keine Option auswählen, berücksichtigt Citrix Analytics Jedes Mal: Generieren Sie den Risikoindikator jedes Mal, wenn die Ereignisse auftreten, als Standardoption und generiert den benutzerdefinierten Risikoindikator. Sie können eine der folgenden Optionen auswählen:

  • Jedes Mal: Der Risikoindikator wird immer dann ausgelöst, wenn die Ereignisse die definierten Bedingungen erfüllen.

  • Erstes Mal: Der Risikoindikator wird ausgelöst, wenn die Ereignisse zum ersten Mal die definierten Bedingungen erfüllen.

    • Erstes Mal für eine neue: Aktivieren Sie diese Option, um Ereignisse zu erkennen, die zum ersten Mal von einer neuen Entität empfangen wurden. Einige Beispiele für die Entitäten sind Client-IP, Land, Stadt und Geräte-ID. Sie können nur eine Entität basierend auf der Datenquelle auswählen. Mit dieser Option können Sie einen Risikoindikator erstellen, ohne einen expliziten Wert für die Entitäten anzugeben. Wenn Sie beispielsweise die Entität als “Stadt” auswählen, müssen Sie den Namen der Stadt nicht angeben. Der Risikoindikator wird ausgelöst, wenn Ereignisse zum ersten Mal aus einer neuen Stadt eingehen.

      Die folgende Tabelle listet die Entitäten auf, die jeder Datenquelle entsprechen, und beschreibt die Triggerbedingungen.

      Datenquelle Entität Trigger Zustand
      Secure Private Access Ort Wenn sich ein Benutzer zum ersten Mal von einer neuen Stadt aus anmeldet.
        Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse aus anmeldet.
        Land Wenn sich ein Benutzer zum ersten Mal aus einem neuen Land anmeldet.
      Apps und Desktops App-Name Wenn ein Benutzer zum ersten Mal eine neue virtuelle Anwendung oder eine SaaS-Anwendung öffnet.
        App-URL Wenn ein Benutzer zum ersten Mal eine neue App-URL in einem Browser in seinem virtuellen Desktop eingibt.
        Ort Wenn ein Benutzer zum ersten Mal Apps oder Desktops aus einer neuen Stadt startet.
        Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse aus anmeldet.
        Land Wenn ein Benutzer zum ersten Mal Apps oder Desktops aus einem neuen Land startet.
        Geräte-ID Wenn ein Benutzer virtuelle Apps oder virtuelle Desktops zum ersten Mal von einem neuen Gerät wie einem Handy, Laptop oder Desktop-Computer aus startet.
        Download-Gerätetyp Wenn ein Benutzer zum ersten Mal ein neues Speichermedium wie ein USB-Laufwerk verwendet.
        Druck-Dateiformat Format der gedruckten Datei.
        Druck-Datei-Größe Größe der gedruckten Datei in Byte.
        Druck-Dateiname Name der gedruckten Datei.
        Drucker-Name Name des verwendeten Druckers.
        Total-Copies-Printed Gesamtzahl der vom Benutzer gedruckten Exemplare.
        Total-Pages-Printed Gesamtzahl der vom Benutzer gedruckten Dokumentseiten.
      Gateway Client-IP Wenn sich ein Benutzer zum ersten Mal von einer neuen IP-Adresse aus anmeldet.
      Secure Browser Benutzername Der Name des Benutzers, der das Ereignis initiiert hat.
        Access-Allowed Ob dem Benutzer der Zugriff auf den Hostdienst gewährt oder verweigert wird.
        Client-IP Die IP-Adresse des Benutzergeräts.
        Host-Name-Accessed Der Host-Service, auf den der Benutzer über das Netzwerk zugegriffen hat.
        Session-ID Die eindeutige Nummer, die der Benutzersitzung zugewiesen wurde.

      Das folgende Beispiel zeigt einen benutzerdefinierten Risikoindikator, der für die Datenquelle Apps und Desktops erstellt wurde. Der Risikoindikator wird ausgelöst, wenn ein Benutzer zum ersten Mal einen virtuellen Desktop oder eine virtuelle App von einem neuen Gerät aus startet.

      Geräte-ID zum ersten Mal

      Sie können auch eine Bedingung zusammen mit dem Ersten Mal für eine neue Option hinzufügen. In diesem Fall wird der Risikoindikator ausgelöst, wenn er die Ereignisse der neuen Entität zum ersten Mal erkennt und wenn die Ereignisse die definierte Bedingung erfüllen.

      Das folgende Beispiel zeigt eine Bedingung, die für den benutzerdefinierten Risikoindikator und die Option Erstes Mal für eine neue Device-ID definiert wurde. Der Risikoindikator wird ausgelöst, wenn ein in Indien ansässiger Benutzer zum ersten Mal eine virtuelle Desktop-Sitzung von einem neuen Gerät aus startet.

      Zum ersten Mal mit Bedingung

  • Übermäßig: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

    • Ereignisse erfüllen die definierten Bedingungen.

    • Ereignisse treten während des angegebenen Zeitraums für eine bestimmte Anzahl von Malen auf.

  • Häufig: Der Risikoindikator wird ausgelöst, nachdem die folgenden Bedingungen erfüllt sind:

    • Die Ereignisse erfüllen die definierten Bedingungen.

    • Die Ereignisse treten während des angegebenen Zeitraums für die angegebene Anzahl von Malen auf.

    • Das Ereignismuster wiederholt sich für die angegebene Anzahl von Malen.

Auswahl der Risikokategorie

Wählen Sie die Risikokategorie für Ihren benutzerdefinierten Risikoindikator aus.

Risikoindikatoren werden auf der Grundlage der Art der Risikoexposition des benutzerdefinierten Risikoindikators gruppiert. Unterstützung bei der Auswahl der Risikokategorie finden Sie unter Risikokategorien.

Auswahl des Schweregrads

Der Schweregrad gibt an, wie schwerwiegend ein riskantes Ereignis ist, das durch den Risikoindikator erkannt wird. Wenn Sie einen benutzerdefinierten Risikoindikator erstellen, wählen Sie einen Schweregrad — hoch, mittel oder niedrig.

Wenn Sie eine Vorlage anwenden, ist die Option Schweregrad vorausgewählt. Sie können diese Vorauswahl je nach Anwendungsfall ändern.

Unterstützte Operatoren für die Definition einer Bedingung

Sie können die folgenden Operatoren verwenden, während Sie eine Bedingung definieren.

Betreiber Beschreibung Beispiel Ausgabe
Weisen Sie der Suchanfrage einen Wert zu. Benutzername: John Zeigt Ereignisse für den Benutzer John an.
= Weisen Sie der Suchanfrage einen Wert zu. Benutzername = John Zeigt Ereignisse für den Benutzer John an.
~ Suche nach ähnlichen Werten. Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
”” Schließen Sie Werte getrennt durch Leerzeichen ein. Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
<, > Suchen Sie nach einem relationalen Wert. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
UND Suchwerte, bei denen beide Bedingungen zutreffen. Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse von Benutzer John an, bei denen das Datenvolumen größer als 100 GB ist.
* Sucht Werte, die dem Zeichen Null oder öfter entsprechen. Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername = John Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
!~ Überprüft die Benutzerereignisse auf das von Ihnen angegebene übereinstimmende Muster. Dieser NOT LIKE Operator gibt die Ereignisse zurück, die das übereinstimmende Muster nirgendwo in der Ereigniszeichenfolge enthalten. Benutzername! ~ John Zeigt Ereignisse für die Benutzer an, außer John, John Smith oder solche Benutzer, die den übereinstimmenden Namen “John” enthalten.
!= Überprüft die Benutzerereignisse auf die genaue Zeichenfolge, die Sie angeben. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die genaue Zeichenfolge nicht irgendwo in der Ereigniszeichenfolge enthalten. Country != USA Zeigt Ereignisse für Länder mit Ausnahme der USA an.
IN Weisen Sie einer Dimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. Benutzername IN (John, Kevin) Finden aller Ereignisse im Zusammenhang mit John oder Kevin.
NOT IN Weisen Sie einer Dimension mehrere Werte zu und suchen Sie die Ereignisse, die die angegebenen Werte nicht enthalten. Benutzername NICHT IN (John, Kevin) Finde die Events für alle Benutzer außer John und Kevin.
IST LEER Sucht nach Nullwert oder leerem Wert für eine Dimension. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST LEER Finden Sie Ereignisse, bei denen der Ländername nicht verfügbar oder leer ist (nicht angegeben).
IST NICHT LEER Überprüft, ob kein Nullwert oder ein bestimmter Wert für eine Dimension vorhanden ist. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST NICHT LEER Finden von Ereignissen, bei denen der Ländername verfügbar oder angegeben ist.
ODER Sucht nach Werten, bei denen eine oder beide Bedingungen zutreffen. (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” Zeigt Session.Logon-Ereignisse für alle Benutzernamen an, die mit John beginnen oder mit Smith enden.

Hinweis

Verwenden Sie für den Operator NOT EQUAL, während Sie die Werte für die Dimensionen in Ihrem Zustand eingeben, die genauen Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird die Groß-/Kleinschreibung

Ändern eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren.

  2. Wählen Sie den benutzerdefinierten Risikoindikator aus, den Sie ändern möchten.

  3. Ändern Sie auf der Seite Indikator ändern die Informationen nach Bedarf.

  4. Klicken Sie auf Änderungen speichern.

Hinweis

Wenn Sie die Attribute wie Zustand, Risikokategorie, Schweregrad und Name eines vorhandenen benutzerdefinierten Risikoindikators auf der Benutzerzeitleiste ändern, können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators (mit den alten Attributen) anzeigen, die für den Benutzer ausgelöst wurden.

Beispielsweise haben Sie einen benutzerdefinierten Risikoindikator mit der Bedingung Country != India. Dieser benutzerdefinierte Risikoindikator wird also ausgelöst, wenn sich ein Benutzer von außerhalb des Landes Indien anmeldet. Jetzt ändern Sie den Zustand des benutzerdefinierten Risikoindikators in Country != “United States”. In diesem Fall können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Country != India über die Benutzerzeitpläne, die den Risikoindikator ausgelöst haben.

Löschen eines benutzerdefinierten Risikoindikators

  1. Navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren.

  2. Wählen Sie den benutzerdefinierten Risikoindikator aus, den Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im Dialog Ihre Anfrage, den benutzerdefinierten Risikoindikator zu löschen.

Hinweis

Wenn Sie einen benutzerdefinierten Risikoindikator löschen, können Sie auf der Benutzerzeitleiste weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators anzeigen, die für den Benutzer ausgelöst wurden.

Beispielsweise löschen Sie einen vorhandenen benutzerdefinierten Risikoindikator mit der Bedingung Land! = Indien. In diesem Fall können Sie weiterhin die vorherigen Vorkommen des benutzerdefinierten Risikoindikators mit der Bedingung Country != India über die Benutzerzeitpläne, die den Risikoindikator ausgelöst haben.