Beispiel für Sigma-Signaturen für Security Insights
Diese Seite enthält Beispielabfragen, mit denen Administratoren mithilfe von Citrix Security Analytics aussagekräftige Ergebnisse erzielen können.
Diese Beispiele decken Risiken der folgenden Kategorien ab:
- Kompromittierte Endpunkte
- Insider-Bedrohungen
- Exfiltration von Daten
Wie benutzt man diese Beispiele
Zeigen Sie die Datenquelle an und schalten Sie die Datenverarbeitung ein
Um die Datenquelle anzuzeigen, klicken Sie in der Citrix Analytics-GUI auf Einstellungen > Datenquellen > Sicherheit. Die App-Site-Karte Apps und Desktops — Workspace wird auf der Seite Datenquellen angezeigt. Klicken Sie auf Datenverarbeitung einschalten, damit Citrix Analytics mit der Verarbeitung von Daten für diese Datenquelle beginnen kann.
Citrix Analytics for Security sendet die folgenden zwei Arten von Risikoerkenntnissen an Ihren SIEM-Service:
- Ereignisse mit Risikoeinblicken (Standardexporte)
- Datenquellenereignisse (optionale Exporte)
Als Teil Ihrer SIEM-Umgebung sind die Risiko-Insight Event-Datenquellen verfügbar und standardmäßig immer aktiviert. Weitere Informationen finden Sie unter Datenereignisse, die aus Citrix Analytics for Security in Ihren SIEM-Dienst exportiert wurden.
Sie können entweder CAS- oder Sigma-Signaturen verwenden, um bestimmte Benutzerereignisse in Ihren Datenquellen zu überprüfen. CAS-Abfragen sind über die Self-Service-Suchseite auf Ihrer Citrix Analytics-GUI zugänglich. Die Sigma-Signaturen sind in einem einfachen oder benutzerfreundlichen Format geschrieben, wodurch sie mit verschiedenen SIEM-Umgebungen kompatibel sind.
CAS-Abfragen verwenden
Sie können die CAS-Abfrage auf der Seite Self-Service-Suche verwenden, um Benutzerereignisse aus verschiedenen Datenquellen zu suchen und zu filtern. Klicken Sie in Ihrer Citrix Analytics-GUI auf Suchen und geben Sie die Abfrage in das Suchfeld ein. Weitere Informationen finden Sie unter So verwenden Sie die Self-Service-Suche.
Sie können auch benutzerdefinierte Risikoindikatoren mit den vorhandenen Vorlagen erstellen. Um einen benutzerdefinierten Risikoindikator zu erstellen, navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren > Indikator erstellen. Weitere Informationen finden Sie unter Erstellen eines benutzerdefinierten Risikoindikators.
Sigma-Signaturen verwenden
Sigma ist ein benutzerfreundliches, offenes Signaturformat für die Erstellung textbasierter Abfragen, mit denen Analysten Protokollereignisse beschreiben können, sodass Erkennungen einfacher zu schreiben sind. Es gibt verschiedene Möglichkeiten, eine Sigma-Signatur in die Abfragesprache Ihres SIEM-Tools zu konvertieren.
-
Sie können die von Sigma angebotenen CLI-Tools und Python-SDKs verwenden. Weitere Informationen zur Sigma-Signatur finden Sie unter Verwendung von Regeln.
-
Sie können öffentliche Tools wie die Sigma Translation Engine von uncoder.io verwenden, die ein kostenloses Kontingent bietet.
Informationen zu den verschiedenen Risikoeinblicken finden Sie in den folgenden Anwendungsfällen für benutzerdefinierte Indikatoren:
- Nicht genehmigter Browser
- Nicht genehmigtes Betriebssystem
- Nicht genehmigte Workspace-App-Versionen
- Nicht autorisierte Betriebssysteme außerhalb der Zulassungsliste
- Nicht autorisierte IP-Adresse oder Subnetze
- Nicht autorisierte virtuelle Apps
- Ungewöhnliche Desktop-Namen
- Bestimmte Anwendung überwachen
- Drucken aus SaaS-Apps
- Verwendung der Zwischenablage in SaaS-Apps