Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Kompromittierte Endpunkte

September 16, 2025
Beitrag von: 
C C

Nicht autorisierter Browser

Dies tritt auf, wenn ein Benutzer versucht, von einem Browsertyp oder einer Browserversion aus auf Inhalte zuzugreifen, die von der IT-Richtlinie des Unternehmens nicht zugelassen sind oder aufgrund von Sicherheitslücken.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage 

Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->

Das Session.Logon-Ereignis wird ausgelöst, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktop-Sitzung anmeldet.

Sigma-Signatur 

author: Citrix®
date: 2023/01/31
description: Dies tritt auf, wenn ein Benutzer von einem autorisierten Browser aus auf Inhalte zugreift, was ein unerwünschtes Ereignis oder eine unerwünschte Aktion über das Internet verursachen könnte.
detection:
  condition: index_selection and selection and not filter
  filter:
  -  browser_name|contains: '<Browser-Name>'
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
  -  occurrence_event_type: Session.logon
logsource:
  product: citrixanalytics
  service: security
title: Zugriff von nicht autorisiertem Browser
<!--NeedCopy-->

Nicht autorisierte Betriebssysteme

Dies tritt auf, wenn ein Benutzer versucht, auf ein Gerät mit einem Betriebssystemtyp oder einer Version zuzugreifen, die von der IT-Richtlinie Ihres Unternehmens nicht zugelassen ist oder aufgrund von Sicherheitslücken.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage 

Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->

Sigma-Signatur 

author: Citrix
date: 2023/01/31
description: Dies tritt auf, wenn ein Benutzer versucht, auf Apps von Servern mit blockierten Betriebssystemen zuzugreifen.
detection:
  condition: index_selection and selection
  filter_null: []
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
    occurrence_event_type: Session.logon
    os_name|contains: '<OS-Name>'
    os_version: '<OS-Version>'
    os_extra_info: '<OS-Extra-Info>'
logsource:
  product: citrixanalytics
  service: security
title: Nicht autorisierte Betriebssysteme in der Sperrliste
<!--NeedCopy-->

Nicht autorisierte IP-Adresse oder Subnetze

Dies tritt auf, wenn ein Benutzer versucht, von einer IP-Adresse oder einem Bereich aus zuzugreifen, der von der IT-Richtlinie Ihres Unternehmens als nicht autorisiert gekennzeichnet ist.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage 

Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->

Sigma-Signatur 

author: Citrix
date: 2023/01/31
description: Dies tritt auf, wenn ein Benutzer von nicht autorisierten IPs aus auf Inhalte zugreift, was ein unerwünschtes Ereignis oder eine unerwünschte Aktion über das Internet verursachen könnte.
detection:
  condition: selection and not filter_null and filter
  filter:
  -  client_ip: '<IP>'
  filter_null:
  -  client_ip: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Zugriff von nicht autorisierter IP
<!--NeedCopy-->

Nicht autorisierte Betriebssysteme außerhalb der Positivliste

Dies tritt auf, wenn ein Benutzer versucht, auf Anwendungen von Servern zuzugreifen, die Betriebssysteme außerhalb der Positivliste hosten.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage 

Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->

Sigma-Signatur 

author: Citrix
date: 2023/01/31
description: Nicht autorisierte Betriebssysteme außerhalb der Positivliste
detection:
  condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
  filter_os:
  -  os_name|contains: '<OS INFO>'
  filter_os_version:
  -  os_version: '<OS Version>'
  filter_os_extra:
  -  os_extra_info: '<OS Extra Info>'
  filter_null:
  -  os_name: null
  -  os_version: null
  -  os_extra_info: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Nicht autorisierte Betriebssysteme außerhalb der Positivliste
<!--NeedCopy-->

Nicht autorisierte Workspace-App-Versionen

Dies tritt auf, wenn ein Benutzer versucht, auf eine Workspace-App-Version zuzugreifen, die keine unterstützte Client-Version ist. In solchen Fällen müssen Benutzer ihren Client auf eine unterstützte Version aktualisieren. Weitere Informationen finden Sie unter Unterstützte Client-Versionen.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage 

Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->

Sigma-Signatur 

author: Citrix
date: 2023/01/31
description: Nicht unterstützte Workspace-App-Versionen
detection:
  condition: selection and not filter_null and filter_product and not filter_product_version
  filter_product:
  -  product: ['Windows', 'Mac', '<Other type>']
  filter_product_version:
  -  product_version|contains: ['<Product Version1>', '<Product Version2>']
  filter_null:
  -  product: null
  -  product_version: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Nicht unterstützte Workspace-App-Versionen
<!--NeedCopy-->
Kompromittierte Endpunkte
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.