Insider-Bedrohungen

December 20, 2025

Beitrag von:

C C

Ungewöhnliche Desktop-Namen

Dies tritt auf, wenn der Benutzer versucht, einen Desktop zu starten, der als ungewöhnlich eingestuft wird.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  -  app_name|contains: '<App Name>'
  filter_null:
  -  app_name: null
  selection1:
  -  occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  -  launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Unusual desktop names
<!--NeedCopy-->

Überwachung spezifischer Prozesse

Dies tritt auf, wenn der Benutzer eine veröffentlichte Anwendung startet, die sich auf der Überwachungsliste befindet. Der Zweck könnte die Überwachung der Nutzung spezifischer veröffentlichter Anwendungen sein.

Details

Datenquelle: Apps und Desktops (Sitzungsaufzeichnung)

CAS-Abfrage

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  -  app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  -  app_name: null
  selection:
  -  occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Monitor specific process
<!--NeedCopy-->

Nicht autorisierte virtuelle Apps

Dies tritt auf, wenn der Benutzer auf nicht autorisierte virtuelle Apps zugreift.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Sigma-Signatur

date: 2023/01/31
description: Unauthorized virtual apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  -  app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  -  app_name: null
  selection:
  -  occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized virtual apps
<!--NeedCopy-->

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Insider-Bedrohungen

December 20, 2025

Beitrag von:

C C

December 20, 2025

Beitrag von:

C C

War dieser Artikel hilfreich?