Richtlinien und Maßnahmen

Sie können Richtlinien in Citrix Analytics erstellen, mit denen Sie Aktionen für Benutzerkonten ausführen können, wenn ungewöhnliche oder verdächtige Aktivitäten auftreten. Mit Richtlinien können Sie den Prozess der Anwendung von Aktionen wie Deaktivieren eines Benutzers, Hinzufügen von Benutzern zu einer Beobachtungsliste automatisieren. Wenn Sie Richtlinien aktivieren, wird eine entsprechende Aktion unmittelbar angewendet, nachdem ein anomales Ereignis auftritt und die Richtlinienbedingung erfüllt ist. Sie können Aktionen auch manuell auf Benutzerkonten mit anomalen Aktivitäten anwenden.

Was sind Richtlinien?

Eine Richtlinie ist eine Reihe von Bedingungen, die erfüllt sein müssen, damit eine Aktion ausgeführt werden kann. Eine Richtlinie enthält eine oder mehrere Bedingungen und eine einzelne Aktion. Sie können eine Richtlinie mit mehreren Bedingungen und einer Aktion erstellen, die auf das Konto eines Benutzers angewendet werden kann.

Risikobewertung ist eine globale Bedingung. Globale Bedingungen können auf einen bestimmten Benutzer für eine bestimmte Datenquelle angewendet werden. Sie können Benutzerkonten beobachten, die ungewöhnliche Aktivitäten zeigen. Andere Bedingungen sind spezifisch für Datenquellen und deren Risikoindikatoren. Die Bedingungen enthalten Kombinationen von Risikobewertungen, Standardrisikoindikatoren und benutzerdefinierten Risikoindikatoren. Sie können bis zu 4 Bedingungen hinzufügen, wenn Sie eine Richtlinie erstellen.

Richtlinie erstellen

Wenn Ihre Organisation beispielsweise vertrauliche Daten verwendet, können Sie die Menge der Daten einschränken, die von Benutzern intern freigegeben oder freigegeben werden. Wenn Sie jedoch eine große Organisation haben, wäre es für einen einzigen Administrator nicht möglich, viele Benutzer zu verwalten und zu überwachen. Sie können eine Richtlinie erstellen, bei der jeder, der sensible Daten übermäßig weitergibt, zu einer Beobachtungsliste hinzugefügt werden oder sein Konto sofort deaktiviert werden kann.

Standardrichtlinien

Standardrichtlinien sind vordefiniert und auf dem Richtlinien-Dashboard aktiviert. Sie werden basierend auf vordefinierten Bedingungen erstellt und jeder Standardrichtlinie wird eine entsprechende Aktion zugewiesen. Sie können entweder eine Standardrichtlinie verwenden oder sie basierend auf Ihren Anforderungen ändern.

Citrix Analytics unterstützt die folgenden Standardrichtlinien:

  • Erfolgreiche Nutzung von Anmeldeinformationen
  • Potenzielle Datenexfiltration
  • Ungewöhnlicher Zugriff von einer verdächtigen IP
  • Ungewöhnlicher App-Zugriff von einem ungewöhnlichen Ort aus
  • Benutzer mit geringem Risiko — erstmaliger Zugriff von neuer IP
  • Erster Zugriff vom Gerät aus

Weitere Informationen zu den voreingestellten Bedingungen und Aktionen der Standardrichtlinien finden Sie unter Kontinuierliche Risikobewertung.

Standardrichtlinien

Wie kann man Bedingungen hinzufügen oder entfernen?

Um weitere Bedingungen hinzuzufügen, wählen Sie Bedingung hinzufügen im Abschnitt Wenn die folgende Bedingung erfüllt ist auf der Seite Richtlinie erstellen. Um eine Bedingung zu entfernen, wählen Sie das Symbol -, das neben der Bedingung angezeigt wird.

Bedingung hinzufügen und entfernen

Standard- und benutzerdefinierte Risikoindikatoren

Das Menü “Bedingungen” wird basierend auf den Registerkarten Standardrisikoindikatoren und Benutzerdefinierte Risikoindikatoren auf der Seite Richtlinie erstellen getrennt. Auf diesen Registerkarten können Sie ganz einfach den Typ des Risikoindikators identifizieren, den Sie auswählen möchten, wenn Sie eine Bedingung für die Richtlinienkonfiguration auswählen.

Bedingung hinzufügen und entfernen

Was sind Aktionen?

Aktionen sind Antworten auf verdächtige Ereignisse, die verhindern, dass zukünftige anomale Ereignisse auftreten. Sie können Aktionen auf Benutzerkonten anwenden, die ungewöhnliches oder verdächtiges Verhalten anzeigen. Sie können Richtlinien so konfigurieren, dass Aktionen für das Benutzerkonto automatisch ausgeführt werden, oder eine bestimmte Aktion manuell aus der Risikozeitleiste des Benutzers anwenden.

Sie können globale Aktionen oder Aktionen für jede Citrix Datenquelle anzeigen. Sie können auch zuvor angewendete Aktionen für einen Benutzer jederzeit deaktivieren.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

In der folgenden Tabelle werden die Aktionen beschrieben, die Sie ausführen können.

Aktionsname Beschreibung Datenquellen anwendbar auf
Globale Aktionen    
Zur Merkliste hinzufügen Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen. Alle Datenquellen
  Im Bereich Benutzer in Watchlist werden alle Benutzer angezeigt, die Sie auf potenzielle Bedrohungen basierend auf der ungewöhnlichen Aktivität ihres Kontos überwachen möchten. Basierend auf der Richtlinie Ihrer Organisation können Sie mithilfe der Aktion Zu Watchlist hinzufügen einen Benutzer zur Watchlist hinzufügen.  
  Um einen Benutzer zur Watchlist hinzuzufügen, navigieren Sie zum Profil des Benutzers. Wählen Sie im Menü Aktionen die Option Zu Watchlist hinzufügen aus. Klicken Sie auf Übernehmen, um die Aktion zu erzwingen.  
Admin benachrichtigen Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.  
Benutzerantwort anfordern Wenn ungewöhnliche oder verdächtige Aktivitäten auf dem Benutzerkonto auftreten, können Sie den Benutzer benachrichtigen, um zu bestätigen, ob der Benutzer die Aktivität identifiziert. Basierend auf der Aktivität können Sie die nächste Aktion bestimmen, die für das Konto des Benutzers durchgeführt werden soll. Alle Datenquellen
Citrix Gateway Aktionen    
Benutzer abmelden Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator die Aktion Benutzer abmelden deaktiviert hat. Citrix Gateway lokal und Citrix Application Delivery Management
Benutzer sperren Wenn das Konto eines Benutzers aufgrund eines ungewöhnlichen Verhaltens gesperrt ist, kann er nicht über Citrix Gateway auf jede Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt. Citrix Gateway
Benutzer entsperren Wenn das Konto eines Benutzers versehentlich gesperrt wurde, obwohl kein anomales Verhalten erkannt wurde, können Sie diese Aktion anwenden, um es zu entsperren und den Zugriff auf das Konto wiederherzustellen. Citrix Gateway
Citrix Content Collaboration Aktionen    
Benutzer deaktivieren Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren. Citrix Content Collaboration
  Nachdem sein Konto deaktiviert wurde, wird dem Benutzer eine Benachrichtigung angezeigt. Die Benachrichtigung auf der Anmeldeseite ihres Kontos fordert sie auf, ihren Content Collaboration Administrator für weitere Informationen zu erreichen.  
Alle freigegebenen Links ablaufen Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen. Citrix Content Collaboration
  Wenn ein Benutzer Dateien übermäßig freigibt, wird der Indikator für übermäßige Dateifreigabe ausgelöst und die freigegebenen Links sind abgelaufen. Wenn die freigegebenen Links abgelaufen sind, wird der Link ungültig, und die Benutzer, für die der Link freigegeben wurde, können nicht darauf zugreifen.  
Citrix Virtual Apps and Desktops Aktionen    
Benutzer abmelden Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen, bis der Administrator für virtuelle Desktops die Aktion Benutzer abmelden deaktiviert hat. Lokale virtuelle Apps und Desktops und Citrix Virtual Apps and Desktops
Sitzungsaufzeichnung starten Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer auf Virtual Apps and Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden. Lokale Virtual Apps and Desktops
Citrix Endpoint Management Aktionen    
Gerät sperren Wenn auf einem Gerät ungewöhnliche Aktivitäten vorliegen, die dazu führen, dass die Risikobewertung des Benutzers einen bestimmten Wert überschreitet, können Sie die Aktion Gerät sperren verwenden. Citrix Endpoint Management-Service
  Wenn die Aktion angewendet wird, werden alle Geräte des Benutzers gesperrt. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und mit ihrer Arbeit fortfahren.  

Hinweis:

  • Wenn Sie die Aktion Benutzer deaktivieren für einen Benutzer der Content Collaboration anwenden, wird das Konto des Benutzers erst deaktiviert, wenn der Administrator für die Inhaltszusammenarbeit die Benachrichtigung angezeigt hat. Während der Zwischenzeit kann der Benutzer sein Content Collaboration Konto verwenden, und die Daten werden weiterhin von Citrix Analytics verarbeitet. Nachdem der Content Collaboration Administrator das Konto des Benutzers deaktiviert hat, muss der Benutzer seinen Content Collaboration Administrator kontaktieren, damit sein Konto wieder aktiviert werden kann. Der Citrix Analytics Administrator kann deaktivierte Content Collaboration Konten nicht aktivieren.

  • Für lokale Virtual Apps und Desktops müssen Sie einen Agenten von Citrix Analytics herunterladen und auf Delivery Controller installieren, um die Aktionen Benutzer abmelden und die Sitzungsaufzeichnung starten auszuführen. Weitere Informationen zum Agenten finden Sie unter Analytics auf Virtual Apps and Desktops-Sites aktivieren.

Konfigurieren von Richtlinien und Aktionen

Wenn Sie beispielsweise die folgenden Schritte ausführen, können Sie eine Richtlinie für übermäßige Dateifreigabe erstellen. Wenn ein Benutzer in Ihrer Organisation eine ungewöhnlich große Datenmenge gemeinsam verwendet, sind die Freigabelinks automatisch abgelaufen. Sie werden benachrichtigt, wenn ein Benutzer Daten freigibt, die das normale Verhalten dieses Benutzers überschreiten. Indem Sie die Richtlinie für übermäßige Dateifreigabe anwenden und sofortige Maßnahmen ergreifen, können Sie die Datenexfiltration von jedem Benutzerkonto verhindern.

Gehen Sie folgendermaßen vor, um eine Richtlinie zu erstellen:

  1. Gehen Sie nach der Anmeldung bei Citrix Analytics auf der Symbolleiste zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

    Einstellungsrichtlinie

  2. Klicken Sie im Richtlinien-Dashboard auf Richtlinie erstellen.

    Schaltfläche Richtlinie erstellen

  3. Wählen Sie im Listenfeld IF THE FOLLOWING CONDITION IS MET, die Standard- oder die benutzerdefinierten Risikoindikatorbedingungen aus, auf die eine Aktion angewendet werden soll.

    Bedingung hinzufügen und entfernen

  4. Wählen Sie in der Liste THEN DO THE FOLLOWING eine Aktion aus.

    Gehen Sie dann folgendermaßen vor:

  5. Geben Sie im Textfeld Richtlinienname einen Namen ein, und aktivieren Sie die Richtlinie mit der angegebenen Umschaltschaltfläche.

    Richtlinie erstellen

  6. Klicken Sie auf Richtlinie erstellen.

Benutzerantwort anfordern

Benutzerantwort anfordern ist eine globale Aktion, mit der Sie einen Benutzer sofort benachrichtigen können, nachdem Sie eine ungewöhnliche Aktivität entdeckt haben. Basierend auf der Antwort des Benutzers können Sie die nächste Vorgehensweise bestimmen, die Sie ergreifen möchten. Wenn Sie eine Antwort erhalten, dass der Benutzer die gemeldete Aktivität ausgeführt hat, ist die Aktivität nicht verdächtig und Sie müssen keine Maßnahmen für das Konto des Benutzers ergreifen. Das tägliche Limit für das Senden einer Sicherheitswarnung an den Benutzer beträgt drei E-Mails.

Betrachten Sie einen Citrix Content Collaboration Benutzer, dessen Risikobewertung 80 in einer Dauer von 80 Minuten überschritten hat. Sie können den Benutzer über dieses ungewöhnliche Verhalten informieren, indem Sie die Aktion Benutzerantwort anfordern anwenden. Eine Sicherheitswarnung wird über die E-Mail-ID security-analytics@citrix.com an den Benutzer gesendet. Die E-Mail enthält Informationen wie Aktivität, Gerät, Datum und Uhrzeit sowie die IP-Adresse. Außerdem wird der Risikozeitleiste des Benutzers die Aktion Benutzerantwort anfordern hinzugefügt.

Benutzerantwort anfordern

Wie setze ich die Antwortzeit des Benutzers ein?

Sie können die Antwortzeit des Benutzers für Ihre Sicherheitsalarm-E-Mail konfigurieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Seite Richtlinien das Menü Einstellungen aus, und aktualisieren Sie die Anzahl der Minuten im Textfeld.

  3. Klicken Sie auf Einstellungen speichern.

    Antwortzeit des Benutzers

Benutzer benachrichtigen, nachdem sie störende Aktionen angewendet haben

Bei diesem Aktionstyp können Sie eine störende Aktion wie Benutzer abmelden und Benutzer sperren auf das Konto des Benutzers anwenden, wenn eine ungewöhnliche Aktivität erkannt wird. Wenn eine Aktion auf das Konto des Benutzers angewendet wird, werden Dienste für sein Konto möglicherweise unterbrochen. In solchen Fällen muss der Benutzer den Administrator kontaktieren, um wie zuvor auf sein Konto zugreifen zu können.

Betrachten Sie einen Citrix Content Collaboration Benutzer, dessen Risikobewertung 80 in einer Dauer von 80 Minuten überschritten hat. Sie können den Benutzer abmelden. Sobald diese Aufgabe ausgeführt wurde, kann der Benutzer nicht auf sein Konto zugreifen, und eine E-Mail-Benachrichtigung wird über die E-Mail-ID security-analytics@citrix.com an den Benutzer gesendet. Die E-Mail enthält Details des Ereignisses wie Aktivität, Gerät, Datum und Uhrzeit sowie die IP-Adresse. Der Benutzer muss sich an den Administrator wenden, um wie zuvor auf sein Konto zuzugreifen.

Unterbrechungsaktion anwenden

Manuelles Anwenden einer Aktion

Betrachten Sie einen Benutzer, Lemuel Kildow, der sich zum ersten Mal mit einem neuen Gerät in einem Netzwerk anmeldet. Um ihr Konto zu überwachen, da ihr Verhalten ungewöhnlich ist, können Sie die Aktion Administrator (en) benachrichtigen verwenden.

Um die Aktion manuell auf den Benutzer anzuwenden, müssen Sie:

Navigieren Sie zum Benutzerprofil und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen die Aktion Administrator benachrichtigen aus, und klicken Sie auf Übernehmen.

Aktionsliste

Aufgrund der ungewöhnlichen und verdächtigen Aktivitäten auf dem Konto von Lemuel wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet, um ihr Konto zu überwachen. Die angewendete Aktion wird ihrer Risikozeitachse hinzugefügt, und die Aktionsdetails werden im rechten Fensterbereich der Risikozeitachse angezeigt.

Angewendete Aktion

Richtlinien verwalten

Sie können das Richtlinien-Dashboard anzeigen, um alle in Citrix Analytics erstellten Richtlinien zu verwalten, um Inkonsistenzen im Netzwerk zu überwachen und zu identifizieren. Auf dem Richtlinien-Dashboard können Sie:

  1. Liste der Richtlinien anzeigen

  2. Einzelheiten der Richtlinie

    • Name der Richtlinie

    • Status — Aktiviert oder deaktiviert.

    • Dauer der Richtlinie — Anzahl der Tage, in denen die Richtlinie aktiv oder inaktiv war.

    • Treffer — Gibt an, wie oft die Richtlinie ausgelöst wird.

    • Geändert — Zeitstempel, nur wenn die Richtlinie geändert wurde.

  3. Löschen der Richtlinie

    • Um eine Richtlinie zu löschen, können Sie die Richtlinie auswählen, die Sie löschen möchten, und klicken Sie auf Löschen.

    • Sie können auch auf den Namen der Richtlinie klicken, um zur Seite Richtlinie ändern weiterzuleiten. Klicken Sie auf Richtlinie löschen. Bestätigen Sie im Dialogfeld Ihre Anforderung, die Richtlinie zu löschen.

  4. Erstellen einer Richtlinie

  5. Klicken Sie auf den Namen einer Richtlinie, um weitere Details anzuzeigen. Sie können die Richtlinie auch ändern, wenn Sie auf ihren Namen klicken. Andere Modifikationen, die durchgeführt werden können, sind wie folgt:

    • Ändern Sie den Namen der Richtlinie.

    • Bedingungen der Richtlinie.

    • Die anzuwendenden Aktionen.

    • Aktivieren oder deaktivieren Sie die Richtlinie.

    • Löschen Sie die Richtlinie.

Hinweis:

  • Wenn Sie Ihre Richtlinie nicht löschen möchten, können Sie die Richtlinie deaktivieren.

  • Gehen Sie wie folgt vor, um die Richtlinie im Richtlinien-Dashboard wieder zu aktivieren:

    • Klicken Sie im Richtlinien-Dashboard auf den Schieberegler Status, um grün zu sein.

    • Klicken Sie auf der Seite Richtlinie ändern auf den Schieberegler Aktiviert am unteren Rand der Seite.

Unterstützte Modi

Citrix Analytics unterstützt die folgenden Modi für Richtlinien:

  • Erzwingungsmodus - In diesem Modus wirken sich die konfigurierten Richtlinien auf Benutzerkonten aus.

  • Überwachungsmodus - In diesem Modus wirken sich die konfigurierten Richtlinien nicht auf Benutzerkonten aus. Sie können Richtlinien auf diesen Modus festlegen, wenn Sie Richtlinienkonfigurationen testen möchten.

Verwenden Sie die folgenden Anweisungen, um Modi für Richtlinien zu konfigurieren:

  1. Navigieren Sie zu Einstellungen > Benutzerdefinierte Risikoindikatoren und Richtlinien.

  2. Wählen Sie auf der Seite Richtlinien das Symbol oben rechts aus, das neben der Suchleiste angezeigt wird. Das Fenster SELECT MODE wird angezeigt.

  3. Wählen Sie den Modus Ihrer Wahl aus und klicken Sie auf Einstellungen speichern.

Hinweis:

Die von Analytics erstellten Standardrichtlinien sind auf den Überwachungsmodus eingestellt. Infolgedessen erben die vorhandenen Richtlinien auch diesen Modus. Sie können die Auswirkungen aller Richtlinien gemeinsam beurteilen und dann in den Erzwingungsmodus wechseln.

Richtlinienmodi

Self-Service-Suche nach Richtlinien

Auf der Self-Service-Suche Seite können Sie die Benutzerereignisse anzeigen, die die in den Richtlinien definierten Bedingungen erfüllt haben. Auf der Seite werden auch die Aktionen angezeigt, die auf diese Benutzerereignisse angewendet wurden. Filtern Sie die Benutzerereignisse basierend auf den angewendeten Aktionen.