Citrix Analytics für Sicherheit

Richtlinien und Maßnahmen

Sie können Richtlinien in Citrix Analytics erstellen, mit denen Sie Aktionen für Benutzerkonten ausführen können, wenn ungewöhnliche oder verdächtige Aktivitäten auftreten. Mit Richtlinien können Sie den Prozess der Anwendung von Aktionen wie das Deaktivieren eines Benutzers und das Hinzufügen von Benutzern zu einer Beobachtungsliste automatisieren. Wenn Sie Richtlinien aktivieren, wird eine entsprechende Aktion sofort angewendet, nachdem ein anomales Ereignis eingetreten ist und die Richtlinienbedingung erfüllt ist. Sie können Aktionen auch manuell auf Benutzerkonten mit anomalen Aktivitäten anwenden.

Was sind die Richtlinien?

Eine Richtlinie ist eine Reihe von Bedingungen, die erfüllt sein müssen, um eine Aktion anwenden zu können. Eine Richtlinie enthält eine oder mehrere Bedingungen und eine einzelne Aktion. Sie können eine Richtlinie mit mehreren Bedingungen und einer Aktion erstellen, die auf das Konto eines Benutzers angewendet werden kann.

Risikobewertung ist eine globale Bedingung. Globale Bedingungen können auf einen bestimmten Benutzer für eine bestimmte Datenquelle angewendet werden. Sie können Benutzerkonten beobachten, die ungewöhnliche Aktivitäten zeigen. Andere Bedingungen sind spezifisch für Datenquellen und ihre Risikoindikatoren. Die Bedingungen enthalten Kombinationen aus Risikobewertungen, Standartrisikoindikatoren und benutzerdefinierten Risikoindikatoren. Sie können beim Erstellen einer Richtlinie bis zu 4 Bedingungen hinzufügen.

Richtlinie erstellen

Wenn Ihre Organisation beispielsweise vertrauliche Daten verwendet, können Sie die Menge der Daten einschränken, die von Benutzern intern freigegeben oder freigegeben werden. Wenn Sie jedoch eine große Organisation haben, ist es für einen einzelnen Administrator nicht möglich, viele Benutzer zu verwalten und zu überwachen. Sie können eine Richtlinie erstellen, bei der jeder, der sensible Daten übermäßig weitergibt, zu einer Beobachtungsliste hinzugefügt werden oder sein Konto sofort deaktiviert werden kann.

Standardrichtlinien

Standardrichtlinien sind im Richtlinien-Dashboard vordefiniert und aktiviert. Sie werden basierend auf vordefinierten Bedingungen erstellt und jeder Standardrichtlinie wird eine entsprechende Aktion zugewiesen. Sie können entweder eine Standardrichtlinie verwenden oder sie basierend auf Ihren Anforderungen ändern.

Citrix Analytics unterstützt die folgenden Standardrichtlinien:

  • Erfolgreicher Exploit für Anmeldedaten
  • Potenzielle Datenexfiltration
  • Ungewöhnlicher Zugriff von einer verdächtigen IP
  • Erster Zugriff vom Gerät
  • Virtual Apps and Desktops und Citrix DaaS — Unmögliche Reise bei Zugriff
  • Gateway — Unmögliche Reise bei Authentifizierung
  • Content Collaboration — Unmögliche Reise

Informationen zu den voreingestellten Bedingungen und Aktionen in Bezug auf die vorangegangenen Standardrichtlinien finden Sie unter Kontinuierliche Risikobewertung.

Standardrichtlinien

Informationen zur vordefinierten Richtlinie für den Geofencing-Anwendungsfall finden Sie unter Vorkonfigurierte Richtlinie.

Wie kann man Bedingungen hinzufügen oder entfernen?

Um weitere Bedingungen hinzuzufügen, wählen Sie Bedingung hinzufügen im Abschnitt WENN DIE FOLGENDE BEDINGUNG ERFÜLLT IST der Seite Richtlinie erstellen . Um eine Bedingung zu entfernen, wählen Sie das - -Symbol aus, das neben der Bedingung angezeigt wird.

Bedingung hinzufügen und entfernen

Standard- und benutzerdefinierte Risikoindikatoren

Das Menü “Bedingungen” wird basierend auf den Registerkarten Standardrisikoindikatoren und Benutzerdefinierte Risikoindikatoren auf der Seite “Richtlinie erstellen “ getrennt. Auf diesen Registerkarten können Sie leicht den Typ des Risikoindikators identifizieren, den Sie bei der Auswahl einer Bedingung für die Richtlinienkonfiguration auswählen möchten.

Bedingung hinzufügen und entfernen

Was sind die Aktionen?

Aktionen sind Reaktionen auf verdächtige Ereignisse, die das Auftreten zukünftiger anomaler Ereignisse verhindern. Sie können Aktionen auf Benutzerkonten anwenden, die ungewöhnliches oder verdächtiges Verhalten anzeigen. Sie können entweder Richtlinien so konfigurieren, dass Aktionen automatisch auf das Benutzerkonto angewendet werden, oder eine bestimmte Aktion manuell aus der Risikozeitleiste des Benutzers anwenden.

Sie können globale Aktionen oder Aktionen für jede Citrix Datenquelle anzeigen. Sie können auch zuvor angewendete Aktionen für einen Benutzer jederzeit deaktivieren.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

In der folgenden Tabelle werden die Aktionen beschrieben, die Sie ergreifen können.

Bezeichnung der Aktion Beschreibung Anwendbare Datenquellen
Globale Aktionen    
Zur Watchlist hinzufügen Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen. Alle Datenquellen
  Im Bereich Benutzer in Watchlist werden alle Benutzer angezeigt, die Sie auf potenzielle Bedrohungen basierend auf der ungewöhnlichen Aktivität ihres Kontos überwachen möchten. Basierend auf den Richtlinien Ihrer Organisation können Sie mit der Aktion Zur Watchlist hinzufügen einen Benutzer zur Watchlist hinzufügen.  
  Um einen Benutzer zur Watchlist hinzuzufügen, navigieren Sie zum Benutzerprofil und wählen Sie im Menü Aktionen die Option Zur Watchlist hinzufügenaus. Klicken Sie auf Übernehmen, um die Aktion zu erzwingen.  
Administrator (en) benachrichtigen Wenn ein Risikoindikator für einen Benutzer ausgelöst wird, können Sie die Administratoren manuell benachrichtigen oder eine Richtlinie für die automatische Benachrichtigung erstellen. Sie können die Administratoren aus der Citrix Cloud-Domäne und anderen Nicht-Citrix Cloud-Domänen in Ihrer Organisation auswählen. Wenn Sie ein Citrix Cloud-Administrator mit vollen Zugriffsberechtigungen sind, sind die E-Mail-Benachrichtigungen standardmäßig für Ihr Citrix Cloud-Konto deaktiviert. Um E-Mail-Benachrichtigungen zu erhalten, aktivieren Sie sie in Ihrem Citrix Cloud-Konto. Weitere Informationen finden Sie unter Empfangen von Benachrichtigungen per E-Mail. Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (schreibgeschützt und Vollzugriff) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto aktiviert. Um keine E-Mail-Benachrichtigungen von Citrix Analytics mehr zu erhalten, bitten Sie Ihren Citrix Cloud-Administrator mit vollem Zugriff, Ihren Namen aus der Verteilerliste der Benachrichtigungsadministratoren zu entfernen. Weitere Informationen zu finden Sie unter E-Mail-Verteilerliste.  
Antwort des Endbenutzers anfragen Wenn das Benutzerkonto ungewöhnliche oder verdächtige Aktivitäten enthält, können Sie den Benutzer benachrichtigen, um zu bestätigen, ob der Benutzer die Aktivität identifiziert. Basierend auf der Aktivität können Sie die nächste Aktion bestimmen, die für das Konto des Benutzers durchgeführt werden soll. Weitere Informationen finden Sie unter Endbenutzer-Antwort anfordern.  
Citrix Gateway Aktionen    
Aktive Sitzungen abmelden Wenn die Aktion angewendet wird, meldet sie die derzeit aktive Benutzersitzung ab. Es blockiert keine zukünftigen Benutzersitzungen. Citrix Gateway lokal und Citrix Application Delivery Management
Benutzerkonto sperren Wenn das Konto eines Benutzers aufgrund eines ungewöhnlichen Verhaltens gesperrt ist, kann er nicht über Citrix Gateway auf jede Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt. Citrix Gateway (on-premises)
Benutzerkonto entsperren Wenn das Konto eines Benutzers versehentlich gesperrt wurde, obwohl kein anomales Verhalten erkannt wurde, können Sie diese Aktion anwenden, um es zu entsperren und den Zugriff auf das Konto wiederherzustellen. Citrix Gateway (on-premises)
Citrix Content Collaboration Aktionen    
Benutzerkonto deaktivieren Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden. Citrix Content Collaboration
  Nachdem ihr Konto deaktiviert wurde, wird dem Benutzer eine Benachrichtigung angezeigt. Die Benachrichtigung auf der Anmeldeseite ihres Kontos fordert sie auf, ihren Content Collaboration Administrator für weitere Informationen zu erreichen.  
Läuft alle Links ab Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die freigegebenen Links abgelaufen sind, werden die Links ungültig und sind für andere Benutzer, mit denen die Links geteilt werden, nicht zugänglich. Hinweis: Diese Aktion funktioniert nur, wenn aktive Freigabelinks mit dem Konto des Benutzers verknüpft sind. Citrix Content Collaboration
Links zu schreibgeschützter Freigabe ändern Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing. Hinweis: Diese Aktion funktioniert nur, wenn aktive Freigabelinks mit dem Konto des Benutzers verknüpft sind.  
Ordnerzugriffsberechtigung entfernen Wenn ein Benutzer eine infizierte Datei hochlädt, können Sie die Zugriffsberechtigung des Benutzers sperren. Der Zugriff des Benutzers ist auf den Ordner beschränkt, in den die infizierte Datei hochgeladen wurde.  
Upload-Berechtigung für Ordner entfernen Wenn ein Benutzer eine infizierte Datei hochlädt, können Sie die Upload-Berechtigung des Benutzers sperren. Die Upload-Berechtigung des Benutzers ist auf den Ordner beschränkt, in den die infizierte Datei hochgeladen wurde.  
Citrix Virtual Apps and Desktops und Citrix DaaS-Aktionen    
Aktive Sitzungen abmelden Wenn die Aktion angewendet wird, meldet sie die derzeit aktive Benutzersitzung ab. Es blockiert keine zukünftigen Benutzersitzungen. Citrix Virtual Apps and Desktops on-premises und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)
Starten Sie die Aufzeichnung Wenn ein ungewöhnliches Ereignis im Virtual Desktops-Konto des Benutzers auftritt, kann der Administrator mit der Aufzeichnung der aktuell aktiven Sitzungen des Benutzers beginnen. Wenn der Benutzer Citrix Virtual Apps and Desktops 7.18 oder einer höheren Version verwendet und bei der virtuellen Sitzung angemeldet ist, kann ein Administrator die Aktion “Sitzungsaufzeichnung starten” in Citrix Analytics for Security dynamisch auslösen, mit der die Aufzeichnung der aktuellen aktiven Sitzung des Benutzers gestartet wird. Citrix Virtual Apps and Desktops on-premises und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)

Hinweise

  • Sie können unabhängig von den Datenquellen jede Aktion auf einen Risikoindikator anwenden.

  • Wenn Sie die Aktion Benutzer deaktivieren für einen Content Collaboration Benutzer anwenden, wird das Benutzerkonto erst deaktiviert, wenn der Content Collaboration Administrator die Benachrichtigung sieht. Während der Zwischenzeit kann der Benutzer sein Content Collaboration Konto verwenden, und die Daten werden weiterhin von Citrix Analytics verarbeitet. Nachdem der Content Collaboration Administrator das Benutzerkonto deaktiviert hat, muss sich der Benutzer an seinen Content Collaboration Administrator wenden, um sein Konto reaktivieren zu lassen. Der Citrix Analytics-Administrator kann die deaktivierten Content Collaboration-Konten nicht aktivieren.

  • Für on-premises Citrix Virtual Apps and Desktops müssen Sie einen Agenten von Citrix Analytics herunterladen und auf dem Delivery Controller installieren, um die Aktionen Benutzer abmelden und Sitzungsaufzeichnung starten auszuführen. Weitere Informationen zum Agenten finden Sie unter Aktivieren von Analytics auf Websites für Virtual Apps and Desktops.
  • Administratoren können jetzt dynamische Sitzungsaufzeichnungsaktionen auf Citrix DaaS-Sites ausführen und die virtuellen Sitzungen der Benutzer dynamisch aufzeichnen.

Nur-View-Sharing

Bevor Sie die Aktion Links zur Freigabe mit Leserechten ändern auf das Konto eines Benutzers anwenden, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

Voraussetzungen

  • Der Administrator muss über ein Enterprise-Konto in Content Collaboration verfügen, um die Aktion Links zur schreibgeschützten Freigabe ändern verwenden zu können.

  • Die schreibgeschützte Freigabe ist eine Funktion, die auf Anfrage in den Enterprise-Konten von Citrix Content Collaboration verfügbar ist. Bevor Sie die Aktion Links ändern auf schreibgeschützte Freigabe in Citrix Analytics anwenden, stellen Sie sicher, dass die Funktion “Nur schreibgeschützte Freigabe” bereits in den Content Collaboration Enterprise-Konten des Benutzers und des Administrators aktiviert ist. Weitere Informationen finden Sie im Citrix Supportartikel CTX208601.

Unterstützte Dateitypen

Die Aktion zur schreibgeschützten Freigabe gilt nur für die folgenden Dateitypen:

  • Microsoft Office-Dateien

  • PDF

  • Bilddateien (benötigt SZC v3.4.1 oder höher):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Audio- und Videodateien, die in einer von Citrix verwalteten Storage Zone gespeichert sind.

Konfigurieren von Richtlinien und Aktionen

Wenn Sie beispielsweise die folgenden Schritte ausführen, können Sie eine Richtlinie für übermäßige Dateifreigabe erstellen. Wenn ein Benutzer in Ihrer Organisation eine ungewöhnlich große Datenmenge gemeinsam verwendet, sind die Freigabelinks automatisch abgelaufen. Sie werden benachrichtigt, wenn ein Benutzer Daten teilt, die das normale Verhalten dieses Benutzers übersteigen. Indem Sie die Richtlinie für übermäßige Dateifreigabe anwenden und sofortige Maßnahmen ergreifen, können Sie die Datenexfiltration aus dem Konto eines Benutzers verhindern.

Gehen Sie folgendermaßen vor, um eine Richtlinie zu erstellen:

  1. Nachdem Sie sich bei Citrix Analytics angemeldet haben, gehen Sie zu Sicherheit > Richtlinien > Richtlinie erstellen.

    Richtlinie erstellen

  2. Wählen Sie im Listenfeld WENN DIE FOLGENDE BEDINGUNG ERFÜLLT IST, die standardmäßigen oder benutzerdefinierten Risikoindikatorbedingungen aus, auf die eine Aktion angewendet werden soll.

    Bedingung hinzufügen und entfernen

  3. Wählen Sie aus der Liste DANN FOLGENDES eine Aktion aus.

    Anschließend

  4. Geben Sie im Textfeld Richtlinienname einen Namen ein und aktivieren Sie die Richtlinie mithilfe der bereitgestellten Umschaltfläche.

    Richtlinie erstellen

  5. Klicken Sie auf Richtlinie erstellen.

Nach dem Erstellen einer Richtlinie wird die Richtlinie im Dashboard Richtlinien angezeigt.

Das Richtlinien-Dashboard zeigt die Richtlinien an, die mit den Datenquellen verknüpft sind, die erfolgreich erkannt und mit Citrix Analytics verbunden wurden. Das Dashboard zeigt nicht die Richtlinien an, für die Bedingungen für die unentdeckten Datenquellen definiert sind.

Sie haben beispielsweise einen Risikoindikator aus Content Collaboration als Bedingung für Ihre Richtlinie ausgewählt. Sie haben jedoch kein Abonnement für die Verwendung von Citrix Content Collaboration und daher erkennt Citrix Analytics diese Datenquelle nicht. Ihre Richtlinie wird daher nicht im Richtlinien-Dashboard angezeigt.

Das Deaktivieren der Datenverarbeitung für eine bereits verbundene Datenquelle wirkt sich jedoch nicht auf die vorhandenen Richtlinien im Richtlinien-Dashboard aus.

Antwort des Endbenutzers anfragen

Endbenutzerantwort anfordern ist eine globale Aktion, mit der Sie einen Benutzer sofort benachrichtigen können, nachdem Sie eine ungewöhnliche Aktivität in seinem Citrix Konto festgestellt haben. Wenn Sie die Aktion anwenden, wird eine E-Mail-Benachrichtigung an den Benutzer gesendet. Der Benutzer muss per E-Mail auf die Legitimität seiner Aktivität antworten.

Voraussetzungen:

Bevor Sie die Aktion Endbenutzer-Antwort anfordern auf Ihre Benutzer anwenden, stellen Sie einen der folgenden Schritte sicher:

  • Die E-Mail-Adressen Ihrer Benutzer sind im Active Directory verfügbar. Und Sie müssen Ihr Active Directory mit Citrix Cloud verbinden.

  • Die E-Mail-Adressen Ihrer Benutzer (Mitarbeiter und Kunden) sind in ihren Content Collaboration-Konten verfügbar. Informationen zum Erstellen und Verwalten von Benutzern in Content Collaboration finden Sie unter Personen-Einstellungen.

Sie können diese Aktion nicht auf anonyme Benutzer anwenden. Diese Benutzer haben weder in Active Directory noch in Content Collaboration E-Mail-Adressen.

Bestimmen Sie, welche Aktion Sie für Ihre Benutzer anwenden möchten:

Anhand der Antwort des Benutzers können Sie die nächste Vorgehensweise festlegen, die Sie ergreifen möchten. Sie können eine globale Aktion wie “Zur Watchlist hinzufügen” oder “Administratoren benachrichtigen” anwenden. Oder Sie können eine datenquellenspezifische Aktion wie Citrix Gateway - Benutzer sperren, Citrix Content Collaboration - Benutzer deaktivieren anwenden.

Wenn Sie eine Antwort erhalten, dass der Benutzer die gemeldete Aktivität ausgeführt hat, ist die Aktivität nicht verdächtig und Sie müssen keine Maßnahmen für das Konto des Benutzers ergreifen. Das tägliche Limit für das Senden von Sicherheitswarnungen an den Benutzer beträgt drei E-Mails.

Betrachten Sie einen Citrix Content Collaboration Benutzer, dessen Risikobewertung 80 in einer Dauer von 80 Minuten überschritten hat. Sie können den Benutzer über dieses ungewöhnliche Verhalten warnen, indem Sie die Aktion Endbenutzerantwort anfordern anwenden. Eine Sicherheitswarnung wird von der E-Mail-ID an den Benutzer gesendet security-analytics@citrix.com.

Die E-Mail enthält die folgenden Informationen:

  • Aktivität des Benutzers, die den Risikoindikator ausgelöst hat

  • Gerät des Benutzers

  • Datum und Uhrzeit der Benutzeraktivität

  • Standorte (Städte und Länder), von denen aus erfolgreich auf Produkte oder Dienstleistungen zugegriffen wird. Wenn die Stadt oder das Land nicht verfügbar ist, wird der entsprechende Wert als “Unbekannt” angezeigt

Die Aktion “ Antwort vom Endbenutzer anfordern “ wird der Risikozeitleiste des Benutzers hinzugefügt.

Wenn der Benutzer die in seinem Citrix Konto erkannte Aktivität nicht erkennt, wendet Citrix Analytics die von Ihnen definierte Aktion an.

Wenn der Benutzer seine Antwort nicht innerhalb einer Stunde nach Erhalt der E-Mail sendet, fügt Citrix Analytics den Benutzer zur Beobachtungsliste hinzu. Sie können den Benutzer und sein Konto auf verdächtige Aktivitäten überwachen und entsprechende Maßnahmen ergreifen.

Antwort des Endbenutzers anfragen

Wie stellt man die Reaktionszeit des Benutzers ein?

Sie können die Reaktionszeit des Benutzers auf Ihre Sicherheitswarnungs-E-Mail konfigurieren. Wenn der Benutzer nicht innerhalb des angegebenen Zeitraums auf die gemeldete Aktivität antwortet, wird der Benutzer zur Überwachung zur Beobachtungsliste hinzugefügt.

Folgen Sie den Schritten, um die Reaktionszeit des Benutzers zu konfigurieren:

  1. Klicken Sie auf Einstellungen > Warnungseinstellungen > E-Mail-Einstellungen für Endbenutzer.

    Navigation mit Zeiteinstellungen

  2. Geben Sie auf der Seite E-Mail-Einstellungen für Endbenutzer die Anzahl der Minuten in dem Textfeld ein.

    Einstellungen für die Zeit

  3. Klicken Sie auf Änderungen speichern.

Sie können der Sicherheitswarnungs-E-Mail auch ein Banner, einen Kopfzeilentext und einen Fußzeilentext hinzufügen, damit sie legitim aussieht, die Aufmerksamkeit der Benutzer auf sich zieht und die Reaktionszeit verlängert wird. Weitere Informationen finden Sie unter E-Mail-Einstellungen für Endbenutzer.

Anpassung des E-Mail-Inhalts von Endbenutzern

Zuvor haben sich Citrix Analytics-Administratoren manuell an Endbenutzer gewandt, um Standardisierungsanweisungen zur Erkennung verdächtiger Aktivitäten bereitzustellen. Dies war ein zeitaufwändiger Prozess zum Schließen eines Vorfalls.

Die Funktion zur Anpassung des E-Mail-Inhalts von Endbenutzern wird für Antworten von Endbenutzern und Informations-E-Mails eingeführt. In der Antwort-E-Mail des Endbenutzers wird eine Validierung/Antwort des Benutzers angefordert. Eine Informations-E-Mail zeigt jedoch die Art der verdächtigen Aktivität und die Art der bereits ergriffenen Korrekturmaßnahmen an.

Mit der Funktion Anpassung des E-Mail-Inhalts von Endbenutzern können Citrix Analytics-Administratoren eine benutzerdefinierte Nachricht in der Textvorlage für Endbenutzer-/Informations-E-Mails hinzufügen. Mithilfe des Rich-Text-Feld-Editors kann ein Administrator den Inhalt pro Richtlinie mithilfe verschiedener Bearbeitungswerkzeuge wie Fett, Kursiv, Hyperlink usw. ändern.

Hinweis:

Die Funktion zum Anpassen von E-Mail-Inhalten für Endbenutzer ist nur für richtlinienbasierte Aktionen und nicht für manuelle Aktionen verfügbar.

Sie können den Inhalt für zwei Arten von E-Mails anpassen:

  • Antwort-E-Mail des Endbenutzers.
  • E-Mail wird gesendet, wenn eine der folgenden Endbenutzeraktionen ausgeführt wird:
    • Aktion “Abmelden” unter Citrix Apps und Desktop
    • Benutzer unter Citrix Gatewayabmelden und sperren

Sie können die Liste der Richtlinien auf der Registerkarte Sicherheit > Richtlinien anzeigen.

Richtlinien ansehen

Sie können den benutzerdefinierten E-Mail-Text anzeigen, indem Sie auf die vorhandene Richtlinie klicken oder eine neue Richtlinie erstellen. Im rechten Bereich erhalten Sie eine Vorschau des aktualisierten E-Mail-Inhalts.

E-Mail-Text anpassen

Hinweis:

Der Administrator kann den Inhalt auf die Standardvorlage festlegen, indem er auf den Link Auf Standard zurücksetzen klickt. Die Zeichenbeschränkung für den benutzerdefinierten Textkörper ist 1000.

Klicken Sie auf Änderungen speichern, um die Richtlinie zu erstellen/zu aktualisieren. Wenn die Richtlinie ausgelöst wird, wird die folgende E-Mail-Benachrichtigung an den Endbenutzer gesendet:

  • Endbenutzer-E-Mail: Eine Richtlinienaktion, die eine E-Mail sendet, in der eine Benutzerantwort angefordert

  • Informations-E-Mail: Eine Informations-E-Mail, die nach einer Aktion des Endbenutzers gesendet wird.

Der Endbenutzer kann die E-Mail lesen und die Korrekturmaßnahmen auf Anfrage des Administrators durchführen.

Hinweis:

Der Administrator mit schreibgeschütztem Zugriff kann den E-Mail-Text nicht bearbeiten/hinzufügen.

Benutzer benachrichtigen, nachdem Sie störende Aktionen angewendet haben

Bei diesem Aktionstyp können Sie eine störende Aktion wie Benutzer abmelden und Benutzer sperren auf das Benutzerkonto anwenden, wenn eine ungewöhnliche Aktivität erkannt wird. Wenn eine Aktion auf das Konto des Benutzers angewendet wird, werden die Dienste für sein Konto möglicherweise unterbrochen. In solchen Fällen muss der Benutzer den Administrator kontaktieren, um wie zuvor auf sein Konto zugreifen zu können.

Betrachten Sie einen Citrix Content Collaboration Benutzer, dessen Risikobewertung 80 in einer Dauer von 80 Minuten überschritten hat. Sie können den Benutzer abmelden. Sobald diese Aufgabe ausgeführt wurde, kann der Benutzer nicht auf sein Konto zugreifen und eine E-Mail-Benachrichtigung wird über die E-Mail-ID an den Benutzer gesendet security-analytics@citrix.com. Die E-Mail enthält Details des Ereignisses wie Aktivität, Gerät, Datum und Uhrzeit sowie die IP-Adresse. Der Benutzer muss sich wie zuvor an den Administrator wenden, um auf sein Konto zuzugreifen.

Wenden Sie störende Maßnahmen an

Wenden Sie eine Aktion manuell an

Stellen Sie sich einen Benutzer vor, Lemuel, der sich zum ersten Mal mit einem neuen Gerät bei einem Netzwerk anmeldet. Um ihr Konto zu überwachen, da ihr Verhalten ungewöhnlich ist, können Sie die Aktion Administrator (n) benachrichtigen verwenden.

Um die Aktion manuell auf den Benutzer anzuwenden, müssen Sie:

Navigieren Sie zum Profil eines Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen die Aktion Administratoren benachrichtigen aus und klicken Sie auf Übernehmen.

Aktionsliste

Eine E-Mail-Benachrichtigung wird an alle oder ausgewählte Administratoren gesendet, um ihr Konto zu überwachen. Die angewendete Aktion wird ihrer Risikozeitachse hinzugefügt, und die Aktionsdetails werden im rechten Fensterbereich der Risikozeitachse angezeigt.

Angewendete Aktion

Hinweise

  • Wenn Sie ein Citrix Cloud-Administrator mit vollen Zugriffsberechtigungen sind, sind die E-Mail-Benachrichtigungen standardmäßig für Ihr Citrix Cloud-Konto deaktiviert. Um E-Mail-Benachrichtigungen zu erhalten, aktivieren Sie sie in Ihrem Citrix Cloud-Konto. Weitere Informationen finden Sie unter Empfangen von Benachrichtigungen per E-Mail.

  • Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (schreibgeschützt und Vollzugriff) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto aktiviert. Um keine E-Mail-Benachrichtigungen von Citrix Analytics mehr zu erhalten, bitten Sie Ihren Citrix Cloud-Administrator mit vollem Zugriff, Ihren Namen aus der Verteilerliste der Benachrichtigungsadministratoren zu entfernen. Weitere Informationen zu finden Sie unter E-Mail-Verteilerliste.

Richtlinien verwalten

Sie können das Richtlinien-Dashboard anzeigen, um alle in Citrix Analytics erstellten Richtlinien zu verwalten, um Inkonsistenzen in Ihrem Netzwerk zu überwachen und zu identifizieren. Im Dashboard Richtlinien können Sie:

  1. Zeigen Sie die Liste der Richtlinien an

  2. Einzelheiten der Richtlinie

    • Name der Richtlinie

    • Status — Aktiviert oder deaktiviert.

    • Dauer der Police — Anzahl der Tage, an denen die Police aktiv oder inaktiv war.

    • Vorkommnisse — Die Häufigkeit, mit der die Policy ausgelöst wird.

    • Geändert — Zeitstempel, nur wenn die Richtlinie geändert wurde.

  3. Löschen Sie die Richtlinie

    • Um eine Richtlinie zu löschen, können Sie die Richtlinie auswählen, die Sie löschen möchten, und auf Löschenklicken.

    • Oder Sie können auf den Namen der Richtlinie klicken, um zur Seite Richtlinie ändern weitergeleitet zu werden. Klicken Sie auf Richtlinie löschen. Bestätigen Sie im Dialog Ihre Anfrage zum Löschen der Richtlinie.

  4. Erstellen einer Richtlinie

  5. Klicken Sie auf den Namen einer Richtlinie, um weitere Details anzuzeigen. Sie können die Richtlinie auch ändern, wenn Sie auf ihren Namen klicken. Andere Änderungen, die vorgenommen werden können, sind wie folgt:

    • Ändern Sie den Namen der Richtlinie.

    • Bedingungen der Richtlinie.

    • Die anzuwendenden Aktionen.

    • Aktivieren oder deaktivieren Sie die Richtlinie.

    • Löschen Sie die Richtlinie.

Hinweis

  • Wenn Sie Ihre Richtlinie nicht löschen möchten, können Sie die Richtlinie deaktivieren.

  • Gehen Sie wie folgt vor, um die Richtlinie im Richtlinien-Dashboard wieder zu aktivieren:

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

Unterstützte Modi

Citrix Analytics unterstützt die folgenden Modi für Richtlinien:

  • Durchsetzungsmodus - In diesem Modus wirken sich die konfigurierten Richtlinien auf Benutzerkonten aus.

  • Überwachungsmodus - In diesem Modus wirken sich die konfigurierten Richtlinien nicht auf Benutzerkonten aus. Sie können Richtlinien auf diesen Modus setzen, wenn Sie Richtlinienkonfigurationen testen möchten.

Verwenden Sie die folgenden Anweisungen, um Modi für Richtlinien zu konfigurieren:

  1. Navigieren Sie zu Sicherheit > Richtlinien.

  2. Wählen Sie auf der Seite Richtlinien das Symbol in der oberen rechten Ecke aus, das neben der Suchleiste angezeigt wird. Das Fenster SELECT MODE wird angezeigt.

  3. Wählen Sie den Modus Ihrer Wahl aus und klicken Sie auf Einstellungen speichern.

Hinweis

Die von Analytics erstellten Standardrichtlinien sind auf den Überwachungsmodus eingestellt. Infolgedessen erben die bestehenden Richtlinien diesen Modus auch. Sie können die Auswirkungen aller Richtlinien gemeinsam beurteilen und dann in den Durchsetzungsmodus ändern.

Politische Modi

Self-Service-Suche für Richtlinien

Auf der Self-Service-Suchseite können Sie die Benutzerereignisse anzeigen, die die in den Richtlinien definierten Bedingungen erfüllt haben. Auf der Seite werden auch die Aktionen angezeigt, die auf diese Benutzerereignisse angewendet wurden. Filtern Sie die Benutzerereignisse basierend auf den angewendeten Aktionen.

Richtlinien und Maßnahmen