Citrix Analytics für Sicherheit

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien

Citrix Analytics for Security bietet eine Liste der vorkonfigurierten kundenspezifische Risikoindikatoren und eine policy, mit der Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren und der Richtlinie sind bereits nach bestimmten Sicherheitsrisikoszenarien wie kompromittierten Benutzern, Insiderbedrohungen und Datenexfiltration definiert. Sie können diese vorkonfigurierten Bedingungen auch ändern oder Ihre eigenen Bedingungen entsprechend Ihren Sicherheitsanforderungen hinzufügen und die benutzerdefinierten Risikoindikatoren verwenden, um die Risiken zu mindern.

Derzeit sind die vorkonfigurierten benutzerdefinierten Risikoindikatoren für die folgenden Szenarien verfügbar:

  • Geofencing

  • Zum ersten Mal Zugriff

Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das Geofencing-Szenario

Verwenden Sie die folgenden vorkonfigurierten benutzerdefinierten Risikoindikatoren, um die Benutzerereignisse für das Geofencing-Szenario zu erkennen. Diese vorkonfigurierten benutzerdefinierten Risikoindikatoren werden ausgelöst, wenn Benutzer von außerhalb ihres üblichen Betriebslandes auf die Citrix Produkte zugreifen. Standardmäßig ist das Betriebsland auf “USA” festgelegt. Sie können Ihr erforderliches Land für Geofencing festlegen.

  • CVAD-Sitzung begann außerhalb von Geofence

  • GW-Geofence-Kreuzung

  • CCC-Geofence-Überqueren

Standardmäßig befinden sich die vorkonfigurierten benutzerdefinierten Risikoindikatoren im Status “Deaktiviert”. Verwenden Sie die Schaltfläche STATUS, um sie zu aktivieren.

Vorkonfigurierte individuelle Risikoindikatoren

In der folgenden Tabelle werden die verschiedenen vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing beschrieben.

Name des benutzerdefinierten Risikoindikators Szenario Bedingungen für benutzerdefinierte Indikatoren Datenquelle Risiko-Kategorie
CVAD-Sitzung begann außerhalb von Geofence Der Benutzer hat eine virtuelle Sitzung außerhalb seines Betriebslandes gestartet Event-Type = session.logon Land! = “USA” Citrix Workspace-App Kompromittierte Benutzer
GW-Geofence-Kreuzung Der Benutzer hat eine erfolgreiche Authentifizierung von außerhalb seines Betriebslandes Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (lokal) Kompromittierte Benutzer
CCC-Geofence-Überqueren Login eines Nicht-Mitarbeiters von außerhalb des Betriebslandes Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration Kompromittierte Benutzer

Vorkonfigurierte Richtlinie für das Geofencing-Szenario

Citrix bietet eine vorkonfigurierte Richtlinie, die die Aktion Endbenutzer-Antwort anfordern auf ein Benutzerkonto anwendet, wenn der Benutzer eine virtuelle Sitzung von außerhalb seines Betriebslandes startet. Der Benutzer erhält eine E-Mail und basierend auf der Antwort des Benutzers wird eine angemessene Maßnahme ergriffen, z. B. das Hinzufügen des Benutzers zur Beobachtungsliste oder das Benachrichtigen des Administrators über weitere Maßnahmen. Weitere Informationen finden Sie unter Benutzerantwort anfordern.

Vorkonfigurierte Richtlinie

In der folgenden Tabelle wird die vorkonfigurierte Richtlinie für Geofencing beschrieben.

Richtlinienname Szenario Policy-Bedingung Angewandte Aktion
Sitzungsstart außerhalb von Geofence Möglichkeit für einen Administrator, die Legitimität des Benutzers durch die Aktion “Endbenutzer-Antwort anfordern” zu überprüfen, wenn der Benutzer die virtuelle Sitzung außerhalb seines Betriebslandes startet Verwendung mit vorkonfiguriertem benutzerdefinierten Risikoindikator - “CVAD-Sitzung wurde außerhalb von Geofence gestartet” Antwort für Endbenutzer anfordern
      Basierend auf der Antwort des folgenden Benutzers wird die entsprechende Aktion angewendet:
      Wenn der Benutzer die Aktivität nicht erkennt: Zur Watchlist hinzufügen
      Wenn der Benutzer die Aktivität erkennt: Keine Aktion erforderlich
      Wenn der Benutzer nicht innerhalb von 60 Minuten nach Erhalt der E-Mail antwortet: Fügen Sie den Benutzer zur Beobachtungslistehinzu

Hinweis

Die Aktion “ Antwort vom Endbenutzer anfordern “ wird nur in der Region “USA” unterstützt. Wenn Ihre Organisation also in Citrix Cloud an die Region der Europäischen Union weitergeleitet wird, wird die vorkonfigurierte Richtlinie nicht auf Ihr Konto angewendet. Um die vorkonfigurierte Richtlinie zu verwenden, ändern Sie die Richtlinie und wählen Sie eine andere Aktion Ihrer Wahl aus.

Erstellen Sie Ihre eigene Richtlinie mit vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing

Sie können auch Ihre eigenen Richtlinien mit diesen vorkonfigurierten benutzerdefinierten Risikoindikatoren erstellen und Aktionen wie Sperren von Benutzern oder Abmelden von Benutzern anwenden, wenn die Indikatoren ausgelöst werden. Informationen zum Erstellen von Richtlinien finden Sie unter Konfigurieren von Richtlinien und Aktionen.

Das folgende Beispiel zeigt eine Richtlinie, die Benutzer sperrt, die versuchen, von außerhalb der USA auf die Citrix Dienste zuzugreifen. Der Benutzerzugriff ist gesperrt, wenn der Benutzer seine Zugriffsaktivitäten nicht erkennt.

Zustand: GW-Geofence crossing

Aktion: Antwort des Endbenutzers anfordern

Nächste Aktion: Sperren Sie den Benutzer, wenn der Benutzer die Aktivität nicht erkennt

Beispiel Geofencing

Hinweis

Die Aktion “ Antwort vom Endbenutzer anfordern “ wird nur in der Region “USA” unterstützt. Wenn Ihre Organisation also in die Region der Europäischen Union eingebunden ist, wählen Sie anstelle der Aktion “ Endbenutzer-Antwort anfordern “ eine andere Aktion Ihrer Wahl aus.

Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das erste Zugriffsszenario

Verwenden Sie die folgenden benutzerdefinierten Risikoindikatoren, um die Benutzerereignisse beim ersten Zugriffsszenarien zu erkennen:

  • CVAD- Erstzugriff von neuem Gerät aus

  • Gateway-Erstzugriff von neuer IP

Standardmäßig befinden sich diese vorkonfigurierten benutzerdefinierten Risikoindikatoren im Status “Aktiviert”. Verwenden Sie die Schaltfläche STATUS, wenn Sie sie deaktivieren möchten.

Liste der ersten Zugriffs-Ci

In der folgenden Tabelle werden die vorkonfigurierten benutzerdefinierten Risikoindikatoren für den ersten Zugriff beschrieben.

Name des benutzerdefinierten Indikators Szenario Vorkonfigurierte Bedingungen Datenquelle Risiko-Kategorie
CVAD- Erstzugriff von neuem Gerät aus Wenn sich ein Benutzer der Citrix Workspace-App von einer der folgenden Optionen anmeldet: Die folgenden Bedingungen sind standardmäßig aktiviert: Citrix Virtual Apps and Desktops Kompromittierte Benutzer
  Ein neues Gerät Das erste Mal für eine neue Geräte-ID.    
  Ein vorhandenes Gerät, das seit 90 Tagen nicht benutzt wurde. Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
Gateway-Erstzugriff von neuer IP Wenn sich ein Citrix Gateway Gateway-Benutzer erfolgreich von einer der folgenden Optionen anmeldet: Die folgenden Bedingungen sind standardmäßig aktiviert: Citrix Gateway Kompromittierte Benutzer
  Eine neue öffentliche IP-Adresse Das erste Mal für eine neue Client-IP    
  Eine vorhandene öffentliche IP-Adresse, die in den letzten 90 Tagen nicht verwendet wurde. Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

In der Bedingungsleiste können Sie zusätzlich zu den vorkonfigurierten Bedingungen auch Ihre eigenen Bedingungen hinzufügen, um Bedrohungen gemäß Ihren Anforderungen zu identifizieren.

Wenn Sie beispielsweise die Benutzerereignisse aus einem bestimmten Land identifizieren möchten, können Sie die Länderdimension zusammen mit der vorkonfigurierten Bedingung hinzufügen:

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien