Citrix Analytics für Sicherheit

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien

Citrix bietet eine Liste von vorkonfigurierten kundenspezifische Risikoindikatoren und a policy, um Sie bei der Überwachung der Sicherheit Ihrer Citrix Infrastruktur zu unterstützen. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren und der Richtlinie werden gemäß spezifischen Sicherheitsrisikoszenarien wie gefährdeten Benutzern, Insiderbedrohungen und Datenexfiltration definiert. Sie können diese Bedingungen auch entsprechend Ihren Sicherheitsanforderungen ändern und die benutzerdefinierten Risikoindikatoren verwenden, um die Risiken zu minimieren.

Vorkonfigurierte benutzerdefinierte Risikoindikatoren für Geofencing

Die vorkonfigurierten benutzerdefinierten Risikoindikatoren werden ausgelöst, wenn Benutzer von außerhalb ihres üblichen Betriebslandes auf die Citrix Produkte zugreifen. Standardmäßig ist das Betriebsland auf “USA” festgelegt. Sie können Ihr erforderliches Land für Geofencing festlegen.

Standardmäßig befinden sich die vorkonfigurierten benutzerdefinierten Risikoindikatoren im Status “Deaktiviert”. Schalten Sie die Schaltfläche STATUS um, um sie zu aktivieren.

Vorkonfigurierte individuelle Risikoindikatoren

In der folgenden Tabelle werden die verschiedenen vorkonfigurierten benutzerdefinierten Risikoindikatoren beschrieben.

Name des benutzerdefinierten Risikoindikators Szenario Bedingungen für benutzerdefinierte Indikatoren Datenquelle Risiko-Kategorie
CVAD-Sitzung begann außerhalb von Geofence Der Benutzer hat eine virtuelle Sitzung außerhalb seines Betriebslandes gestartet Event-Type = session.logon Land! = “USA” Citrix Workspace-App Kompromittierte Benutzer
GW-Geofence-Kreuzung Der Benutzer hat eine erfolgreiche Authentifizierung von außerhalb seines Betriebslandes Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (lokal) Kompromittierte Benutzer
CCC-Geofence-Überqueren Login eines Nicht-Mitarbeiters von außerhalb des Betriebslandes Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration Kompromittierte Benutzer

Vorkonfigurierte Richtlinie für Geofencing

Citrix bietet eine vorkonfigurierte Richtlinie, die die Aktion Endbenutzer-Antwort anfordern auf ein Benutzerkonto anwendet, wenn der Benutzer eine virtuelle Sitzung von außerhalb seines Betriebslandes startet. Der Benutzer erhält eine E-Mail und basierend auf der Antwort des Benutzers wird eine angemessene Maßnahme ergriffen, z. B. das Hinzufügen des Benutzers zur Beobachtungsliste oder das Benachrichtigen des Administrators über weitere Maßnahmen. Weitere Informationen finden Sie unter Benutzerantwort anfordern.

Vorkonfigurierte Richtlinie

In der folgenden Tabelle wird die vorkonfigurierte Richtlinie beschrieben.

Richtlinienname Szenario Policy-Bedingung Angewandte Aktion
Sitzungsstart außerhalb von Geofence Möglichkeit für einen Administrator, die Legitimität des Benutzers durch die Aktion “Endbenutzer-Antwort anfordern” zu überprüfen, wenn der Benutzer die virtuelle Sitzung außerhalb seines Betriebslandes startet Verwendung mit vorkonfiguriertem benutzerdefinierten Risikoindikator - “CVAD-Sitzung wurde außerhalb von Geofence gestartet” Antwort für Endbenutzer anfordern
      Basierend auf der Antwort des folgenden Benutzers wird die entsprechende Aktion angewendet:
      Wenn der Benutzer die Aktivität nicht erkennt: Zur Watchlist hinzufügen
      Wenn der Benutzer die Aktivität erkennt: Keine Aktion erforderlich
      Wenn der Benutzer nicht innerhalb von 60 Minuten nach Erhalt der E-Mail antwortet: Fügen Sie den Benutzer zur Beobachtungslistehinzu

Hinweis

Die Aktion “ Antwort vom Endbenutzer anfordern “ wird nur in der Region “USA” unterstützt. Wenn Ihre Organisation also in Citrix Cloud an die Region der Europäischen Union weitergeleitet wird, wird die vorkonfigurierte Richtlinie nicht auf Ihr Konto angewendet. Um die vorkonfigurierte Richtlinie zu verwenden, ändern Sie die Richtlinie und wählen Sie eine andere Aktion Ihrer Wahl aus.

Erstellen Sie Ihre eigene Richtlinie mit vorkonfigurierten benutzerdefinierten Risikoindikatoren

Sie können auch Ihre eigenen Richtlinien mit diesen vorkonfigurierten benutzerdefinierten Risikoindikatoren erstellen und Aktionen wie Sperren von Benutzern oder Abmelden von Benutzern anwenden, wenn die Indikatoren ausgelöst werden. Informationen zum Erstellen von Richtlinien finden Sie unter Konfigurieren von Richtlinien und Aktionen.

Das folgende Beispiel zeigt eine Richtlinie, die Benutzer sperrt, die versuchen, von außerhalb der USA auf die Citrix Dienste zuzugreifen. Der Benutzerzugriff ist gesperrt, wenn der Benutzer seine Zugriffsaktivitäten nicht erkennt.

Zustand: GW-Geofence crossing

Aktion: Antwort des Endbenutzers anfordern

Nächste Aktion: Sperren Sie den Benutzer, wenn der Benutzer die Aktivität nicht erkennt

Beispiel Geofencing

Hinweis

Die Aktion “ Antwort vom Endbenutzer anfordern “ wird nur in der Region “USA” unterstützt. Wenn Ihre Organisation also in die Region der Europäischen Union eingebunden ist, wählen Sie anstelle der Aktion “ Endbenutzer-Antwort anfordern “ eine andere Aktion Ihrer Wahl aus.

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien