Citrix Content Collaboration-Risikoindikatoren

Übermäßiger Zugriff auf vertrauliche Dateien

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateizugriffsaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird ausgelöst, wenn das Verhalten eines Benutzers hinsichtlich des Zugriffs auf sensible Dateien übermäßig ist. Diese ungewöhnliche Aktivität kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Der mit dem Risikoindikator für übermäßigen Zugriff auf sensible Dateien verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der übermäßige Zugriff auf vertrauliche Dateien Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer auf eine ungewöhnliche Menge an Daten zugegriffen hat, die während eines bestimmten Zeitraums als sensibel eingestuft wurden. Diese Warnung wird ausgelöst, wenn ein Benutzer auf sensible Daten zugreift, die durch eine Lösung zur Verhinderung von Datenverlust (DLP) oder Cloud Access Security Broker (CASB) identifiziert wurden. Wenn Content Collaboration dieses übermäßige Verhalten erkennt, empfängt Citrix Analytics die Ereignisse und erhöht die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den übermäßigen Zugriff auf sensible Dateien Risikoindikator?

Man denke, der Benutzer Adam Maxwell hatte Zugriff auf 10 sensible Dateien, die er innerhalb von 15 Minuten auf sein lokales System heruntergeladen hatte. Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird ausgelöst, weil er einen Schwellenwert überschreitet. Der Schwellenwert wird basierend auf der Anzahl der sensiblen Dateien berechnet, die in einem bestimmten Zeitfenster heruntergeladen werden, wobei Kontextinformationen wie den Download-Mechanismus berücksichtigt werden.

Aus Adam Maxwells Timeline können Sie den gemeldeten Risikoindikator für übermäßigen Zugriff auf sensible Dateien auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Download-Zeit angezeigt.

Um den Risikoindikator für übermäßigen Zugriff auf vertrauliche Dateien anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des Risikoindikators für übermäßigen Zugriff auf sensible Dateien anzeigen. Sie können die Anzahl der vertraulichen Dateien anzeigen, die von Citrix Analytics als übermäßig eingestuft wurden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

  

• Im Abschnitt EVENT DETAILS – SENSITIVE DATA DOWNLOAD werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Zeit heruntergeladen. Zeitpunkt, zu dem die Datei heruntergeladen wurde.

  • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

  • Größe der Datei. Die Größe der heruntergeladenen Datei.

  

• Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Auftretens des Ereignisses Folgendes anzeigen:

  • Gesamtzahl der heruntergeladenen vertraulichen Dateien.

  • Gesamtgröße der vom Benutzer heruntergeladenen Dateien.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateifreigabe

Citrix Analytics erkennt Datenbedrohungen aufgrund übermäßiger Dateifreigabeaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Indikator für übermäßige Dateifreigabe wird ausgelöst, wenn es eine Abweichung vom typischen Filesharing-Verhalten des Benutzers gibt. Jede Abweichung von einem regulären Filesharing-Verhalten wird als ungewöhnlich angesehen und das Benutzerkonto wird auf diese verdächtige Aktivität untersucht.

Der Risikofaktor, der mit dem Risikoindikator für übermäßige Filesharing verbunden ist, sind die Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Indikator für übermäßige Dateifreigabe ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation unter normalem Verhalten häufiger als erwartet Dateien freigegeben hat. Indem Sie auf die Benachrichtigung über einen Benutzer antworten, der übermäßig Dateien freigegeben hat, können Sie eine Datenexfiltration verhindern.

Citrix Analytics empfängt Freigabeereignisse von Content Collaboration, analysiert sie und erhöht die Risikobewertung eines Benutzers, der ein übermäßiges Freigabeverhalten aufweist. Der Risikoindikator für übermäßige Dateifreigabe wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Dateifreigabe?

Betrachten Sie den Benutzer Adam Maxwell, der innerhalb eines Tages sechsmal Dateien geteilt hat. Durch diese Aktion hat Adam Maxwell Dateien öfter geteilt, als er normalerweise basierend auf maschinellem Lernen Algorithmen tut.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßige Dateifreigabe auswählen. Der Grund für das Ereignis wird zusammen mit Details wie dem freigegebenen Link “Content Collaboration”, dem Zeitpunkt der Freigabe der Datei und mehr angezeigt.

Um den Risikoindikator für übermäßige Dateifreigabe anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des übermäßigen Filesharing-Ereignisses anzeigen. Sie können die Anzahl der an Empfänger gesendeten Freigabelinks und den Zeitpunkt der Freigabe anzeigen.

  

• Im Abschnitt EVENT-DETAILS — EXCESSIVE FILES SHARED wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Zeit geteilt. Die Zeit, zu der die Datei geteilt wurde.

  • ID teilen. Der Link Content Collaboration, über den die Datei geteilt wurde.

  • Betrieb. Der Vorgang, den der Benutzer mit Content Collaboration durchführte.

  • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

  • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei freigegeben wurde.

    

• Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtzahl der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses freigegeben hat.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

• Wenn der Benutzer deaktiviert ist, kann er sich nicht bei Content Collaboration anmelden. Sie sehen auf der Anmeldeseite eine Benachrichtigung, in der sie aufgefordert werden, sich an ihren Content Collaboration Account-Administrator zu wenden, um weitere Informationen zu erhalten.

• Wenn ein Freigabelink deaktiviert ist, ist der Freigabelink für keinen Benutzer oder Empfänger zugänglich. Wenn der Benutzer erneut versucht, auf den Freigabelink zuzugreifen, zeigt die Seite dem Empfänger eine Meldung an, dass der Link nicht mehr verfügbar ist.

• Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateiuploads

Citrix Analytics erkennt Datenbedrohungen basierend auf einer übermäßigen Dateiupload-Aktivität und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßiges Hochladen von Dateien hilft Ihnen dabei, ungewöhnliche Datei-Upload-Aktivitäten Jeder Benutzer hat ein Datei-Upload-Muster, dem er folgt, das Attribute enthält wie:

• Zeitpunkt, zu dem die Dateien hochgeladen wurden

• Art der hochgeladenen Dateien

• Datei-Upload-Volumen

• Dateiupload-Quelle

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator für übermäßige Datei-Uploads aus.

Der mit dem Risikoindikator für übermäßige Dateiuploads verbundene Risikofaktor sind die anderen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Datei-Uploads ausgelöst?

Übermäßige Dateiuploads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder eine Insider-Bedrohung hinweist, der versucht, bösartige oder verschlüsselte Inhalte hochzuladen. Wenn das Hochladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn das Volumen der hochgeladenen Daten das normale Upload-Verhalten des Benutzers basierend auf Algorithmen für maschinelles Lernen übersteigt.

Wenn Citrix Analytics ein übermäßiges Upload-Verhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Datei-Uploads wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Uploads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten hochgeladen hat. Durch diese Aktion übertraf Lemuel sein normales Upload-Verhalten basierend auf Algorithmen für maschinelles Lernen.

In der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Datei-Uploads auswählen. Der Grund für die Warnung wird zusammen mit Details des Ereignisses wie Dateiname, Upload-Zeit, Tool-Name und Quelle angezeigt.

Um den Risikoindikator für übermäßige Dateiuploads anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des Ereignisses übermäßiger Dateiuploads anzeigen. Sie können die Menge der vom Benutzer hochgeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

• Im Abschnitt EVENT-DETAILS — EXCESSIVE FILES UPLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Zeit hochgeladen. Zeitpunkt, zu dem die Datei hochgeladen wurde.

  • Dateiname. Der Name und die Erweiterung der hochgeladenen Datei.

  • Werkzeugname. Das Tool oder die Anwendung, mit der die Datei hochgeladen wurde.

  • Quelle. Repository (Citrix Files, OneDrive usw.), in das die Datei hochgeladen wurde.

  

• Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtgröße der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses hochgeladen hat.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateidownloads

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateidownloadaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Dateidownloads hilft Ihnen, ungewöhnliche Aktivitäten zum Herunterladen von Dateien zu identifizieren Jeder Benutzer hat ein Datei-Download-Muster, dem er folgt, das Attribute enthält wie:

• Zeit, zu der die Dateien heruntergeladen wurden.

• Art der heruntergeladenen Dateien.

• Datei-Download-Volume usw.

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator für übermäßige Dateidownloads aus.

Der mit dem Risikoindikator für übermäßige Dateidownloads verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Dateidownloads ausgelöst?

Übermäßige Dateidownloads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder einen Insider hinweist, der möglicherweise versucht, Daten zu exfiltrieren. Wenn das Herunterladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn das Volumen der heruntergeladenen Daten das normale Download-Verhalten des Benutzers auf Basis von Algorithmen für maschinelles Lernen übersteigt.

Wenn Citrix Analytics ein übermäßiges Downloadverhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Dateidownloads wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Downloads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten auf sein lokales System heruntergeladen hat. Durch diese Aktion übertraf Lemuel sein normales Download-Verhalten basierend auf Algorithmen für maschinelles Lernen.

In der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateidownloads auswählen. Der Grund für den übermäßigen Dateidownload wird zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Downloadzeit angezeigt.

Um den Risikoindikator für übermäßige Dateidownloads anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des Ereignisses zum übermäßigen Dateidownload anzeigen. Sie können die Menge der vom Benutzer heruntergeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

• Im Abschnitt EVENT DETAILS – EXCESSIVE FILES DOWNLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Zeit heruntergeladen. Zeitpunkt, zu dem die Datei heruntergeladen wurde.

  • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

  • Quelle. Repository (Citrix Files, OneDrive usw.), von dem die Datei heruntergeladen wurde.

  • Größe der Datei. Die Größe der heruntergeladenen Datei.

    

• Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die gesamte Downloadgröße der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses heruntergeladen hat.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßiges Löschen von Dateien oder Ordnern

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Datei- oder Ordnerlöschaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird ausgelöst, wenn das Verhalten eines Benutzers beim Löschen von Ordnerdateien übermäßig ist. Diese Anomalie kann auf ein Problem mit dem Konto des Benutzers hinweisen, z. B. auf einen Angriff auf sein Konto.

Der mit dem Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Datei- oder Ordnerlöschung ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation innerhalb eines bestimmten Zeitraums eine übermäßige Anzahl von Dateien oder Ordnern gelöscht hat. Diese Warnung wird ausgelöst, wenn ein Benutzer eine übermäßige Anzahl von Dateien oder Ordnern außerhalb seines normalen Löschverhaltens basierend auf Machine-Learning-Algorithmen löscht.

Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung für den jeweiligen Benutzer. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Datei- oder Ordnerlöschung?

Betrachten Sie den Benutzer Lemuel, der im Laufe eines Tages viele Dateien oder Ordner gelöscht hat. Durch diese Aktion übertraf Lemuel sein normales Löschverhalten basierend auf Algorithmen für maschinelles Lernen.

In Lemuel Kildows Timeline können Sie den gemeldeten Risikoindikator für das Löschen von übermäßigen Dateien oder Ordnern auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit den Details des Ereignisses angezeigt, wie z. B. Art des Löschens (Datei oder Ordner), Uhrzeit des Löschens usw.

Um den Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des Ereignisses zum Löschen von Dateien oder Ordnern anzeigen. Sie können die Anzahl der gelöschten Dateien und Ordner sowie den Zeitpunkt des Ereignisses anzeigen.

  

• Im Abschnitt EVENT DETAILS – EXCESSIVE DELETED ITEMS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Zeit gelöscht. Zeitpunkt, zu dem die Datei oder der Ordner gelöscht wurde.

  • Geben Sie ein. Elementtyp, der gelöscht wurde — Datei oder ein Ordner.

  • Name. Name der Datei oder des Ordners, der gelöscht wurde.

  • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei gelöscht wurde.

    

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Unmögliche Reisen

Citrix Analytics erkennt die Anmeldungen eines Benutzers als riskant, wenn die aufeinanderfolgenden Anmeldungen aus zwei verschiedenen Ländern innerhalb eines Zeitraums erfolgen, der unter der erwarteten Reisezeit zwischen den Ländern liegt.

Das Szenario der unmöglichen Reisezeit weist auf folgende Risiken hin:

• Kompromittierte Anmeldeinformationen: Ein Remote-Angreifer stiehlt die Anmeldeinformationen eines legitimen Benutzers.
• Gemeinsame Anmeldeinformationen: Verschiedene Benutzer verwenden dieselben Benutzeranmeldeinformationen.

Wann wird der Indikator Unmögliches Reiserisiko ausgelöst?

Der Indikator für unmögliches Reiserisiko wertet die Zeit und die geschätzte Entfernung zwischen jedem Paar aufeinanderfolgender Benutzeranmeldungen aus und löst aus, wenn die Entfernung größer ist, als eine einzelne Person in dieser Zeit möglicherweise zurücklegen kann.

Hinweis:

Dieser Risikoindikator enthält auch eine Logik zur Reduzierung von Fehlalarmen für die folgenden Szenarien, die nicht die tatsächlichen Standorte der Benutzer widerspiegeln:

• Wenn sich Benutzer über Proxy-Verbindungen bei Content Collaboration anmelden.
• Wenn sich Benutzer von gehosteten Clients bei Content Collaboration anmelden.

So analysieren Sie den Indikator für unmögliches Risiko

Stellen Sie sich den Benutzer Adam Maxwell vor, der sich innerhalb einer Minute von zwei Standorten aus anmeldet - Bengaluru, Indien und Oslo, Norwegen. Citrix Analytics erkennt dieses Anmeldeereignis als unmögliches Reiseszenario und löst den Indikator Unmögliche Reise aus. Der Risikoindikator wird dem Risikozeitplan von Adam Maxwell hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um die Risikozeitleiste von Adam Maxwell anzuzeigen, wählen Sie Sicherheit > Benutzeraus. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in Adam Maxwells Risiko-Timeline den Indikator Unmögliches Reiserisiko aus. Sie können die folgenden Informationen anzeigen:

• Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung des unmöglichen Reiseereignisses.

  

• Der Abschnitt INDICATOR DETAILS enthält die Standorte, von denen aus sich der Benutzer angemeldet hat, die Zeitdauer zwischen den aufeinanderfolgenden Anmeldungen und die Entfernung zwischen den beiden Standorten.

  

• Im Abschnitt LOGON LOCATION- LAST 30 DAYS wird eine geografische Kartenansicht der unmöglichen Reiseorte und der bekannten Standorte des Benutzers angezeigt. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

  

• Der Abschnitt IMPOSSIBLE TRAVEL — EVENT DETAILS enthält die folgenden Informationen über das unmögliche Reiseereignis:

  • Zeit: Gibt das Datum und die Uhrzeit der Anmeldungen an.
  • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.
  • Standort: Gibt den Ort an, von dem aus sich der Benutzer angemeldet hat.
  • Gerätebetriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.

  

Welche Aktionen können Sie auf die Benutzer anwenden?

Sie können die folgenden Aktionen für das Konto des Benutzers ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.
• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Konto des Benutzers wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.
• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder entziehen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.
• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.
• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Benutzerprofil und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Malware-Dateien wurden erkannt

Citrix Analytics erkennt Datenbedrohungen basierend auf den infizierten Dateien, die in Content Collaboration hochgeladen wurden, und löst den Risikoindikator aus.

Der Indikator bietet Einblick in die Details der schädlichen Datei wie den Eigentümer der Datei, den Virusnamen und den Speicherort der Datei. Sie können die Art der Bedrohung und das Verhalten des Benutzers analysieren und dementsprechend rechtzeitig Maßnahmen ergreifen, um Datenexfiltration oder Ransomware-Angriffe in Ihrem Unternehmen zu verhindern.

Der mit dem Risikoindikator für erkannte Malware-Dateien verbundene Risikofaktor ist der dateibasierte Risikoindikator. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für erkannte Malware-Dateien ausgelöst?

Der Risikoindikator für erkannte Malware-Dateien wird ausgelöst, wenn ein Benutzer von Content Collaboration eine Datei hochlädt, die mit einer Malware wie Trojanern, Viren oder anderen bösartigen Bedrohungen infiziert ist.

Wenn Content Collaboration eine schädliche Datei erkennt, sendet es das Ereignis an Citrix Analytics for Security. Dieses Ereignis löst den Risikoindikator aus und erhöht die Risikobewertung des Benutzers in Citrix Analytics for Security. Der Risikoindikator für erkannte Malware-Dateien wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für erkannte Malware-Dateien?

Denken Sie daran, dass der Benutzer Kevin Smith eine infizierte Datei auf sein Content Collaboration Konto hochlädt. Citrix Analytics löst den Risikoindikator für erkannte Malware-Dateien aus und zeigt ihn auf der Zeitleiste von Kevin an.

Wählen Sie in Kevins Zeitplan den Risikoindikator und den Zeitraum aus, um die folgenden Details anzuzeigen:

• Der Abschnitt WHAT HAPPENED : Zusammenfassung der Benutzerereignisse und Zeitpunkt der Erkennung.

  

• Der Abschnitt INDICATOR DETAILS : Details der infizierten Datei wie der Virusname, der Datei-Hash-Wert und der Pfad der infizierten Datei im Content Collaboration-Konto des Benutzers.

  

• Der Abschnitt “ RELATED RISK “: Zusätzliche Informationen zur Malware-Datei:

  • Anzahl der eindeutigen Benutzer mit der infizierten Datei mit demselben Datei-Hash-Wert. Klicken Sie auf die Anzahl der Benutzer, um deren Details anzuzeigen.

  • Gesamtes Vorkommen des Risikoindikators, der mit Ihren Benutzern verknüpft ist. Klicken Sie auf die Anzahl der Exemplare, um die Details anzuzeigen.

  

• Der Abschnitt MALWARE CONTENT UPLOADED- EVENT DETAILS : Details zu den Ereignissen, die den Risikoindikator ausgelöst haben.

  • Datum und Uhrzeit: Zeigt das Datum und die Uhrzeit des Ereignisses an.

  • Dateiname: Zeigt den Namen der infizierten Datei an.

  • Virenname: Zeigt den Namen des Virus an, der die Datei infiziert hat.

  • Ordner: Zeigt den Namen des Ordners an, in dem die Datei im Content Collaboration Account des Benutzers gespeichert ist.

  • Datei-Hash: Zeigt den Hash-Wert der infizierten Datei an.

  Klicken Sie auf den Link Ereignissuche, um alle Ereignisse im Zusammenhang mit diesem Risikoindikator für den Benutzer Kevin Smith anzuzeigen.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Entfernen der Zugriffsberechtigung für Ordner. Sie können die Zugriffsberechtigung des Benutzers sperren, der die infizierte Datei hochlädt. Der Benutzer kann nicht auf den Ordner zugreifen, in den die infizierte Datei hochgeladen wurde.

• Entfernen Sie die Upload-Berechtigung für Ordner. Sie können die Upload-Berechtigung des Benutzers blockieren, der die infizierte Datei hochlädt. Der Benutzer kann keine Datei in den Ordner hochladen, in den die infizierte Datei hochgeladen wurde.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ransomware-Aktivität verdächtigt

Citrix Analytics erkennt Datenbedrohungen basierend auf einer Ransomware-Aktivität und löst den entsprechenden Risikoindikator aus.

Ransomware ist eine Malware, die Benutzer daran hindert, auf ihre Dateien zuzugreifen, indem sie die Dateien entweder durch eine verschlüsselte Version ersetzt oder aktualisiert. Durch die Identifizierung von Ransomware-Angriffen über Dateien, die von Benutzern innerhalb einer Organisation gemeinsam genutzt werden, können Sie sicherstellen, dass die Produktivität nicht beeinträchtigt wird.

Der mit dem vermuteten Risikoindikator der Ransomware-Aktivität verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Ransomware-Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrem Konto versucht, eine übermäßige Anzahl von Dateien durch ähnliche Namen und verschiedene Erweiterungen zu löschen und zu ersetzen. Sie werden auch benachrichtigt, wenn ein Benutzer eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen aktualisiert. Diese Aktivität zeigt an, dass das Benutzerkonto kompromittiert wurde und ein möglicher Ransomware-Angriff stattgefunden hat. Wenn Citrix Analytics dieses Verhalten erkennt, erhöht es die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für Ransomware-Aktivitäten wird zur Risikozeitleiste des Benutzers hinzugefügt.

Der Indikator Ransomware-Aktivität Verdacht kann zwei Arten haben. Sie sind:

• Verdacht auf Ransomware-Aktivität (Dateien ersetzt) weist auf einen Versuch hin, die vorhandenen Dateien zu löschen und durch eine neue Version der Dateien zu ersetzen, die einem Ransomware-Angriff ähneln. Die Angriffsmuster können zu mehr Uploads führen als die Anzahl der gelöschten Dateien. Beispielsweise kann eine Lösegeldforderung zusammen mit den anderen Dateien hochgeladen werden.

• Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) weist auf einen Versuch hin, die vorhandenen Dateien mit einer modifizierten Version der Dateien zu aktualisieren, die einem Ransomware-Angriff ähnelt.

Wie analysiert man den Ransomware-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der versucht, viele Dateien mit modifizierten Versionen innerhalb von 15 Minuten zu aktualisieren. Durch diese Aktion hat Adam Maxwell ungewöhnliches und verdächtiges Verhalten ausgelöst, basierend auf dem, was die maschinellen Lernalgorithmen für diesen bestimmten Benutzer als normal erachten.

Aus Adam Maxwells Timeline können Sie den gemeldeten Risikoindikator für Ransomware-Aktivität Verdacht (Dateien aktualisiert) auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie dem Namen der Datei und dem Speicherort der Datei angezeigt.

Um den Risikoindikator für verdächtigte Ransomware-Aktivitäten (Dateien aktualisiert) anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus. Wählen Sie aus der Risikozeitleiste des Benutzers den Risikoindikator für den Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) aus, der für den Benutzer ausgelöst wird.

• Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des vermuteten Ereignisses der Ransomware-Aktivität anzeigen. Sie können die Anzahl der Dateien, die auf verdächtige Weise aktualisiert wurden, und den Zeitpunkt des Ereignisses anzeigen.

  

• Im Abschnitt EVENT DETAILS — FILE OPERATIONS wird das Ereignis in grafischem und tabellarischem Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

  • Time. Die Uhrzeit, zu der die Datei aktualisiert wurde.

  • Dateiname. Der Name der Datei.

  • Pfad. Der Pfad, in dem sich die Datei befindet.

    

Ebenso können Sie den Risikoindikator für die gemeldete Ransomware-Aktivität (Ersetzte Dateien) auswählen. Sie können die Details dieses Ereignisses anzeigen, wie:

• Der Grund, warum der Risikoindikator ausgelöst wird.

• Die Anzahl der Dateien, die gelöscht und durch eine neue Version ersetzt wurden.

  

• Die Zeit, zu der das Ereignis (Dateien werden ersetzt) aufgetreten ist.

• Der Name der Dateien.

• Der Speicherort der Dateien.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Verdächtige Anmeldung

Hinweise

• Dieser Risikoindikator ersetzt den Risikoindikator für den Zugriff von einem ungewöhnlichen Standort aus.

• Alle Richtlinien, die auf dem Risikoindikator Zugriff von einem ungewöhnlichen Ort aus basieren, werden automatisch mit dem Risikoindikator für verdächtige Anmeldung verknüpft.

Citrix Analytics erkennt die Anmeldungen des Benutzers, die ungewöhnlich oder riskant erscheinen, basierend auf mehreren Kontextfaktoren, die gemeinsam durch das Gerät, den Standort und das Netzwerk definiert werden, die vom Benutzer verwendet werden.

Wann wird der Risikoindikator für verdächtige Anmeldung ausgelöst?

Der Risikoindikator wird durch die Kombination der folgenden Faktoren ausgelöst, wobei jeder Faktor aufgrund einer oder mehrerer Bedingungen als potenziell verdächtig angesehen wird.

Faktor	Bedingungen
Ungewöhnliches Gerät	Der Benutzer meldet sich von einem Gerät mit einer Signatur an, die sich von den in den letzten 30 Tagen verwendeten Geräten unterscheidet. Die Gerätesignatur basiert auf dem Betriebssystem des Geräts und dem verwendeten Client-Tool (Anwendung).
Ungewöhnlicher Ort	Melden Sie sich von einer Stadt oder einem Land aus an, in dem sich der Benutzer in den letzten 30 Tagen nicht angemeldet hat.
	Die Stadt oder das Land ist geografisch weit von den letzten (letzten 30 Tagen) Anmeldeorten entfernt.
	Null oder mindestens Benutzer haben sich in den letzten 30 Tagen von der Stadt oder dem Land aus angemeldet.
Ungewöhnliches Netzwerk	Melden Sie sich von einer IP-Adresse aus an, die der Benutzer in den letzten 30 Tagen nicht verwendet hat.
	Melden Sie sich von einem IP-Subnetz aus an, das der Benutzer in den letzten 30 Tagen nicht verwendet hat.
	Null oder mindestens Benutzer haben sich in den letzten 30 Tagen vom IP-Subnetz aus angemeldet.
IP-Bedrohung	Die IP-Adresse wird vom Community Threat Intelligence Feed Webroot als hohes Risiko identifiziert.
	Citrix Analytics hat kürzlich sehr verdächtige Anmeldeaktivitäten anhand der IP-Adresse anderer Benutzer erkannt.

So analysieren Sie den Risikoindikator für verdächtige Anmeldung

Man denke an den Benutzer Adam Maxwell, der sich zum ersten Mal aus North Charleston, USA, anmeldet. Er verwendet ein Gerät mit einer unbekannten Signatur, um auf den Content Collaboration Service zuzugreifen. Außerdem stellt er eine Verbindung über ein Netzwerk her, das er in den letzten 30 Tagen nicht genutzt hat.

Citrix Analytics erkennt dieses Anmeldeereignis als verdächtig, da die Faktoren Standort, Gerät und Netzwerk von seinem üblichen Verhalten abweichen und den Indikator für verdächtiges Anmelderisiko auslösen . Der Risikoindikator wird zu Adam Maxwells Risikozeitplan hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um Adam Maxwells Risikozeit anzuzeigen, wählen Sie Sicherheit > Benutzer. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in der Risikozeitleiste von Adam Maxwell den Risikoindikator für verdächtige Anmeldung aus. Sie sehen die folgenden Informationen an:

• Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung der verdächtigen Aktivitäten, einschließlich der Risikofaktoren und des Zeitpunkts des Ereignisses.

  

• Der Abschnitt LOGON DETAILS enthält eine detaillierte Zusammenfassung der verdächtigen Aktivitäten, die den einzelnen Risikofaktoren entsprechen. Jedem Risikofaktor wird ein Score zugewiesen, der das Verdachtsniveau angibt. Jeder einzelne Risikofaktor weist nicht auf ein hohes Risiko eines Benutzers hin. Das Gesamtrisiko basiert auf der Korrelation der verschiedenen Risikofaktoren.

  Stufe des Verdachts	Indikation
  0–69	Der Faktor scheint normal zu sein und wird nicht als verdächtig angesehen.
  70–89	Der Faktor erscheint etwas ungewöhnlich und wird bei anderen Faktoren als mäßig verdächtig angesehen.
  90–100	Der Faktor ist völlig neu oder ungewöhnlich und wird bei anderen Faktoren als äußerst verdächtig angesehen.

  

• Der LOGON LOCATION- LAST 30 DAYS zeigt eine geografische Kartenansicht der letzten bekannten Standorte und des aktuellen Standorts des Benutzers an. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

  

• Der Abschnitt SUSPICIOUS LOGON- EVENT DETAILS enthält die folgenden Informationen über das verdächtige Anmeldeereignis:

  • Uhrzeit: Zeigt Datum und Uhrzeit der verdächtigen Anmeldung an.

  • Gerätebetriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.

  • Tool-Name: Die Anwendung, mit der Sie sich bei Content Collaboration anmelden.

  

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ungewöhnliche Authentifizierungsfehler

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Authentifizierungsaktivitäten von ungewöhnlichen IP-Adressen.

Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer fehlgeschlagene Anmeldeversuche von einer IP-Adresse aus unternimmt, die aufgrund des historischen Zugriffsmusters des Benutzers als ungewöhnlich angesehen wird. Durch die Identifizierung von Benutzern mit ungewöhnlichen Authentifizierungsfehlern, basierend auf dem vorherigen Verhalten, können Administratoren das Benutzerkonto auf Brute-Force-Angriffe überwachen.

Der Risikofaktor, der mit dem Indikator für das Risiko eines ungewöhnlichen Authentifizierungsfehlers verbunden ist, sind die auf Anmeldefehlern basierenden Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für Ungewöhnliche Authentifizierungsfehler ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrer Organisation mehrere fehlgeschlagene Anmeldeversuche hat, die dem üblichen Verhalten widersprechen.

Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer wiederholt versucht, sich am Content Collaboration Service anzumelden. Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für ungewöhnliche Authentifizierungsfehler?

Betrachten Sie die Benutzerin Maria Brown, die mehrmals versucht hat, sich bei Content Collaboration anzumelden. Durch diese Aktion löste Maria Brown den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannte. Aus Marias Timeline können Sie den gemeldeten Risikoindikator für ungewöhnliche Authentifizierungsfehler auswählen. Grund für das Ereignis und die Ereignisdetails werden auf dem Bildschirm angezeigt.

Um den Risikoindikator für ungewöhnliche Authentifizierungsfehler anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

• Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses bei ungewöhnlichen Authentifizierungsfehlern anzeigen. Sie können die Anzahl fehlgeschlagener Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

  

• Im Abschnitt RECOMMENDED ACTION finden Sie die vorgeschlagenen Maßnahmen, die auf den Risikoindikator angewendet werden können. Citrix Analytics for Security empfiehlt die Aktionen je nach Schweregrad des vom Benutzer ausgehenden Risikos. Die Empfehlung kann eine oder eine Kombination der folgenden Aktionen sein:

  • Administrator (en) benachrichtigen

  • Zur Watchlist hinzufügen

  • Erstellen einer Richtlinie

  Sie können eine Aktion basierend auf der Empfehlung auswählen. Oder Sie können eine Aktion, die Sie je nach Ihrer Wahl anwenden möchten, aus dem Menü Aktionen auswählen. Weitere Informationen finden Sie unter Manuelles Anwenden einer Aktion.

  

• Im Abschnitt UNUSUAL AUTHENTICATION FAILURE- EVENT DETAILS können Sie die Zeitleiste der Ereignisse und ihre Details anzeigen. Die Tabelle enthält die folgenden Schlüsselinformationen:

  • Zeitpunkt des Ereignisses. Die Zeit jedes Anmeldeversuchs.

  • Client-IP. Die IP-Adresse des Netzwerks des Nutzers.

  • Standort. Der Standort des Benutzergeräts.

  • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

  • Betriebssystem. Das Betriebssystem des Benutzergeräts.

    

• Im Abschnitt AUTHENTICATION ACTIVITY – PREVIOUS 30 DAYS enthält die Tabelle die folgenden Informationen über die letzten 30 Tage der Authentifizierungsaktivität für den Benutzer:

  • Subnetz — Die IP-Adresse aus dem Benutzernetzwerk.

  • Erfolg — Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und der Zeitpunkt des letzten Erfolgsereignisses für den Benutzer.

  • Fehler — Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und der Zeitpunkt des letzten fehlgeschlagenen Ereignisses für den Benutzer.

  • Ort — Der Ort, von dem aus das Authentifizierungsereignis stattgefunden hat.

    

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

• Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

• Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

• Benutzer deaktivieren. Mit Citrix Analytics können Sie den Zugriff des Benutzers einschränken oder widerrufen, indem Sie sein Content Collaboration-Konto deaktivieren. Sie können diese Aktion auf Ihren Mitarbeiter- und Kundenbenutzer anwenden.

• Alle Links ablaufen lassen. Mit Citrix Analytics können Sie alle aktiven Freigabelinks des Benutzers ablaufen lassen. Wenn die Freigabelinks abgelaufen sind, werden die Links ungültig und sind für die anderen Benutzer, mit denen die Links geteilt werden, nicht zugänglich.

• Ändern Sie den Link zu Nur-View-Sharing. Mit Citrix Analytics können Sie die aktiven Freigabelinks des Benutzers in den Nur-Lese-Modus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken. Weitere Informationen finden Sie unter Nur-Ansicht-Sharing.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.