Citrix Analytics für Sicherheit

Citrix Content Collaboration Risikoindikatoren

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf einer ungewöhnlichen Anmeldeaktivität und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator Zugriff von einem ungewöhnlichen Standortrisiko ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrer Organisation von einem anderen Standort als seinem üblichen Standort anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Nutzers bestimmt. Content Collaboration erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht die Risikobewertung des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von früheren Anmelderorten entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Indikator Zugriff von einem ungewöhnlichen Standortrisiko wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Man denke an den Benutzer Kevin Smith, der sich zum ersten Mal aus Bengaluru, Indien, einschreibt. Seine üblichen Anmeldeorte in den letzten 30 Tagen sind Kanada, England, Deutschland und die Niederlande. Durch diese Aktion löste Kevin Smith den Machine Learning-Algorithmus aus, der ungewöhnliches Verhalten erkannte.

In der Zeitleiste von Kevin Smith können Sie den gemeldeten Zugang aus einem ungewöhnlichen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie Anmeldezeit und Client-IP-Adresse angezeigt.

Um den Zugriff von einem ungewöhnlichen Standortrisikoindikator aus anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Zugang von einem ungewöhnlichen Ort

  • Im Abschnitt WHAT HAPPENED, können Sie eine Zusammenfassung des Zugriffs vom ungewöhnlichen Standortereignis aus anzeigen. Sie können die Anzahl der verdächtigen Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

    Ungewöhnliche Zusammenarbeit mit dem Zugriff auf Inhalte

  • Orte anmelden: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Orte an, von denen aus sich der Benutzer angemeldet hat.

    Sign in location

  • Anzahl der Anmeldungen von normalen Standorten - letzte 30 Tage: Zeigt eine Tortendiagrammansicht der 6 häufigsten Orte an, von denen sich der Benutzer in den letzten 30 Tagen angemeldet hat. Es zeigt auch die Anzahl der Anmeldeereignisse an diesen Orten an.

    Kreisdiagramme

  • Veranstaltungsdetails für ungewöhnlichen Ort: Stellt dem Benutzer die Liste der Anmeldeereignisse vom ungewöhnlichen Ort zur Verfügung. Die Tabelle enthält die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    • Datum und Uhrzeit Datum und Uhrzeit des ungewöhnlichen Anmelderationsereignisses.
    • Client-IP Die IP-Adresse des Client-Geräts.
    • Geräte-OS. Betriebssystem des Geräts, mit dem sich der Benutzer bei dem ungewöhnlichen Standort angemeldet hat.
    • Geräte-Browser Webbrowser, mit dem sich der Benutzer bei der Anwendung angemeldet hat.

      Details zu ungewöhnlichen Anmeldezugriffsereignissen für die Zusammenarbeit mit Inhalten

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Wenn der ausgelöste Indikator Zugriff von einem ungewöhnlichen Standortrisiko falsch ist, können Sie ihn als falsch positiv melden und Feedback geben. Weitere Informationen zum Abgeben von Feedback finden Sie unter Risikoindikator-Feedback.

Übermäßiger Zugriff auf vertrauliche Dateien

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateizugriffsaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Übermäßiger Zugriff auf sensible Dateien wird ausgelöst, wenn das Verhalten eines Benutzers in Bezug auf den Zugriff auf sensible Dateien übermäßig ist. Diese ungewöhnliche Aktivität kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Wann wird der übermäßige Zugriff auf vertrauliche Dateien Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer auf eine ungewöhnliche Datenmenge zugegriffen hat, die während eines bestimmten Zeitraums als sensibel eingestuft wurde. Diese Warnung wird ausgelöst, wenn ein Benutzer auf vertrauliche Daten zugreift, die durch eine Data Loss Prevention (DLP) oder eine Cloud Access Security Broker (CASB) -Lösung identifiziert wurden. Wenn Content Collaboration dieses übermäßige Verhalten erkennt, empfängt Citrix Analytics die Ereignisse und erhöht die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den übermäßigen Zugriff auf sensible Dateien Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, hatte Zugriff auf 10 sensible Dateien, die er auf sein lokales System innerhalb einer Spannweite von 15 Minuten heruntergeladen. Der Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien wird ausgelöst, da er einen Schwellenwert überschreitet. Der Schwellenwert wird basierend auf der Anzahl der sensiblen Dateien berechnet, die in einem bestimmten Zeitfenster heruntergeladen werden, wobei Kontextinformationen wie den Download-Mechanismus berücksichtigt werden.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßigen Zugriff auf sensible Dateien auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Download-Zeit angezeigt.

Um den Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßiger Zugriff auf vertrauliche Dateien

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Risikoindikators Übermäßiger Zugriff auf vertrauliche Dateien anzeigen. Sie können die Anzahl der sensiblen Dateien, die von Citrix Analytics als übermäßig angesehen wurden, und den Zeitpunkt der Ereignisse anzeigen.

Übermäßiger Zugriff auf vertrauliche Dateien

  • Im Abschnitt EVENT DETAILS — SENSITIVE DATA DOWNLOAD werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Downloadzeit. Zeit, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Dateigröße. Die Größe der heruntergeladenen Datei.

    Übermäßiger Zugriff auf vertrauliche Dateien Ereignisdetails

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Ereignisses Folgendes anzeigen:

    • Gesamtzahl der heruntergeladenen vertraulichen Dateien.

    • Gesamtgröße der vom Benutzer heruntergeladenen Dateien.

    Übermäßiger Zugriff auf vertrauliche Dateien zusätzliche Kontextinformationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateifreigabe

Citrix Analytics erkennt Datenbedrohungen aufgrund übermäßiger Dateifreigabeaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Indikator Übermäßige Dateifreigabe wird ausgelöst, wenn eine Abweichung vom typischen Dateifreigabeverhalten des Benutzers vorliegt. Jede Abweichung von einem regulären Dateifreigabeverhalten wird als ungewöhnlich angesehen und das Benutzerkonto wird auf diese verdächtige Aktivität untersucht.

Wann wird der Indikator für übermäßige Dateifreigabe ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Dateien häufiger als erwartet freigegeben hat. Wenn Sie auf die Benachrichtigung über einen Benutzer reagieren, der übermäßig Dateien freigegeben hat, können Sie eine Datenexfiltration verhindern.

Citrix Analytics empfängt Freigabeereignisse von Content Collaboration, analysiert sie und erhöht die Risikobewertung eines Benutzers, der ein übermäßiges Freigabeverhalten aufweist. Der Risikoindikator für übermäßige Dateifreigabe wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Dateifreigabe?

Betrachten Sie den Benutzer Adam Maxwell, der Dateien sechs Mal innerhalb eines Tages geteilt hat. Durch diese Aktion hat Adam Maxwell Dateien öfter geteilt, als er normalerweise basierend auf maschinellem Lernen Algorithmen tut.

In der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßige Dateifreigabe auswählen. Der Grund für das Ereignis wird zusammen mit Details wie dem freigegebenen Link “Content Collaboration”, dem Zeitpunkt der Freigabe der Datei und mehr angezeigt.

Um den Indikator Übermäßige Dateifreigabe anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Dateifreigabe

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des übermäßigen Dateifreigabeereignisses anzeigen. Sie können die Anzahl der an Empfänger gesendeten Freigabelinks und den Zeitpunkt der Freigabe anzeigen.

Übermäßige Dateifreigabe

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES SHARED wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Geteilte Zeit. Die Zeit, zu der die Datei freigegeben wurde.

    • Freigabe-ID Der Link zur Content Collaboration, der zum Freigeben der Datei verwendet wird.

    • Operationen. Der Vorgang, der vom Benutzer mithilfe von Content Collaboration ausgeführt wird.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei freigegeben wurde.

    Details zu exzessiven Dateifreigabeereignis

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtzahl der Dateien anzeigen, die der Benutzer während des Ereignisses gemeinsam hat.

    Übermäßige Dateifreigabe zusätzlicher kontextbezogener Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

  • Wenn der Benutzer deaktiviert ist, kann er sich nicht bei der Content Collaboration anmelden. Auf der Anmeldeseite wird eine Benachrichtigung angezeigt, in der sie aufgefordert werden, ihren Content Collaboration Kontoadministrator für weitere Informationen zu erreichen.

  • Wenn ein Freigabelink deaktiviert ist, ist der Freigabelink für Benutzer oder Empfänger nicht zugänglich. Wenn der Benutzer versucht, erneut auf den Freigabelink zuzugreifen, wird auf der Seite eine Meldung an den Empfänger angezeigt, dass der Link nicht mehr verfügbar ist.

  • Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen im Zusammenhang mit anderen Datenquellen angewendet werden.

Übermäßige Datei-Uploads

Citrix Analytics erkennt Datenbedrohungen basierend auf einer übermäßigen Datei-Upload-Aktivität und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Datei-Uploads hilft Ihnen dabei, eine ungewöhnliche Datei-Upload-Aktivität zu identifizieren. Jeder Benutzer hat ein Datei-Upload-Muster, dem er folgt, das Attribute wie:

  • Zeitpunkt des Hochladens der Dateien

  • Typ der hochgeladenen Dateien

  • Daten-Upload-Volume

  • Dateiupload-Quelle

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator Übermäßige Dateiuploads aus.

Wann wird der Risikoindikator für übermäßige Datei-Uploads ausgelöst?

Übermäßige Dateiuploads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder eine Insider-Bedrohung hinweist, der versucht, bösartige oder verschlüsselte Inhalte hochzuladen. Wenn das Hochladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn die Menge der hochgeladenen Daten das normale Upload-Verhalten des Benutzers basierend auf maschinellen Lernalgorithmen überschreitet.

Wenn Citrix Analytics ein übermäßiges Upload-Verhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Datei-Uploads wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Uploads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten hochgeladen hat. Durch diese Aktion hatte Lemuel sein normales Upload-Verhalten basierend auf maschinellen Lernalgorithmen überschritten.

Aus der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateiuploads auswählen. Der Grund für die Warnung wird zusammen mit Details des Ereignisses wie Dateiname, Upload-Zeit, Tool-Name und Quelle angezeigt.

Um den Indikator Übermäßige Datei-Uploads anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Datei-Uploads

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des übermäßigen Datei-Upload-Ereignisses anzeigen. Sie können die Menge der vom Benutzer hochgeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei-Uploads

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES UPLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit hochgeladen. Zeitpunkt, zu dem die Datei hochgeladen wurde.

    • Dateiname. Der Name und die Erweiterung der hochgeladenen Datei.

    • Werkzeugname. Der Gerätetyp, mit dem die Datei hochgeladen wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in das die Datei hochgeladen wurde.

    Übermäßige Datei-Upload-Ereignisdetails

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtgröße der Dateien anzeigen, die der Benutzer während des Ereignisses hochgeladen hat.

    Übermäßige Datei-Uploads zusätzliche Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateidownloads

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateidownloads und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Dateidownloads hilft Ihnen dabei, ungewöhnliche Datei-Download-Aktivitäten zu identifizieren. Jeder Benutzer hat ein Datei-Download-Muster, dem er folgt, das Attribute enthält wie:

  • Zeitpunkt des Herunterladens der Dateien.

  • Typ der heruntergeladenen Dateien.

  • Datei-Download-Volume usw.

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator Übermäßige Dateidownloads aus.

Wann wird der Risikoindikator für übermäßige Dateidownloads ausgelöst?

Übermäßige Dateidownloads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder einen Insider hinweist, der möglicherweise versucht, Daten zu exfiltrieren. Wenn das Herunterladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn die Menge der heruntergeladenen Daten das normale Downloadverhalten des Benutzers basierend auf maschinellen Lernalgorithmen überschreitet.

Wenn Citrix Analytics ein übermäßiges Downloadverhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Dateidownloads wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Downloads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten auf sein lokales System heruntergeladen hat. Durch diese Aktion hatte Lemuel sein normales Download-Verhalten basierend auf maschinellen Lernalgorithmen übertroffen.

Aus der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateidownloads auswählen. Der Grund für den übermäßigen Dateidownload wird zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Downloadzeit angezeigt.

Um den Risikoindikator für übermäßige Dateidownloads anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Dateidownloads

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses zu übermäßigen Dateidownloads anzeigen. Sie können die Menge der vom Benutzer heruntergeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei-Downloads

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES DOWNLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Downloadzeit. Zeit, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Quelle. Repository (Citrix Files, OneDrive usw.), aus dem die Datei heruntergeladen wurde.

    • Dateigröße. Die Größe der heruntergeladenen Datei.

    Ereignisdetails zu exzessiven Downloads von Dateien

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die gesamte Downloadgröße der Dateien anzeigen, die der Benutzer während des Ereignisses heruntergeladen hat.

    Übermäßige Datei lädt zusätzliche Kontextinformationen herunter

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Datei- oder Ordnerlöschung

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Datei- oder Ordnerlöschaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Datei- oder Ordnerlöschung wird ausgelöst, wenn das Verhalten eines Benutzers in Bezug auf das Löschen von Ordnerdateien übermäßig ist. Diese Anomalie kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Wann wird der Risikoindikator für übermäßige Datei- oder Ordnerlöschung ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation eine übermäßige Anzahl von Dateien oder Ordnern innerhalb eines bestimmten Zeitraums gelöscht hat. Diese Warnung wird ausgelöst, wenn ein Benutzer eine übermäßige Anzahl von Dateien oder Ordnern außerhalb des normalen Löschverhaltens löscht, basierend auf Machine Learning-Algorithmen.

Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung für den jeweiligen Benutzer. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Datei- oder Ordnerlöschung?

Betrachten Sie den Benutzer Lemuel, der im Laufe eines Tages viele Dateien oder Ordner gelöscht hat. Durch diese Aktion hatte Lemuel sein normales Löschverhalten basierend auf maschinellen Lernalgorithmen überschritten.

In der Timeline von Lemuel Kildow können Sie den gemeldeten Risikoindikator für Übermäßige Datei- oder Ordnerlöschung auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit den Details des Ereignisses angezeigt, wie z. B. Art des Löschens (Datei oder Ordner), Uhrzeit des Löschens usw.

Um den Indikator Übermäßige Datei- oder Ordnerlöschung anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Datei- oder Ordnerlöschung

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses Übermäßige Datei- oder Ordnerlöschung anzeigen. Sie können die Anzahl der gelöschten Dateien und Ordner sowie den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei- oder Ordnerlöschung

  • Im Abschnitt EVENT DETAILS – EXCESSIVE DELETED ITEMS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit gelöscht. Zeit, zu dem die Datei oder der Ordner gelöscht wurde.

    • Geben Sie ein. Elementtyp, der gelöscht wurde — Datei oder Ordner.

    • Name. Name der Datei oder des Ordners, der gelöscht wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei gelöscht wurde.

    Details zu exzessiver Datei- oder Ordnerlöschung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf übermäßiger Authentifizierungsaktivität und löst den entsprechenden Risikoindikator aus.

Der Indikator für übermäßige Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer fehlgeschlagene Anmeldeversuche hat. Durch die Identifizierung von Benutzern mit übermäßigen Authentifizierungsfehlern basierend auf früheren Verhaltensweisen können Administratoren das Benutzerkonto auf Brute-Force-Angriffe überwachen.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrer Organisation mehrere fehlgeschlagene Anmeldeversuche hat, die dem üblichen Verhalten widersprechen.

Der Risikoindikator für übermäßige Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer wiederholt versucht, sich beim Content Collaboration Service anzumelden. Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Maria Brown, der mehrfach versucht hat, sich bei Content Collaboration anzumelden. Durch diese Aktion löste Maria Brown den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannte. In Marias Timeline können Sie die gemeldete Risikoanzeige für übermäßige Authentifizierungsfehler auswählen. Grund für das Ereignis und die Ereignisdetails werden auf dem Bildschirm angezeigt.

Um das Risiko für übermäßige Authentifizierungsfehler anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Authentifizierungsfehler

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses Übermäßige Authentifizierung Fehler anzeigen. Sie können die Anzahl fehlgeschlagener Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

Übermäßige Authentifizierungsfehler

  • Im Abschnitt EVENT DETAILS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Time. Die Zeit jedes Anmeldeversuchs.

    • Client-IP Die verwendete Client-IP-Adresse.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Betriebssystem. Die vom Client verwendete Betriebssystemversion.

Übermäßige Authentifizierungsfehler

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ransomware-Aktivität verdächtigt

Citrix Analytics erkennt Datenbedrohungen basierend auf einer Ransomware-Aktivität und löst den entsprechenden Risikoindikator aus.

Ransomware ist eine Art bösartiger Software, die die Datei eines Benutzers verschlüsselt und durch entschlüsselte Dateien ersetzt oder aktualisiert. Durch die Identifizierung von Ransomware-Angriffen über Dateien, die von Benutzern innerhalb einer Organisation gemeinsam genutzt werden, können Sie sicherstellen, dass die Produktivität nicht beeinträchtigt wird.

Wann wird der Ransomware-Risikoindikator ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrem Konto beginnt, eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen zu löschen und hochzuladen. Sie können auch benachrichtigt werden, wenn der Benutzer eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen aktualisiert. Diese Aktivität zeigt an, dass das Benutzerkonto kompromittiert wurde und ein möglicher Ransomware-Angriff aufgetreten ist. Wenn Citrix Analytics dieses Verhalten erkennt, erhöht es die Risikobewertung des jeweiligen Benutzers. Der Indikator für vermutete Ransomware-Aktivitäten wird der Risikozeitleiste des Benutzers hinzugefügt.

Der Indikator Ransomware-Aktivität Verdacht kann zwei Arten haben. Sie sind:

  • Verdacht auf Ransomware-Aktivität (Dateien ersetzt) weist auf gelöschte und neue Dateien hin, die einem Ransomware-Angriff ähneln. Die Angriffsmuster können zu mehr Uploads führen als die Anzahl der gelöschten Dateien. Beispielsweise kann eine Lösegeldforderung zusammen mit den anderen Dateien hochgeladen werden.

  • Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) weist auf Dateien hin, die auf eine Art und Weise aktualisiert wurden, die einem Ransomware-Angriff ähnelt.

Wie analysiert man den Ransomware-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der innerhalb von 15 Minuten viele Dateien gelöscht und durch verschiedene Versionen ersetzt hat. Durch diese Aktion hat Adam Maxwell ungewöhnliches und verdächtiges Verhalten ausgelöst, basierend auf dem, was die maschinellen Lernalgorithmen für diesen bestimmten Benutzer als normal erachten.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für Ransomware-Aktivität Verdacht (Dateien ersetzt) auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie Name der Datei, Speicherort der Datei angezeigt.

Um den Indikator für das Risiko von Ransomware-Aktivitäten anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Wählen Sie in der Risikozeitleiste des Benutzers den Risikoindikator Ransomware-Aktivität verdächtigt (Dateien ersetzt), der für den Benutzer gemeldet wurde.

Ransomware-Dateien aktualisiert

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des vermuteten Ereignisses der Ransomware-Aktivität anzeigen. Sie können die Anzahl der gelöschten und ersetzten Dateien sowie den Zeitpunkt des Ereignisses anzeigen.

Ransomware-Dateien aktualisiert

  • Im Abschnitt EVENT DETAILS – FILE OPERATIONS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Time. Die Zeit, zu der die Datei ersetzt oder gelöscht wurde.

    • Dateiname. Der Name der Datei.

    • Pfad. Der Pfad, in dem sich die Datei befindet.

    Ransomware-Dateien aktualisierte Ereignisdetails

Ebenso können Sie den gemeldeten Ransomware-Risikoindikator für verdächtige Ransomware-Aktivitäten (Dateien aktualisiert) auswählen. Sie können die Details dieses Ereignisses anzeigen, wie:

  • Der Grund, warum der Risikoindikator ausgelöst wird.

  • Die Anzahl der Dateien, die mit verschlüsselten Versionen aktualisiert wurden.

  • Der Zeitpunkt des Ereignisses (Dateien, die aktualisiert werden).

  • Der Name der Dateien.

  • Der Speicherort der Dateien.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Content Collaboration Risikoindikatoren