Citrix Content Collaboration Risikoindikatoren

Ungewöhnlicher Anmeldezugriff

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf einer ungewöhnlichen Anmeldeaktivität und löst den entsprechenden Risikoindikator aus.

Der Indikator Ungewöhnlicher Anmeldezugriff wird ausgelöst, wenn sich ein Benutzer von einem verdächtigen Ort anmeldet. Durch die Identifizierung von Benutzern mit ungewöhnlichen Anmeldeorten, basierend auf früheren Verhaltensweisen, können Administratoren das Benutzerkonto auf potenzielle Angriffe überwachen.

Wann wird der ungewöhnliche Risikoindikator für den Anmeldezugriff ausgelöst?

Sie können benachrichtigt werden, wenn sich ein Benutzer in Ihrer Organisation von einem ungewöhnlichen Ort anmeldet, der dem üblichen Verhalten widerspricht.

Der Indikator Ungewöhnlicher Anmeldezugriff wird ausgelöst, wenn ein Benutzer von einem Ort oder Land aus auf Content Collaboration zugreift, von dem sich der Benutzer normalerweise nicht anmeldet. Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung des jeweiligen Benutzers. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Ungewöhnlicher Anmeldezugriff wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiere ich ungewöhnliche Anmeldezugriffsrisikoindikator?

Betrachten Sie die Nutzerin Georgina Kalou, die sich bei Manama angemeldet hat, als sie zuvor nur jemals von Raleigh, North Carolina, angemeldet hatte. Durch diese Aktion löste Georgina Kalou den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannt hat.

In der Zeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator Ungewöhnlicher Anmeldezugriff auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie Anmeldezeit, Client-IP-Adresse angezeigt.

Um den Indikator Ungewöhnlicher Anmeldezugriff anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Ungewöhnliche Zusammenarbeit mit Inhalten für den Anmeldezugriff

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des ungewöhnlichen Anmeldezugriffsereignis anzeigen. Sie können die Anzahl verdächtiger Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

Ungewöhnliche Zusammenarbeit mit dem Zugriff auf Inhalte, was passiert ist

  • Im Abschnitt EVENT DETAILS – LOGON LOCATIONS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Anmeldezeit. Die Zeit jedes Anmeldeversuchs.

    • Client-IP. Die verwendete Client-IP-Adresse.

    • Standort. Der Speicherort, von dem der Anmeldeversuch durchgeführt wurde.

    Details zu ungewöhnlichen Anmeldezugriffsereignissen für die Zusammenarbeit mit Inhalten

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Wenn der Ausgelöste Risikoindikator Ungewöhnlicher Anmeldezugriff falsch ist, können Sie ihn als falsch positiv melden und Feedback geben. Weitere Informationen zum Abgeben von Feedback finden Sie unter Risikoindikator-Feedback.

Übermäßiger Zugriff auf vertrauliche Dateien

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateizugriffsaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Übermäßiger Zugriff auf sensible Dateien wird ausgelöst, wenn das Verhalten eines Benutzers in Bezug auf den Zugriff auf sensible Dateien übermäßig ist. Diese ungewöhnliche Aktivität kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Wann wird der übermäßige Zugriff auf vertrauliche Dateien Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer auf eine ungewöhnliche Datenmenge zugegriffen hat, die während eines bestimmten Zeitraums als sensibel eingestuft wurde. Diese Warnung wird ausgelöst, wenn ein Benutzer auf vertrauliche Daten zugreift, die durch eine Data Loss Prevention (DLP) oder eine Cloud Access Security Broker (CASB) -Lösung identifiziert wurden. Wenn Content Collaboration dieses übermäßige Verhalten erkennt, empfängt Citrix Analytics die Ereignisse und erhöht die Risikobewertung des jeweiligen Benutzers. Sie werden dann im Alerts-Bedienfeld benachrichtigt und der Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den übermäßigen Zugriff auf sensible Dateien Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, hatte Zugriff auf 10 sensible Dateien, die er auf sein lokales System innerhalb einer Spannweite von 15 Minuten heruntergeladen. Der Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien wird ausgelöst, da er einen Schwellenwert überschreitet. Der Schwellenwert wird basierend auf der Anzahl der sensiblen Dateien berechnet, die in einem bestimmten Zeitfenster heruntergeladen werden, wobei Kontextinformationen wie den Download-Mechanismus berücksichtigt werden.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßigen Zugriff auf sensible Dateien auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Download-Zeit angezeigt.

Um den Risikoindikator Übermäßiger Zugriff auf vertrauliche Dateien anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßiger Zugriff auf vertrauliche Dateien

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Risikoindikators Übermäßiger Zugriff auf vertrauliche Dateien anzeigen. Sie können die Anzahl der sensiblen Dateien, die von Citrix Analytics als übermäßig angesehen wurden, und den Zeitpunkt der Ereignisse anzeigen.

Übermäßiger Zugriff auf vertrauliche Dateien, was passiert ist

  • Im Abschnitt EVENT DETAILS — SENSITIVE DATA DOWNLOAD werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Downloadzeit. Zeit, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Dateigröße. Die Größe der heruntergeladenen Datei.

    Übermäßiger Zugriff auf vertrauliche Dateien Ereignisdetails

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Ereignisses Folgendes anzeigen:

    • Gesamtzahl der heruntergeladenen vertraulichen Dateien.

    • Gesamtgröße der vom Benutzer heruntergeladenen Dateien.

    Übermäßiger Zugriff auf vertrauliche Dateien zusätzliche Kontextinformationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Dateifreigabe

Citrix Analytics erkennt Datenbedrohungen aufgrund übermäßiger Dateifreigabeaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Indikator Übermäßige Dateifreigabe wird ausgelöst, wenn eine Abweichung vom typischen Dateifreigabeverhalten des Benutzers vorliegt. Jede Abweichung von einem regulären Dateifreigabeverhalten wird als ungewöhnlich angesehen und das Benutzerkonto wird auf diese verdächtige Aktivität untersucht.

Wann wird der Indikator für übermäßige Dateifreigabe ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Dateien häufiger als erwartet freigegeben hat. Wenn Sie auf die Benachrichtigung über einen Benutzer reagieren, der übermäßig Dateien freigegeben hat, können Sie eine Datenexfiltration verhindern.

Citrix Analytics empfängt Freigabeereignisse von Content Collaboration, analysiert sie und erhöht die Risikobewertung eines Benutzers, der ein übermäßiges Freigabeverhalten aufweist. Sie werden dann im Bedienfeld “Alerts” benachrichtigt, und der Risikozeitleiste des Benutzers wird der Indikator Übermäßige Dateifreigabe hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Dateifreigabe?

Betrachten Sie den Benutzer Adam Maxwell, der Dateien sechs Mal innerhalb eines Tages geteilt hat. Durch diese Aktion hat Adam Maxwell Dateien öfter geteilt, als er normalerweise basierend auf maschinellem Lernen Algorithmen tut.

In der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßige Dateifreigabe auswählen. Der Grund für das Ereignis wird zusammen mit Details wie dem freigegebenen Link “Content Collaboration”, dem Zeitpunkt der Freigabe der Datei und mehr angezeigt.

Um den Indikator Übermäßige Dateifreigabe anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Dateifreigabe

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des übermäßigen Dateifreigabeereignisses anzeigen. Sie können die Anzahl der an Empfänger gesendeten Freigabelinks und den Zeitpunkt der Freigabe anzeigen.

Übermäßige Dateifreigabe, was passiert ist

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES SHARED wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Geteilte Zeit. Die Zeit, zu der die Datei freigegeben wurde.

    • Freigabe-ID Der Link zur Content Collaboration, der zum Freigeben der Datei verwendet wird.

    • Operationen. Der Vorgang, der vom Benutzer mithilfe von Content Collaboration ausgeführt wird.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei freigegeben wurde.

    Details zu exzessiven Dateifreigabeereignis

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtzahl der Dateien anzeigen, die der Benutzer während des Ereignisses gemeinsam hat.

    Übermäßige Dateifreigabe zusätzlicher kontextbezogener Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Hinweis:

  • Wenn der Benutzer deaktiviert ist, kann er sich nicht bei der Content Collaboration anmelden. Auf der Anmeldeseite wird eine Benachrichtigung angezeigt, in der sie aufgefordert werden, ihren Content Collaboration Kontoadministrator für weitere Informationen zu erreichen.

  • Wenn ein Freigabelink deaktiviert ist, ist der Freigabelink für Benutzer oder Empfänger nicht zugänglich. Wenn der Benutzer versucht, erneut auf den Freigabelink zuzugreifen, wird auf der Seite eine Meldung an den Empfänger angezeigt, dass der Link nicht mehr verfügbar ist.

Übermäßige Datei-Uploads

Citrix Analytics erkennt Datenbedrohungen basierend auf einer übermäßigen Datei-Upload-Aktivität und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Datei-Uploads hilft Ihnen dabei, eine ungewöhnliche Datei-Upload-Aktivität zu identifizieren. Jeder Benutzer hat ein Datei-Upload-Muster, dem er folgt, das Attribute wie:

  • Zeitpunkt des Hochladens der Dateien

  • Typ der hochgeladenen Dateien

  • Daten-Upload-Volume

  • Dateiupload-Quelle

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator Übermäßige Dateiuploads aus.

Wann wird der Risikoindikator für übermäßige Datei-Uploads ausgelöst?

Übermäßige Dateiuploads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder eine Insider-Bedrohung hinweist, der versucht, bösartige oder verschlüsselte Inhalte hochzuladen. Wenn das Hochladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn die Menge der hochgeladenen Daten das normale Upload-Verhalten des Benutzers basierend auf maschinellen Lernalgorithmen überschreitet.

Wenn Citrix Analytics ein übermäßiges Upload-Verhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Übermäßige Datei-Uploads wird der Risiko-Zeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Uploads Risikoindikator?

Betrachten Sie den Benutzer Lemuel Kildow, der innerhalb einer Stunde eine große Datenmenge hochgeladen hat. Durch diese Aktion hatte Lemuel Kildow sein normales Upload-Verhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateiuploads auswählen. Der Grund für die Warnung wird zusammen mit Details des Ereignisses wie Dateiname, Upload-Zeit, Werkzeugname und Quelle angezeigt.

Um den Indikator Übermäßige Datei-Uploads anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Datei-Uploads

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des übermäßigen Datei-Upload-Ereignisses anzeigen. Sie können die Menge der vom Benutzer hochgeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei-Uploads, was passiert ist

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES UPLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit hochgeladen. Zeitpunkt, zu dem die Datei hochgeladen wurde.

    • Dateiname. Der Name und die Erweiterung der hochgeladenen Datei.

    • Werkzeugname. Der Gerätetyp, mit dem die Datei hochgeladen wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in das die Datei hochgeladen wurde.

    Übermäßige Datei-Upload-Ereignisdetails

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die Gesamtgröße der Dateien anzeigen, die der Benutzer während des Ereignisses hochgeladen hat.

    Übermäßige Datei-Uploads zusätzliche Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Dateidownloads

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateidownloads und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Dateidownloads hilft Ihnen dabei, ungewöhnliche Datei-Download-Aktivitäten zu identifizieren. Jeder Benutzer hat ein Datei-Download-Muster, dem er folgt, das Attribute enthält wie:

  • Zeitpunkt des Herunterladens der Dateien.

  • Typ der heruntergeladenen Dateien.

  • Datei-Download-Volume usw.

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator Übermäßige Dateidownloads aus.

Wann wird der Risikoindikator für übermäßige Dateidownloads ausgelöst?

Übermäßige Dateidownloads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder einen Insider hinweist, der möglicherweise versucht, Daten zu exfiltrieren. Wenn das Herunterladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn die Menge der heruntergeladenen Daten das normale Downloadverhalten des Benutzers basierend auf maschinellen Lernalgorithmen überschreitet.

Wenn Citrix Analytics ein übermäßiges Downloadverhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Übermäßige Dateidownloads wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Downloads Risikoindikator?

Betrachten Sie den Benutzer Lemuel Kildow, der innerhalb einer Stunde eine große Menge an Daten auf sein lokales System heruntergeladen hat. Durch diese Aktion hatte Lemuel Kildow sein normales Download-Verhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateidownloads auswählen. Der Grund für den übermäßigen Dateidownload wird zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Downloadzeit angezeigt.

Um den Risikoindikator für übermäßige Dateidownloads anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Dateidownloads

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses zu übermäßigen Dateidownloads anzeigen. Sie können die Menge der vom Benutzer heruntergeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei-Downloads, was passiert ist

  • Im Abschnitt EVENT DETAILS – EXCESSIVE FILES DOWNLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Downloadzeit. Zeit, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Quelle. Repository (Citrix Files, OneDrive usw.), aus dem die Datei heruntergeladen wurde.

    • Dateigröße. Die Größe der heruntergeladenen Datei.

    Ereignisdetails zu exzessiven Downloads von Dateien

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie die gesamte Downloadgröße der Dateien anzeigen, die der Benutzer während des Ereignisses heruntergeladen hat.

    Übermäßige Datei lädt zusätzliche Kontextinformationen herunter

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Datei- oder Ordnerlöschung

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Datei- oder Ordnerlöschaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Indikator Übermäßige Datei- oder Ordnerlöschung Risiko wird ausgelöst, wenn das Verhalten eines Benutzers in Bezug auf das Löschen von Dateien von Ordnern übermäßig ist. Diese Anomalie kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Wann wird der Risikoindikator für übermäßige Datei- oder Ordnerlöschung ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation eine übermäßige Anzahl von Dateien oder Ordnern innerhalb eines bestimmten Zeitraums gelöscht hat. Diese Warnung wird ausgelöst, wenn ein Benutzer eine übermäßige Anzahl von Dateien oder Ordnern außerhalb des normalen Löschverhaltens löscht, basierend auf Machine Learning-Algorithmen.

Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung für den jeweiligen Benutzer. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Übermäßige Datei- oder Ordnerlöschung wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Datei- oder Ordnerlöschung?

Betrachten Sie den Benutzer Lemuel Kildow, der im Laufe eines Tages viele Dateien oder Ordner gelöscht hat. Durch diese Aktion hatte Lemuel Kildow sein normales Löschverhalten basierend auf maschinellem Lernen überschritten.

In der Timeline von Lemuel Kildow können Sie den gemeldeten Risikoindikator für Übermäßige Datei- oder Ordnerlöschung auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit den Details des Ereignisses angezeigt, wie z. B. Art des Löschens (Datei oder Ordner), Uhrzeit des Löschens usw.

Um den Indikator Übermäßige Datei- oder Ordnerlöschung anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Datei- oder Ordnerlöschung

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses Übermäßige Datei- oder Ordnerlöschung anzeigen. Sie können die Anzahl der gelöschten Dateien und Ordner sowie den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei- oder Ordnerlöschung, was passiert ist

  • Im Abschnitt EVENT DETAILS – EXCESSIVE DELETED ITEMS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit gelöscht. Zeit, zu dem die Datei oder der Ordner gelöscht wurde.

    • Typ. Elementtyp, der gelöscht wurde — Datei oder Ordner.

    • Name. Name der Datei oder des Ordners, der gelöscht wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei gelöscht wurde.

    Details zu exzessiver Datei- oder Ordnerlöschung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Anmeldefehler

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf übermäßigen Anmeldeaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Übermäßige Anmeldefehler wird ausgelöst, wenn ein Benutzer fehlgeschlagene Anmeldeversuche auftritt. Durch die Identifizierung von Benutzern mit übermäßigen Anmeldefehlern, basierend auf vorherigem Verhalten, können Administratoren das Benutzerkonto auf Brute-Force-Angriffe überwachen.

Wann wird der Risikoindikator für übermäßige Anmeldefehler ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrer Organisation mehrere fehlgeschlagene Anmeldeversuche hat, die dem üblichen Verhalten widersprechen.

Der Risikoindikator Übermäßige Anmeldefehler wird ausgelöst, wenn ein Benutzer wiederholt versucht, sich beim Content Collaboration Service anzumelden. Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung des jeweiligen Benutzers. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Übermäßige Anmeldefehler wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Anmeldefehler Risikoindikator?

Betrachten Sie den Benutzer Maria Brown, der mehrfach versucht hat, sich bei Content Collaboration anzumelden. Durch diese Aktion löste Maria Brown den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannte.In der Timeline von Maria können Sie den gemeldeten Risikoindikator für übermäßige Anmeldefehler auswählen. Grund für das Ereignis und die Ereignisdetails werden auf dem Bildschirm angezeigt.

Um den Risikoindikator für übermäßige Anmeldefehler anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Übermäßige Anmeldefehler

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses Übermäßige Anmeldefehler anzeigen. Sie können die Anzahl fehlgeschlagener Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

Übermäßige Anmeldefehler

  • Im Abschnitt EVENT DETAILS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit. Die Zeit jedes Anmeldeversuchs.

    • Client-IP. Die verwendete Client-IP-Adresse.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Betriebssystem. Die vom Client verwendete Betriebssystemversion.

Übermäßige Anmeldefehler

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Ransomware-Aktivität verdächtigt

Citrix Analytics erkennt Datenbedrohungen basierend auf einer Ransomware-Aktivität und löst den entsprechenden Risikoindikator aus.

Ransomware ist eine Art bösartiger Software, die die Datei eines Benutzers verschlüsselt und durch entschlüsselte Dateien ersetzt oder aktualisiert. Durch die Identifizierung von Ransomware-Angriffen über Dateien, die von Benutzern innerhalb einer Organisation gemeinsam genutzt werden, können Sie sicherstellen, dass die Produktivität nicht beeinträchtigt wird.

Wann wird der Ransomware-Risikoindikator ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrem Konto beginnt, eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen zu löschen und hochzuladen. Sie können auch benachrichtigt werden, wenn der Benutzer eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen aktualisiert. Diese Aktivität zeigt an, dass das Benutzerkonto kompromittiert wurde und ein möglicher Ransomware-Angriff aufgetreten ist. Wenn Citrix Analytics dieses Verhalten erkennt, erhöht es die Risikobewertung des jeweiligen Benutzers. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator für die Ransomware-Aktivität wird der Risikozeitleiste des Benutzers hinzugefügt.

Der Indikator Ransomware-Aktivität Verdacht kann zwei Arten haben. Sie sind:

  • Verdacht auf Ransomware-Aktivität (Dateien ersetzt) weist auf gelöschte und neue Dateien hin, die einem Ransomware-Angriff ähneln. Die Angriffsmuster können zu mehr Uploads führen als die Anzahl der gelöschten Dateien. Beispielsweise kann eine Lösegeldforderung zusammen mit den anderen Dateien hochgeladen werden.

  • Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) weist auf Dateien hin, die auf eine Art und Weise aktualisiert wurden, die einem Ransomware-Angriff ähnelt.

Wie analysiert man den Ransomware-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der innerhalb von 15 Minuten viele Dateien gelöscht und durch verschiedene Versionen ersetzt hat. Durch diese Aktion hat Adam Maxwell ungewöhnliches und verdächtiges Verhalten ausgelöst, basierend auf dem, was die maschinellen Lernalgorithmen für diesen bestimmten Benutzer als normal erachten.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für Ransomware-Aktivität Verdacht (Dateien ersetzt) auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie Name der Datei, Speicherort der Datei angezeigt.

Um den Indikator für das Risiko von Ransomware-Aktivitäten anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Wählen Sie in der Risikozeitleiste des Benutzers den Risikoindikator Ransomware-Aktivität verdächtigt (Dateien ersetzt), der für den Benutzer gemeldet wurde.

Ransomware-Dateien aktualisiert

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des vermuteten Ereignisses der Ransomware-Aktivität anzeigen. Sie können die Anzahl der gelöschten und ersetzten Dateien sowie den Zeitpunkt des Ereignisses anzeigen.

Ransomware-Dateien aktualisiert, was passiert ist

  • Im Abschnitt EVENT DETAILS – FILE OPERATIONS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit. Die Zeit, zu der die Datei ersetzt oder gelöscht wurde.

    • Dateiname. Der Name der Datei.

    • Pfad. Der Pfad, in dem sich die Datei befindet.

    Ransomware-Dateien aktualisierte Ereignisdetails

Ebenso können Sie den gemeldeten Ransomware-Risikoindikator für verdächtige Ransomware-Aktivitäten (Dateien aktualisiert) auswählen. Sie können die Details dieses Ereignisses anzeigen, wie:

  • Der Grund, warum der Risikoindikator ausgelöst wird.

  • Die Anzahl der Dateien, die mit verschlüsselten Versionen aktualisiert wurden.

  • Der Zeitpunkt des Ereignisses (Dateien, die aktualisiert werden).

  • Der Name der Dateien.

  • Der Speicherort der Dateien.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie deren Zugriff einschränken oder widerrufen, indem Sie ihr Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.