Citrix Analytics für Sicherheit

Citrix Content Collaboration Risikoindikatoren

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf einer ungewöhnlichen Anmeldeaktivität und löst den entsprechenden Risikoindikator aus.

Wann wird der Access von einem ungewöhnlichen Standortrisikoindikator ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrer Organisation von einem anderen Standort als seinem üblichen Standort anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Benutzers ermittelt. Content Collaboration erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von früheren Anmelderorten entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Risikoindikator Zugriff von einem ungewöhnlichen Standortrisiko wird zur Risikozeitleiste des Benutzers hinzugefügt.

Der Risikofaktor für den Zugriff von einem ungewöhnlichen Standortrisikoindikator sind die standortbasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Betrachten Sie den Benutzer Kevin Smith, der sich zum ersten Mal aus Bengaluru, Indien, anmeldet. Seine üblichen Anmeldeorte in den letzten 30 Tagen sind Kanada, England, Deutschland und die Niederlande. Durch diese Aktion löste Kevin Smith den Machine Learning-Algorithmus aus, der ungewöhnliches Verhalten erkannte.

Aus der Zeitleiste von Kevin Smith können Sie den gemeldeten Zugriff aus einem ungewöhnlichen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie Anmeldezeit und Client-IP-Adresse angezeigt.

Um den Indikator Zugriff von einem ungewöhnlichen Standortrisikoindikator aus anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Zugang von einem ungewöhnlichen Ort

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Zugriffs von dem ungewöhnlichen Standortereignis anzeigen. Sie können die Anzahl der verdächtigen Anmeldungen anzeigen, die während eines bestimmten Zeitraums stattgefunden haben.

    Ungewöhnlicher Anmeldezugriff auf Inhalte Zusammenarbeit was ist passiert

  • Anmeldeorte: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Orte an, von denen aus sich der Benutzer angemeldet hat.

    Sign in location

  • Anzahl der Anmeldungen von üblichen Standorten - letzte 30 Tage: Zeigt eine Tortendiagramm-Ansicht der 6 üblichen Orte an, von denen aus sich der Benutzer in den letzten 30 Tagen angemeldet hat. Es zeigt auch die Anzahl der Anmeldeereignisse an diesen Orten an.

    Tortendiagramme

  • Ereignisdetails für ungewöhnlichen Ort: Stellt die Liste der Anmeldeereignisse vom ungewöhnlichen Ort für den Benutzer bereit. Die Tabelle enthält die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    Details zu ungewöhnlichen Anmeldezugriffsereignissen für die Zusammenarbeit mit Inhalten

    • Datum und Uhrzeit Gibt das Datum und die Uhrzeit des ungewöhnlichen Anmeldestandortereignisses an.
    • Client-IP. Gibt die IP-Adresse des Clientgeräts an.
    • Geräte-OS. Gibt das Betriebssystem des Geräts an, mit dem sich der Benutzer am ungewöhnlichen Speicherort angemeldet hat.
    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßiger Zugriff auf vertrauliche Dateien

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateizugriffsaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird ausgelöst, wenn das Verhalten eines Benutzers hinsichtlich des Zugriffs auf sensible Dateien übermäßig ist. Diese ungewöhnliche Aktivität kann auf ein Problem mit dem Benutzerkonto hinweisen, z. B. auf einen Angriff auf sein Konto.

Der mit dem Risikoindikator für übermäßigen Zugriff auf sensible Dateien verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der übermäßige Zugriff auf vertrauliche Dateien Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer auf eine ungewöhnliche Menge an Daten zugegriffen hat, die während eines bestimmten Zeitraums als sensibel eingestuft wurden. Diese Warnung wird ausgelöst, wenn ein Benutzer auf sensible Daten zugreift, die durch eine Lösung zur Verhinderung von Datenverlust (DLP) oder Cloud Access Security Broker (CASB) identifiziert wurden. Wenn Content Collaboration dieses übermäßige Verhalten erkennt, empfängt Citrix Analytics die Ereignisse und erhöht die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den übermäßigen Zugriff auf sensible Dateien Risikoindikator?

Man denke, der Benutzer Adam Maxwell hatte Zugriff auf 10 sensible Dateien, die er innerhalb von 15 Minuten auf sein lokales System heruntergeladen hatte. Der Risikoindikator für übermäßigen Zugriff auf sensible Dateien wird ausgelöst, weil er einen Schwellenwert überschreitet. Der Schwellenwert wird basierend auf der Anzahl der sensiblen Dateien berechnet, die in einem bestimmten Zeitfenster heruntergeladen werden, wobei Kontextinformationen wie den Download-Mechanismus berücksichtigt werden.

Aus Adam Maxwells Timeline können Sie den gemeldeten Risikoindikator für übermäßigen Zugriff auf sensible Dateien auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Download-Zeit angezeigt.

Um den Risikoindikator für übermäßigen Zugriff auf vertrauliche Dateien anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Übermäßiger Zugriff auf vertrauliche Dateien

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Risikoindikators für übermäßigen Zugriff auf sensible Dateien anzeigen. Sie können die Anzahl der vertraulichen Dateien anzeigen, die von Citrix Analytics als übermäßig eingestuft wurden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

    Übermäßiger Zugriff auf sensible Dateien, was passiert ist

  • Im Abschnitt EREIGNISDETAILS — SENSITIVE DATEN DOWNLOAD werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit heruntergeladen. Zeitpunkt, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Größe der Datei. Die Größe der heruntergeladenen Datei.

    Übermäßiger Zugriff auf vertrauliche Dateien Ereignisdetails

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie während des Auftretens des Ereignisses Folgendes anzeigen:

    • Gesamtzahl der heruntergeladenen vertraulichen Dateien.

    • Gesamtgröße der vom Benutzer heruntergeladenen Dateien.

    Übermäßiger Zugriff auf kontextbezogene Daten für sensible Dateien

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateifreigabe

Citrix Analytics erkennt Datenbedrohungen aufgrund übermäßiger Dateifreigabeaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Indikator für übermäßige Dateifreigabe wird ausgelöst, wenn es eine Abweichung vom typischen Filesharing-Verhalten des Benutzers gibt. Jede Abweichung von einem regulären Filesharing-Verhalten wird als ungewöhnlich angesehen und das Benutzerkonto wird auf diese verdächtige Aktivität untersucht.

Der Risikofaktor, der mit dem Risikoindikator für übermäßige Filesharing verbunden ist, sind die Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Indikator für übermäßige Dateifreigabe ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation unter normalem Verhalten häufiger als erwartet Dateien freigegeben hat. Indem Sie auf die Benachrichtigung über einen Benutzer antworten, der übermäßig Dateien freigegeben hat, können Sie eine Datenexfiltration verhindern.

Citrix Analytics empfängt Freigabeereignisse von Content Collaboration, analysiert sie und erhöht die Risikobewertung eines Benutzers, der ein übermäßiges Freigabeverhalten aufweist. Der Risikoindikator für übermäßige Dateifreigabe wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Dateifreigabe?

Betrachten Sie den Benutzer Adam Maxwell, der innerhalb eines Tages sechsmal Dateien geteilt hat. Durch diese Aktion hat Adam Maxwell Dateien öfter geteilt, als er normalerweise basierend auf maschinellem Lernen Algorithmen tut.

Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Risikoindikator für übermäßige Dateifreigabe auswählen. Der Grund für das Ereignis wird zusammen mit Details wie dem freigegebenen Link “Content Collaboration”, dem Zeitpunkt der Freigabe der Datei und mehr angezeigt.

Um den Risikoindikator für übermäßige Dateifreigabe anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Übermäßige Dateifreigabe

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des übermäßigen Filesharing-Ereignisses anzeigen. Sie können die Anzahl der an Empfänger gesendeten Freigabelinks und den Zeitpunkt der Freigabe anzeigen.

    Übermäßiges Filesharing was passiert

  • Im Abschnitt EVENT-DETAILS — EXZESSIVE FILES SHARED wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit geteilt. Die Zeit, zu der die Datei geteilt wurde.

    • ID teilen. Der Link Content Collaboration, über den die Datei geteilt wurde.

    • Betrieb. Der Vorgang, den der Benutzer mit Content Collaboration durchführte.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei freigegeben wurde.

      Details zu exzessiven Dateifreigabeereignis

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie die Gesamtzahl der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses freigegeben hat.

    Exzessiver Dateiaustausch kontextbezogene Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Risikoindikator für übermäßige Dateifreigabe auslöst, können Sie mit Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

  • Ändern Sie Links zu schreibgeschützter Freigabe. Wenn ein Benutzer den Risikoindikator für übermäßige Dateifreigabe auslöst, können Sie mit Citrix Analytics die mit diesem Indikator verknüpften Freigabelinks in den schreibgeschützten Freigabemodus ändern. Diese Aktion verhindert, dass andere Benutzer die mit den Freigabe-Links verknüpften Dateien herunterladen, kopieren oder drucken.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

  • Wenn der Benutzer deaktiviert ist, kann er sich nicht bei Content Collaboration anmelden. Sie sehen auf der Anmeldeseite eine Benachrichtigung, in der sie aufgefordert werden, sich an ihren Content Collaboration Account-Administrator zu wenden, um weitere Informationen zu erhalten.

  • Wenn ein Freigabelink deaktiviert ist, ist der Freigabelink für keinen Benutzer oder Empfänger zugänglich. Wenn der Benutzer erneut versucht, auf den Freigabelink zuzugreifen, zeigt die Seite dem Empfänger eine Meldung an, dass der Link nicht mehr verfügbar ist.

  • Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateiuploads

Citrix Analytics erkennt Datenbedrohungen basierend auf einer übermäßigen Dateiupload-Aktivität und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßiges Hochladen von Dateien hilft Ihnen dabei, ungewöhnliche Datei-Upload-Aktivitäten Jeder Benutzer hat ein Datei-Upload-Muster, dem er folgt, das Attribute enthält wie:

  • Zeitpunkt, zu dem die Dateien hochgeladen wurden

  • Art der hochgeladenen Dateien

  • Datei-Upload-Volumen

  • Dateiupload-Quelle

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator für übermäßige Datei-Uploads aus.

Der mit dem Risikoindikator für übermäßige Dateiuploads verbundene Risikofaktor sind die anderen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Datei-Uploads ausgelöst?

Übermäßige Dateiuploads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder eine Insider-Bedrohung hinweist, der versucht, bösartige oder verschlüsselte Inhalte hochzuladen. Wenn das Hochladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn das Volumen der hochgeladenen Daten das normale Upload-Verhalten des Benutzers basierend auf Algorithmen für maschinelles Lernen übersteigt.

Wenn Citrix Analytics ein übermäßiges Upload-Verhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Datei-Uploads wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Uploads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten hochgeladen hat. Durch diese Aktion übertraf Lemuel sein normales Upload-Verhalten basierend auf Algorithmen für maschinelles Lernen.

In der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Datei-Uploads auswählen. Der Grund für die Warnung wird zusammen mit Details des Ereignisses wie Dateiname, Upload-Zeit, Tool-Name und Quelle angezeigt.

Um den Risikoindikator für übermäßige Dateiuploads anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Übermäßige Dateiuploads

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Ereignisses übermäßiger Dateiuploads anzeigen. Sie können die Menge der vom Benutzer hochgeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Datei-Uploads was passiert ist

  • Im Abschnitt EVENT-DETAILS — EXZESSIVE FILES UPLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit hochgeladen. Zeitpunkt, zu dem die Datei hochgeladen wurde.

    • Dateiname. Der Name und die Erweiterung der hochgeladenen Datei.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Datei hochgeladen wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in das die Datei hochgeladen wurde.

    Übermäßige Datei-Upload-Ereignisdetails

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie die Gesamtgröße der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses hochgeladen hat.

    Übermäßiges Hochladen von Dateien

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Dateidownloads

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Dateidownloadaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßige Dateidownloads hilft Ihnen, ungewöhnliche Aktivitäten zum Herunterladen von Dateien zu identifizieren Jeder Benutzer hat ein Datei-Download-Muster, dem er folgt, das Attribute enthält wie:

  • Zeit, zu der die Dateien heruntergeladen wurden.

  • Art der heruntergeladenen Dateien.

  • Datei-Download-Volume usw.

Jede Abweichung vom üblichen Muster eines Benutzers löst den Risikoindikator für übermäßige Dateidownloads aus.

Der mit dem Risikoindikator für übermäßige Dateidownloads verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Dateidownloads ausgelöst?

Übermäßige Dateidownloads können als riskant eingestuft werden, da dies auf einen gefährdeten Benutzer oder einen Insider hinweist, der möglicherweise versucht, Daten zu exfiltrieren. Wenn das Herunterladen einer großen Datenmenge nicht mit dem normalen Verhalten des Benutzers übereinstimmt, kann es im allgemeineren Sinne als verdächtig angesehen werden. Diese Warnung wird ausgelöst, wenn das Volumen der heruntergeladenen Daten das normale Download-Verhalten des Benutzers auf Basis von Algorithmen für maschinelles Lernen übersteigt.

Wenn Citrix Analytics ein übermäßiges Downloadverhalten erkennt, wird die Risikobewertung des jeweiligen Benutzers erhöht. Der Risikoindikator für übermäßige Dateidownloads wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man die übermäßige Datei-Downloads Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der innerhalb einer Stunde eine große Menge an Daten auf sein lokales System heruntergeladen hat. Durch diese Aktion übertraf Lemuel sein normales Download-Verhalten basierend auf Algorithmen für maschinelles Lernen.

In der Zeitleiste des Benutzers können Sie den gemeldeten Risikoindikator für übermäßige Dateidownloads auswählen. Der Grund für den übermäßigen Dateidownload wird zusammen mit Details des Ereignisses wie Dateiname, Dateigröße und Downloadzeit angezeigt.

Um den Risikoindikator für übermäßige Dateidownloads anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Übermäßige Dateidownloads

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Ereignisses zum übermäßigen Dateidownload anzeigen. Sie können die Menge der vom Benutzer heruntergeladenen Daten und den Zeitpunkt des Ereignisses anzeigen.

Übermäßige Dateidownloads was passiert ist

  • Im Abschnitt EVENT-DETAILS — EXZESSIVE DATEIEN DOWNLOADS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit heruntergeladen. Zeitpunkt, zu dem die Datei heruntergeladen wurde.

    • Dateiname. Der Name und die Erweiterung der heruntergeladenen Datei.

    • Quelle. Repository (Citrix Files, OneDrive usw.), von dem die Datei heruntergeladen wurde.

    • Größe der Datei. Die Größe der heruntergeladenen Datei.

      Ereignisdetails zu exzessiven Downloads von Dateien

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie die gesamte Downloadgröße der Dateien anzeigen, die der Benutzer während des Auftretens des Ereignisses heruntergeladen hat.

    Übermäßige Datei lädt kontextbezogene Informationen herunter

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßiges Löschen von Dateien oder Ordnern

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Datei- oder Ordnerlöschaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird ausgelöst, wenn das Verhalten eines Benutzers beim Löschen von Ordnerdateien übermäßig ist. Diese Anomalie kann auf ein Problem mit dem Konto des Benutzers hinweisen, z. B. auf einen Angriff auf sein Konto.

Der mit dem Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Datei- oder Ordnerlöschung ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation innerhalb eines bestimmten Zeitraums eine übermäßige Anzahl von Dateien oder Ordnern gelöscht hat. Diese Warnung wird ausgelöst, wenn ein Benutzer eine übermäßige Anzahl von Dateien oder Ordnern außerhalb seines normalen Löschverhaltens basierend auf Machine-Learning-Algorithmen löscht.

Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung für den jeweiligen Benutzer. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Datei- oder Ordnerlöschung?

Betrachten Sie den Benutzer Lemuel, der im Laufe eines Tages viele Dateien oder Ordner gelöscht hat. Durch diese Aktion übertraf Lemuel sein normales Löschverhalten basierend auf Algorithmen für maschinelles Lernen.

In Lemuel Kildows Timeline können Sie den gemeldeten Risikoindikator für das Löschen von übermäßigen Dateien oder Ordnern auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit den Details des Ereignisses angezeigt, wie z. B. Art des Löschens (Datei oder Ordner), Uhrzeit des Löschens usw.

Um den Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Übermäßiges Löschen von Dateien oder Ordnern

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Ereignisses zum Löschen von Dateien oder Ordnern anzeigen. Sie können die Anzahl der gelöschten Dateien und Ordner sowie den Zeitpunkt des Ereignisses anzeigen.

    Übermäßiges Löschen von Dateien oder Ordnern, was passiert ist

  • Im Abschnitt EREIGNISDETAILS — EXZESSIVE DELETED ITEMS wird das Ereignis in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit gelöscht. Zeitpunkt, zu dem die Datei oder der Ordner gelöscht wurde.

    • Geben Sie ein. Elementtyp, der gelöscht wurde — Datei oder ein Ordner.

    • Name. Name der Datei oder des Ordners, der gelöscht wurde.

    • Quelle. Repository (Citrix Files, OneDrive usw.), in dem die Datei gelöscht wurde.

      Übermäßige Details zum Löschen von Dateien oder Ordnern

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ransomware-Aktivität verdächtigt

Citrix Analytics erkennt Datenbedrohungen basierend auf einer Ransomware-Aktivität und löst den entsprechenden Risikoindikator aus.

Ransomware ist eine Malware, die Benutzer daran hindert, auf ihre Dateien zuzugreifen, indem sie die Dateien entweder durch eine verschlüsselte Version ersetzt oder aktualisiert. Durch die Identifizierung von Ransomware-Angriffen über Dateien, die von Benutzern innerhalb einer Organisation gemeinsam genutzt werden, können Sie sicherstellen, dass die Produktivität nicht beeinträchtigt wird.

Der mit dem vermuteten Risikoindikator der Ransomware-Aktivität verbundene Risikofaktor sind die dateibasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Ransomware-Risikoindikator ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrem Konto versucht, eine übermäßige Anzahl von Dateien durch ähnliche Namen und verschiedene Erweiterungen zu löschen und zu ersetzen. Sie werden auch benachrichtigt, wenn ein Benutzer eine übermäßige Anzahl von Dateien mit ähnlichen Namen und unterschiedlichen Erweiterungen aktualisiert. Diese Aktivität zeigt an, dass das Benutzerkonto kompromittiert wurde und ein möglicher Ransomware-Angriff stattgefunden hat. Wenn Citrix Analytics dieses Verhalten erkennt, erhöht es die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für Ransomware-Aktivitäten wird zur Risikozeitleiste des Benutzers hinzugefügt.

Der Indikator Ransomware-Aktivität Verdacht kann zwei Arten haben. Sie sind:

  • Verdacht auf Ransomware-Aktivität (Dateien ersetzt) weist auf einen Versuch hin, die vorhandenen Dateien zu löschen und durch eine neue Version der Dateien zu ersetzen, die einem Ransomware-Angriff ähneln. Die Angriffsmuster können zu mehr Uploads führen als die Anzahl der gelöschten Dateien. Beispielsweise kann eine Lösegeldforderung zusammen mit den anderen Dateien hochgeladen werden.

  • Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) weist auf einen Versuch hin, die vorhandenen Dateien mit einer modifizierten Version der Dateien zu aktualisieren, die einem Ransomware-Angriff ähnelt.

Wie analysiert man den Ransomware-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der versucht, viele Dateien mit modifizierten Versionen innerhalb von 15 Minuten zu aktualisieren. Durch diese Aktion hat Adam Maxwell ungewöhnliches und verdächtiges Verhalten ausgelöst, basierend auf dem, was die maschinellen Lernalgorithmen für diesen bestimmten Benutzer als normal erachten.

Aus Adam Maxwells Timeline können Sie den gemeldeten Risikoindikator für Ransomware-Aktivität Verdacht (Dateien aktualisiert) auswählen. Der Grund für das Ereignis wird auf dem Bildschirm zusammen mit Details wie dem Namen der Datei und dem Speicherort der Datei angezeigt.

Um den Risikoindikator für verdächtigte Ransomware-Aktivitäten (Dateien aktualisiert) anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus. Wählen Sie aus der Risikozeitleiste des Benutzers den Risikoindikator für den Verdacht auf Ransomware-Aktivität (Dateien aktualisiert) aus, der für den Benutzer ausgelöst wird.

Ransomware-Dateien aktualisiert

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des vermuteten Ereignisses der Ransomware-Aktivität anzeigen. Sie können die Anzahl der Dateien, die auf verdächtige Weise aktualisiert wurden, und den Zeitpunkt des Ereignisses anzeigen.

    Ransomware-Dateien aktualisiert

  • Im Abschnitt EVENT DETAILS — FILE OPERATIONS wird das Ereignis in grafischem und tabellarischem Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Time. Die Uhrzeit, zu der die Datei aktualisiert wurde.

    • Dateiname. Der Name der Datei.

    • Pfad. Der Pfad, in dem sich die Datei befindet.

      Ransomware-Dateien aktualisierte Ereignisdetails

Ebenso können Sie den Risikoindikator für die gemeldete Ransomware-Aktivität (Ersetzte Dateien) auswählen. Sie können die Details dieses Ereignisses anzeigen, wie:

  • Der Grund, warum der Risikoindikator ausgelöst wird.

  • Die Anzahl der Dateien, die gelöscht und durch eine neue Version ersetzt wurden.

    Datei wurde ersetzt

  • Die Zeit, zu der das Ereignis (Dateien werden ersetzt) aufgetreten ist.

  • Der Name der Dateien.

  • Der Speicherort der Dateien.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

  • Alle freigegebenen Links ablaufen. Wenn ein Benutzer den Indikator für übermäßige Dateifreigabe auslöst, können Sie Citrix Analytics alle mit diesem Indikator verknüpften Links ablaufen.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ungewöhnliche Authentifizierungsfehler

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Authentifizierungsaktivitäten von ungewöhnlichen IP-Adressen.

Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer fehlgeschlagene Anmeldeversuche von einer IP-Adresse aus unternimmt, die aufgrund des historischen Zugriffsmusters des Benutzers als ungewöhnlich angesehen wird. Durch die Identifizierung von Benutzern mit ungewöhnlichen Authentifizierungsfehlern, basierend auf dem vorherigen Verhalten, können Administratoren das Benutzerkonto auf Brute-Force-Angriffe überwachen.

Der Risikofaktor, der mit dem Indikator für das Risiko eines ungewöhnlichen Authentifizierungsfehlers verbunden ist, sind die auf Anmeldefehlern basierenden Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für Ungewöhnliche Authentifizierungsfehler ausgelöst?

Sie werden benachrichtigt, wenn ein Benutzer in Ihrer Organisation mehrere fehlgeschlagene Anmeldeversuche hat, die dem üblichen Verhalten widersprechen.

Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird ausgelöst, wenn ein Benutzer wiederholt versucht, sich am Content Collaboration Service anzumelden. Wenn dieses Verhalten erkannt wird, erhöht Citrix Analytics die Risikobewertung des jeweiligen Benutzers. Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für ungewöhnliche Authentifizierungsfehler?

Betrachten Sie die Benutzerin Maria Brown, die mehrmals versucht hat, sich bei Content Collaboration anzumelden. Durch diese Aktion löste Maria Brown den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannte. Aus Marias Timeline können Sie den gemeldeten Risikoindikator für ungewöhnliche Authentifizierungsfehler auswählen. Grund für das Ereignis und die Ereignisdetails werden auf dem Bildschirm angezeigt.

Um den Risikoindikator für ungewöhnliche Authentifizierungsfehler anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Ungewöhnliche Authentifizierungsfehler

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses bei ungewöhnlichen Authentifizierungsfehlern anzeigen. Sie können die Anzahl fehlgeschlagener Anmeldungen anzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

    Übermäßige Authentifizierungsfehler

  • Im Abschnitt UNGEWÖHNLICHE AUTHENTIFIZIERUNG FEHLGESCHLAGENE - EREIGNISDETAILS können Sie die Zeitleiste der Ereignisse und ihre Details anzeigen. Die Tabelle enthält die folgenden Schlüsselinformationen:

    • Zeitpunkt des Ereignisses. Die Zeit jedes Anmeldeversuchs.

    • Client-IP. Die IP-Adresse des Netzwerks des Nutzers.

    • Standort. Der Standort des Benutzergeräts.

    • Werkzeugname. Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.

    • Betriebssystem. Das Betriebssystem des Benutzergeräts.

      Ungewöhnliche Authentifizierungsfehler

    <! —! [Ungewöhnliche Authentifizierungsfehler] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

  • Im Abschnitt AUTHENTIFIZIERUNGSAKTIVITÄT — PREVIOUS 30 DAYS enthält die Tabelle die folgenden Informationen über die letzten 30 Tage der Authentifizierungsaktivität für den Benutzer:

    • Subnetz — Die IP-Adresse aus dem Benutzernetzwerk.

    • Erfolg — Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und der Zeitpunkt des letzten Erfolgsereignisses für den Benutzer.

    • Fehler — Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und der Zeitpunkt des letzten fehlgeschlagenen Ereignisses für den Benutzer.

    • Ort — Der Ort, von dem aus das Authentifizierungsereignis stattgefunden hat.

      Aktivität zur Authentifizierung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer deaktivieren. Mit Citrix Analytics können Sie ihren Zugriff einschränken oder widerrufen, indem Sie das Content Collaboration Konto deaktivieren.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Content Collaboration Risikoindikatoren