Citrix Analytics für Sicherheit

Citrix Endpoint Management Risikoindikatoren

Nicht verwaltetes Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf nicht verwalteten Geräteaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Nicht verwaltetes Gerät erkannt wird ausgelöst, wenn ein Gerät:

  • Remote gelöscht aufgrund einer automatisierten Aktion.

  • Manuell vom Administrator gelöscht.

  • Vom Benutzer wird die Anmeldung aufgehoben.

Wann wird der Risikoindikator für das nicht verwaltete Gerät ausgelöst?

Der Risikoindikator Nicht verwaltetes Gerät erkannt wird gemeldet, wenn das Gerät eines Benutzers nicht verwaltet wurde. Ein Gerät ändert sich in einen nicht verwalteten Zustand aufgrund von:

  • Eine vom Benutzer ausgeführte Aktion.

  • Eine Aktion, die vom Endpoint Management Administrator oder vom Server ausgeführt wird.

In Ihrer Organisation können Sie mithilfe des Endpoint Management Dienstes die Geräte und Apps verwalten, die auf das Netzwerk zugreifen. Weitere Informationen finden Sie unter Verwaltungsmodi.

Wenn das Gerät eines Benutzers in einen nicht verwalteten Zustand wechselt, erkennt der Endpoint Management Dienst dieses Ereignis und meldet es an Citrix Analytics. Die Risikobewertung des Benutzers wird aktualisiert, und Sie sehen eine Benachrichtigung im Bedienfeld Alerts. Anschließend wird der Risikoindikator Nicht verwaltetes Gerät erkannt der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man nicht verwaltete Geräte erkannte Risikoindikator?

Betrachten Sie den Benutzer Georgina Kalou, dessen Gerät remote durch eine automatisierte Aktion auf dem Server gelöscht wird. Endpoint Management meldet dieses Ereignis an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für nicht verwaltete Geräte auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator Nicht verwaltetes Gerät erkannt für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Nicht verwaltetes Gerät erkannt

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der erkannten nicht verwalteten Geräte und den Zeitpunkt der Ereignisse anzeigen.

Unverwaltetes Gerät hat erkannt, was passiert ist

  • Im Abschnitt EVENT DETAILS – DEVICE DETECTED werden die Ereignisse im grafischen und tabellarischen Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Der Zeitpunkt, zu dem das Ereignis erkannt wurde.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Die Geräte-ID des mobilen Geräts.

    • Betriebssystem. Das Betriebssystem des mobilen Geräts.

    Nicht verwaltetes Gerät erkannte Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Gerät sperren Bei ungewöhnlichen Aktivitäten auf dem Gerät können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und mit ihrer Arbeit fortfahren.

  • Endpoint Management Administrator benachrichtigen. Wenn auf dem Endpoint Management Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten auftreten, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Mit Jailbreak oder Rooting Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Jailbroken oder Rooting Device Activity und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Jailbroken oder Rooting Device wird ausgelöst, wenn ein Benutzer ein Jailbroken oder Rooted Device verwendet, um eine Verbindung mit dem Netzwerk herzustellen. Secure Hub erkennt das Gerät und meldet den Vorfall an den Endpoint Management Dienst. Die Warnung stellt sicher, dass sich nur autorisierte Benutzer und Geräte im Netzwerk Ihrer Organisation befinden.

Wann wird der Risikoindikator für Jailbroken oder Rooting Device ausgelöst?

Es ist wichtig, dass Sicherheitsbeauftragte sicherstellen können, dass Benutzer über netzwerkkonforme Geräte eine Verbindung herstellen. Die Jailbroken oder Rooting Gerät erkannt Risikoindikator warnt Sie an Benutzer mit iOS-Geräten, die Jailbroken oder Android Geräte, die gerootet sind.

Der Risikoindikator Jailbroken oder Rooting Device wird ausgelöst, wenn ein registriertes Gerät Jailbroken oder Rooted wird. Secure Hub erkennt das Ereignis auf dem Gerät und meldet es an den Endpoint Management Dienst.

Wie analysiert man den Jailbroken oder Rooting Gerät erkannt Risikoindikator?

Betrachten Sie den Benutzer Georgina Kalou, dessen registrierte iOS-Gerät kürzlich Jailbroken wurde. Dieses verdächtige Verhalten wird von Citrix Analytics erkannt und Georgina Kalou wird eine Risikobewertung zugewiesen.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für Jailbroken oder Rooting Device Detected auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator Jailbroken” oder “Rooted Device Detected für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Mit Jailbreak oder Rooting Gerät erkannt

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der entdeckten Jailbroken oder Rooting Geräte und den Zeitpunkt der Ereignisse anzeigen.

Jailbroken oder Rooting Gerät erkannt, was passiert ist

  • Im Abschnitt EVENT DETAILS – DEVICE DETECTED werden die Ereignisse im grafischen und tabellarischen Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Die Zeit, zu der das jailbroken oder gerooted Gerät erkannt wird.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Informationen zur ID des Geräts, das zur Anmeldung an der Sitzung verwendet wird.

    • Betriebssystem. Das Betriebssystem des mobilen Geräts.

    Jailbroken oder gerooted Gerät erkannt Ereignisdetails

Hinweis

Zusätzlich zum Anzeigen der Details in tabellarischer Form können Sie auf den Pfeil gegen die Instanz einer Warnung klicken, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Gerät sperren Bei ungewöhnlichen Aktivitäten auf dem Gerät können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und mit ihrer Arbeit fortfahren.

  • Endpoint Management Administrator benachrichtigen. Wenn auf dem Endpoint Management Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten auftreten, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Gerät mit Apps auf der schwarzen Liste erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Aktivitäten in einem Gerät mit Apps auf der schwarzen Liste und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Gerät mit Apps auf der schwarzen Liste wird ausgelöst, wenn der Endpoint Management Dienst während der Softwareinventur eine App auf der schwarzen Liste erkennt. Die Warnung stellt sicher, dass nur autorisierte Apps auf Geräten ausgeführt werden, die sich im Netzwerk Ihrer Organisation befinden.

Wann wird das Gerät mit gefundenen Apps auf der schwarzen Liste ausgelöst?

Der Risikoindikator Gerät mit auf der schwarzen Liste erkannten Apps wird gemeldet, wenn Apps auf der schwarzen Liste auf dem Gerät eines Benutzers erkannt werden. Wenn der Endpoint Management Dienst eine oder mehrere Apps auf der schwarzen Liste auf einem Gerät während der Softwareinventur erkennt, wird ein Ereignis an Citrix Analytics gesendet.

Citrix Analytics überwacht diese Ereignisse, aktualisiert die Risikobewertung des Benutzers und erstellt eine Benachrichtigung im Bedienfeld “Alerts”. Außerdem fügt es ein Gerät mit einer auf der schwarzen Liste erkannten Apps zur Risikozeitleiste des Benutzers hinzu.

Wie analysiert man das Gerät mit der schwarzen Liste Apps erkannt Risikoindikator?

Betrachten Sie den Benutzer Andrew Jackson, der ein Gerät verwendet hat, auf dem kürzlich Apps auf der schwarzen Liste installiert wurden. Endpoint Management meldet diese Bedingung an Citrix Analytics, die Andrew Jackson eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Andrew Jackson können Sie das gemeldete Gerät mit einer auf der schwarzen Liste erkannten Apps auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Liste der Apps auf der schwarzen Liste angezeigt, der Zeitpunkt, zu dem Endpoint Management die App auf der schwarzen Liste erkannt hat usw.

Um die Risikoindikator Gerät mit einer schwarzen Liste von Apps für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Gerät mit Apps auf der schwarzen Liste erkannt

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der Geräte mit Anwendungen auf der schwarzen Liste anzeigen, die vom Endpoint Management Dienst erkannt wurden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

Gerät mit Apps auf der schwarzen Liste hat erkannt, was passiert ist

  • Im Abschnitt EVENT DETAILS – BLACKLISTED APP DEVICE ACCESS werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Wenn das Vorhandensein von Anwendungen auf der schwarzen Liste von Endpoint Management gemeldet.

    • Apps auf der schwarzen Liste. Die Apps auf der schwarzen Liste auf dem Gerät.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Informationen zur ID des Geräts, das zur Anmeldung an der Sitzung verwendet wird.

    • Betriebssystem. Das Betriebssystem des mobilen Geräts.

    Gerät mit Apps auf der schwarzen Liste, die Ereignisdetails erkannt wurden

Hinweis

Zusätzlich zum Anzeigen der Details in tabellarischer Form können Sie auf den Pfeil gegen die Instanz einer Warnung klicken, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Gerät sperren Bei ungewöhnlichen Aktivitäten auf dem Gerät können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und mit ihrer Arbeit fortfahren.

  • Endpoint Management Administrator benachrichtigen. Wenn auf dem Endpoint Management Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten auftreten, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Citrix Endpoint Management Risikoindikatoren