Citrix Analytics für Sicherheit

Citrix Endpoint Management-Risikoindikatoren

Gerät mit Apps auf der Sperrliste erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Aktivitäten in einem Gerät mit gesperrten Apps und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Gerät mit Apps auf der Sperrliste wird ausgelöst, wenn der Endpoint Management Dienst während der Softwareinventur eine App auf der Sperrliste erkennt. Die Warnung stellt sicher, dass nur autorisierte Apps auf Geräten ausgeführt werden, die sich im Netzwerk Ihrer Organisation befinden.

Der Risikofaktor, der mit dem Gerät verbunden ist, bei dem gesperrte App erkannt wurden, sind die anderen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird das Gerät mit gefundenen Apps auf der Sperrliste ausgelöst?

Der Risikoindikator Gerät mit Apps auf der Sperrliste erkannt wird, wird gemeldet, wenn Apps auf dem Gerät eines Benutzers auf der Sperrliste erkannt werden. Wenn der Endpoint Management Dienst eine oder mehrere Apps auf der Sperrliste auf einem Gerät während der Softwareinventur erkennt, wird ein Ereignis an Citrix Analytics gesendet.

Citrix Analytics überwacht diese Ereignisse und aktualisiert den Risikowert des Benutzers. Außerdem fügt es ein Gerät mit auf Apps auf der Sperrliste erkannt Risikoindikatoreintrag zur Risikozeitleiste des Benutzers hinzu.

Wie analysiert man das Gerät mit dem Risikofaktor “Apps auf der Sperrliste erkannt”?

Betrachten Sie den Benutzer Andrew Jackson, der ein Gerät verwendet hat, auf dem kürzlich Apps auf der Sperrliste installiert wurden. Endpoint Management meldet diese Bedingung an Citrix Analytics, die Andrew Jackson eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Andrew Jackson können Sie den gemeldeten Risikoindikator Gerät mit auf Apps auf der Sperrliste erkannt auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Liste der Apps auf der Sperrliste angezeigt, der Zeitpunkt, zu dem Endpoint Management die App auf der Sperrliste erkannt hat usw.

Um den Risikoindikator Gerät mit auf Apps auf der Sperrliste erkannt für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Gerät mit Apps auf der Sperrliste erkannt

  • Im Abschnitt WAS PASSIERT IST, können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der Geräte mit Anwendungen auf der Sperrliste anzeigen, die vom Endpoint Management-Dienst erkannt wurden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

    Gerät mit Apps auf der Sperrliste erkannt - Was ist passiert

  • Im Abschnitt EREIGNISDETAILS — BLACKLISTED APP DEVICE ACCESS werden die Ereignisse in grafischem und tabellarischem Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Erfasste Zeit- Wenn das Vorhandensein von Apps auf der Sperrliste von Endpoint Management gemeldet wurde.

    • Apps auf der Sperrliste- Die Apps auf der Sperrliste auf dem Gerät.

    • Gerät- Das verwendete Mobilgerät.

    • Geräte-ID- Informationen über die ID des Geräts, das zur Anmeldung bei der Sitzung verwendet wird.

    • Betriebssystem- Das Betriebssystem des Mobilgeräts.

      Gerät mit Apps auf der Sperrliste, die Ereignisdetails erkannt wurden

Hinweis

Zusätzlich zum Anzeigen der Details in einem Tabellenformat können Sie auf den Pfeil gegen die Instanz einer Warnung klicken, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Jailbreak oder gerootetes Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Jailbreak- oder Root-Geräteaktivitäten und löst den entsprechenden Risikoindikator aus.

Die Risikoanzeige für Geräte mit Jailbreak oder Root wird ausgelöst, wenn ein Benutzer ein Gerät mit Jailbreak oder Root verwendet, um eine Verbindung zum Netzwerk herzustellen. Secure Hub erkennt das Gerät und meldet den Vorfall an den Endpoint Management Dienst. Die Warnung stellt sicher, dass sich nur autorisierte Benutzer und Geräte im Netzwerk Ihres Unternehmens befinden.

Der mit dem Risikoindikator für Jailbroken oder Rooted Device verbundene Risikofaktor sind die anderen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für Jailbroken oder Rooting Device ausgelöst?

Es ist wichtig, dass Sicherheitsbeauftragte sicherstellen können, dass Benutzer über netzwerkkompatible Geräte eine Verbindung herstellen. Der Risikoindikator mit Jailbreak oder Root-Gerät erkennt Sie an Benutzer mit iOS-Geräten mit Jailbreak oder Android-Geräten, die gerootet sind.

Der Risikoindikator für Geräte mit Jailbreak oder Root wird ausgelöst, wenn ein registriertes Gerät Jailbreak oder Root erhält. Secure Hub erkennt das Ereignis auf dem Gerät und meldet es an den Endpoint Management-Dienst.

Wie analysiert man den erkannten Risikoindikator mit Jailbreak oder Root-Gerät?

Betrachten Sie die Benutzerin Georgina Kalou, deren registrierte iOS-Gerät kürzlich einen Jailbreak hatte. Dieses verdächtige Verhalten wird von Citrix Analytics erkannt und Georgina Kalou wird eine Risikobewertung zugewiesen.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für Jailbroken oder verwurzelte Geräte auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator mit Jailbreak oder gerootetes Gerät für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Jailbreak oder gerootetes Gerät erkannt

  • Im Abschnitt WAS PASSIERT IST, können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der erkannten Geräte mit Jailbreak oder Root sowie den Zeitpunkt des Auftretens der Ereignisse anzeigen.

    Jailbreak oder gerootetes Gerät hat erkannt, was passiert ist

  • Im Abschnitt EREIGNISDETAILS — DEVICE DETECTED werden die Ereignisse in grafischem und tabellarischem Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Die Zeit, zu der das Gerät mit Jailbreak oder Root erkannt wird.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Informationen über die ID des Geräts, das zur Anmeldung an der Sitzung verwendet wird.

    • Betriebssystem. Das Betriebssystem des Mobilgeräts.

    Jailbroken oder gerooted Gerät erkannt Ereignisdetails

Hinweis Klicken Sie

zusätzlich zum Anzeigen der Details im Tabellenformat auf den Pfeil gegen die Instanz einer Warnung, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Nicht verwaltetes Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf nicht verwalteten Geräteaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator für nicht verwaltetes Gerät wird ausgelöst, wenn ein Gerät:

  • Aufgrund einer automatisierten Aktion aus der Ferne gelöscht.

  • Manuell vom Administrator gelöscht.

  • Vom Benutzer nicht registriert.

Der mit dem Risikoindikator für nicht verwaltete Geräte verbundene Risikofaktor sind die anderen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für das nicht verwaltete Gerät ausgelöst?

Der Risikoindikator für nicht verwaltete Geräte wird gemeldet, wenn das Gerät eines Benutzers nicht verwaltet wurde. Ein Gerät ändert sich in einen nicht verwalteten Zustand aufgrund von:

  • Eine vom Benutzer ausgeführte Aktion.

  • Eine Aktion, die vom Endpoint Management-Administrator oder vom Server ausgeführt wurde.

In Ihrer Organisation können Sie mithilfe des Endpoint Management-Dienstes die Geräte und Apps verwalten, die auf das Netzwerk zugreifen. Weitere Informationen finden Sie unter Verwaltungsmodi.

Wenn das Gerät eines Benutzers in einen nicht verwalteten Status wechselt, erkennt der Endpoint Management-Dienst dieses Ereignis und meldet es an Citrix Analytics. Der Risikowert des Benutzers wird aktualisiert. Der Risikoindikator für nicht verwaltete Geräte wurde zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man nicht verwaltete Geräte erkannte Risikoindikator?

Betrachten Sie die Benutzerin Georgina Kalou, deren Gerät durch eine automatisierte Aktion auf dem Server remote gelöscht wird. Endpoint Management meldet dieses Ereignis an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für nicht verwaltete Geräte auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator für nicht verwaltetes Gerät für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Nicht verwaltetes Gerät erkannt

  • Im Abschnitt WAS PASSIERT IST, können Sie eine Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der erkannten nicht verwalteten Geräte und den Zeitpunkt des Auftretens der Ereignisse anzeigen.

Nicht verwaltetes Gerät hat erkannt was passiert ist

  • Im Abschnitt EREIGNISDETAILS — DEVICE DETECTED werden die Ereignisse in grafischem und tabellarischem Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Die Uhrzeit, zu der das Ereignis erkannt wurde.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Die Geräte-ID des Mobilgeräts.

    • Betriebssystem. Das Betriebssystem des Mobilgeräts.

      Nicht verwaltetes Gerät hat Ereignisdetails erkannt

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Endpoint Management-Risikoindikatoren