Citrix Analytics für Sicherheit

Citrix Endpoint Management Risikoindikatoren

Nicht verwaltetes Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf nicht verwalteten Geräteaktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Nicht verwaltetes Gerät erkannt wird ausgelöst, wenn ein Gerät:

  • Remote gelöscht aufgrund einer automatisierten Aktion.

  • Manuell vom Administrator gelöscht.

  • Vom Benutzer wird die Anmeldung aufgehoben.

Wann wird der Risikoindikator für das nicht verwaltete Gerät ausgelöst?

Der Risikoindikator für nicht verwaltete Geräte wird gemeldet, wenn das Gerät eines Benutzers nicht verwaltet wurde. Ein Gerät ändert sich in einen nicht verwalteten Zustand aufgrund von:

  • Eine vom Benutzer ausgeführte Aktion.

  • Eine Aktion, die vom Endpoint Management Administrator oder vom Server ausgeführt wird.

In Ihrer Organisation können Sie mithilfe des Endpoint Management Dienstes die Geräte und Apps verwalten, die auf das Netzwerk zugreifen. Weitere Informationen finden Sie unter Verwaltungsmodi.

Wenn das Gerät eines Benutzers in einen nicht verwalteten Status wechselt, erkennt der Endpoint Management-Dienst dieses Ereignis und meldet es an Citrix Analytics. Der Risikowert des Benutzers wird aktualisiert. Der Risikoindikator für nicht verwaltete Geräte wurde zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man nicht verwaltete Geräte erkannte Risikoindikator?

Betrachten Sie den Benutzer Georgina Kalou, dessen Gerät remote durch eine automatisierte Aktion auf dem Server gelöscht wird. Endpoint Management meldet dieses Ereignis an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für nicht verwaltete Geräte auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator Nicht verwaltetes Gerät erkannt für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Nicht verwaltetes Gerät erkannt

  • Im Abschnitt WHAT HAPPENED können Sie eine Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der erkannten nicht verwalteten Geräte und den Zeitpunkt der Ereignisse anzeigen.

Unverwaltetes Gerät hat erkannt

  • Im Abschnitt EVENT DETAILS – DEVICE DETECTED werden die Ereignisse im grafischen und tabellarischen Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Der Zeitpunkt, zu dem das Ereignis erkannt wurde.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Die Geräte-ID des mobilen Geräts.

    • Betriebssystem. Das Betriebssystem des mobilen Geräts.

    Nicht verwaltetes Gerät erkannte Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Gerät sperren Wenn auf dem Gerät ungewöhnliche Aktivitäten vorliegen, können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und ihre Arbeit fortsetzen.

  • Endpoint Management Administrator benachrichtigen. Wenn das Endpoint Management-Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Mit Jailbreak oder Rooting Gerät erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Jailbroken oder Rooting Device Activity und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Jailbroken oder Rooting Device wird ausgelöst, wenn ein Benutzer ein Jailbroken oder Rooted Device verwendet, um eine Verbindung mit dem Netzwerk herzustellen. Secure Hub erkennt das Gerät und meldet den Vorfall an den Endpoint Management Dienst. Die Warnung stellt sicher, dass sich nur autorisierte Benutzer und Geräte im Netzwerk Ihres Unternehmens befinden.

Wann wird der Risikoindikator für Jailbroken oder Rooting Device ausgelöst?

Es ist wichtig, dass Sicherheitsbeauftragte sicherstellen können, dass Benutzer über netzwerkkonforme Geräte eine Verbindung herstellen. Die Jailbroken oder Rooting Gerät erkannt Risikoindikator warnt Sie an Benutzer mit iOS-Geräten, die Jailbroken oder Android Geräte, die gerootet sind.

Der Risikoindikator Jailbroken oder Rooting Device wird ausgelöst, wenn ein registriertes Gerät Jailbroken oder Rooted wird. Secure Hub erkennt das Ereignis auf dem Gerät und meldet es an den Endpoint Management Dienst.

Wie analysiert man den Jailbroken oder Rooting Gerät erkannt Risikoindikator?

Betrachten Sie den Benutzer Georgina Kalou, dessen registrierte iOS-Gerät kürzlich Jailbroken wurde. Dieses verdächtige Verhalten wird von Citrix Analytics erkannt und Georgina Kalou wird eine Risikobewertung zugewiesen.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für Jailbroken oder verwurzelte Geräte auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie der Zeitpunkt der Auslösung des Risikoindikators, Beschreibung des Ereignisses usw. angezeigt.

Um den Risikoindikator Jailbroken” oder “Rooted Device Detected für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Mit Jailbreak oder Rooting Gerät erkannt

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der entdeckten Jailbroken oder Rooting Geräte und den Zeitpunkt der Ereignisse anzeigen.

Jailbroken oder Rooting Gerät erkannt

  • Im Abschnitt EVENT DETAILS – DEVICE DETECTED werden die Ereignisse im grafischen und tabellarischen Format angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit erkannt. Die Zeit, zu der das jailbroken oder gerooted Gerät erkannt wird.

    • Gerät. Das verwendete Mobilgerät.

    • Geräte-ID. Informationen zur ID des Geräts, das zur Anmeldung an der Sitzung verwendet wird.

    • Betriebssystem. Das Betriebssystem des mobilen Geräts.

    Jailbroken oder gerooted Gerät erkannt Ereignisdetails

Hinweis Klicken Sie

zusätzlich zum Anzeigen der Details im Tabellenformat auf den Pfeil gegen die Instanz einer Warnung, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Gerät sperren Wenn auf dem Gerät ungewöhnliche Aktivitäten vorliegen, können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und ihre Arbeit fortsetzen.

  • Endpoint Management Administrator benachrichtigen. Wenn das Endpoint Management-Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Gerät mit Apps auf der Sperrliste erkannt

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf Aktivitäten in einem Gerät mit Apps auf der Sperrliste und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Gerät mit Apps auf der Sperrliste wird ausgelöst, wenn der Endpoint Management Dienst während der Softwareinventur eine App auf der Sperrliste erkennt. Die Warnung stellt sicher, dass nur autorisierte Apps auf Geräten ausgeführt werden, die sich im Netzwerk Ihrer Organisation befinden.

Wann wird das Gerät mit gefundenen Apps auf der Sperrliste ausgelöst?

Der Risikoindikator Gerät mit Apps auf der Sperrliste erkannt wird, wird gemeldet, wenn Apps auf dem Gerät eines Benutzers auf der Sperrliste erkannt werden. Wenn der Endpoint Management Dienst eine oder mehrere Apps auf der Sperrliste auf einem Gerät während der Softwareinventur erkennt, wird ein Ereignis an Citrix Analytics gesendet.

Citrix Analytics überwacht diese Ereignisse und aktualisiert den Risikowert des Benutzers. Außerdem fügt es ein Gerät mit auf Apps auf der Sperrliste erkannt Risikoindikatoreintrag zur Risikozeitleiste des Benutzers hinzu.

Wie analysiert man das Gerät mit dem Risikofaktor “Apps auf der Sperrliste erkannt”?

Betrachten Sie den Benutzer Andrew Jackson, der ein Gerät verwendet hat, auf dem kürzlich Apps auf der Sperrliste installiert wurden. Endpoint Management meldet diese Bedingung an Citrix Analytics, die Andrew Jackson eine aktualisierte Risikobewertung zuweist.

Aus der Risikozeitleiste von Andrew Jackson können Sie den gemeldeten Risikoindikator Gerät mit auf Apps auf der Sperrliste erkannt auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Liste der Apps auf der Sperrliste angezeigt, der Zeitpunkt, zu dem Endpoint Management die App auf der Sperrliste erkannt hat usw.

Um den Risikoindikator Gerät mit auf Apps auf der Sperrliste erkannt für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Gerät mit Apps auf der Sperrliste erkannt

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der Geräte mit Anwendungen auf der Sperrliste anzeigen, die vom Endpoint Management Dienst erkannt wurden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

Gerät mit Apps auf der Sperrliste

  • Im Abschnitt EVENT DETAILS – BLACKLISTED APP DEVICE ACCESS werden die Ereignisse in grafischer und tabellarischer Form angezeigt. Die Ereignisse werden auch als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Erfasste Zeit- Wenn das Vorhandensein von Apps auf der Sperrliste von Endpoint Management gemeldet wurde.

    • Apps auf der Sperrliste- Die Apps auf der Sperrliste auf dem Gerät.

    • Gerät- Das verwendete Mobilgerät.

    • Geräte-ID- Informationen über die ID des Geräts, das zur Anmeldung bei der Sitzung verwendet wird.

    • Betriebssystem- Das Betriebssystem des Mobilgeräts.

    Gerät mit Apps auf der Sperrliste, die Ereignisdetails erkannt wurden

Hinweis

Zusätzlich zum Anzeigen der Details in einem Tabellenformat können Sie auf den Pfeil gegen die Instanz einer Warnung klicken, um weitere Details anzuzeigen.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können Gerätesicherheitsaktionen ausführen, z. B. das Widerrufen oder Löschen eines Geräts aus Citrix Analytics. Wählen Sie die Zeile, die das Gerät enthält, und wählen Sie eine der folgenden Optionen:

  • Gerät widerrufen. Verhindert, dass ein Gerät eine Verbindung mit Endpoint Management Server herstellt.

  • Gerät löschen Alle Daten auf einem Gerät werden gelöscht. Für Android Geräte enthält es auch die Option, Speicherkarten zu löschen.

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Gerät sperren Wenn auf dem Gerät ungewöhnliche Aktivitäten vorliegen, können Sie die Aktion Gerät sperren anwenden, um sicherzustellen, dass das Gerät des Benutzers gesperrt ist. Benutzer können jedoch auf dem Bildschirm ihres Geräts wischen, den Passcode eingeben und ihre Arbeit fortsetzen.

  • Endpoint Management Administrator benachrichtigen. Wenn das Endpoint Management-Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird der Endpoint Management-Administrator benachrichtigt.

  • Benutzer benachrichtigen. Der Benutzer sieht eine Meldung des Administrators bezüglich seines Kontos, wenn die Aktion Benutzer benachrichtigen angewendet wird. Die Benachrichtigung, die vom Benutzer angezeigt wird, ist die Nachricht, die der Administrator beim Anwenden der Aktion eingegeben hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Endpoint Management Risikoindikatoren