Citrix Analytics für Sicherheit

Citrix Gateway Risikoindikatoren

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt zugriffsbasierte Bedrohungen basierend auf ungewöhnlichen Anmeldungen im Netzwerk und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor für den Zugriff von einem ungewöhnlichen Standortrisikoindikator sind die standortbasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Access von einem ungewöhnlichen Standortrisikoindikator ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrer Organisation von einem ungewöhnlichen Ort aus anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Benutzers ermittelt. Citrix Gateway erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von einem früheren Anmeldeort entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Risikoindikator Zugriff von einem ungewöhnlichen Standortrisiko wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Betrachten Sie die Benutzerin Georgina Kalou, die sich zum ersten Mal aus Großbritannien anmeldet. Ihr üblicher Anmeldeort ist Peking, China. Citrix Gateway meldet dieses Benutzerereignis an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist. Der Indikator “ Zugriff von einem ungewöhnlichen Standortrisiko “ wird ausgelöst und zur Risikozeitleiste von Georgina Kalou hinzugefügt.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Zugriff aus einem ungewöhnlichen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Anmeldeort angezeigt.

Zugang von einem ungewöhnlichen Ort

  • WAS PASSIERT IST: Bietet eine kurze Zusammenfassung, die die Anzahl der Anmeldeversuche, den ungewöhnlichen Ort und den Zeitpunkt des Ereignisses enthält.

    Zugang von einem ungewöhnlichen Ort

  • ANMELDESTANDORTE: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Anmeldeorte des Benutzers an. Die üblichen Standortdaten sind für die letzten 30 Tage. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die genauen Details der einzelnen Standorte anzuzeigen.

    Zugang von einem ungewöhnlichen Ort

  • Üblicher Standort — Letzte 30 Tage: Zeigt eine Tortendiagramm-Ansicht der letzten sechs üblichen Anmeldeorte an, von denen aus sich der Benutzer während der letzten 30 Tage angemeldet hat.

    Zugang von einem ungewöhnlichen Ort

  • Ungewöhnliche Details zu Standortereignis: Bietet eine Zeitleistenvisualisierung des ungewöhnlichen Anmeldeereignisses, das für den Benutzer aufgetreten ist. Außerdem enthält diese Tabelle die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    • Datum und Uhrzeit - Datum und Uhrzeit des ungewöhnlichen Anmeldeereignisses.

    • Client-IP — IP-Adresse des Clientgeräts.

    • Gerätebetriebssystem — Betriebssystem des Geräts, mit dem sich der Benutzer an dem ungewöhnlichen Ort angemeldet hat.

    • Gerätebrowser — Webbrowser, mit dem sich der Benutzer bei der Anwendung angemeldet hat.

      Zugang von einem ungewöhnlichen Ort

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Fehler beim Scannen von Endpunktanalyse (EPA)

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf EPA-Scanfehlern und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator für den Endpunktanalyse-Scan verbunden ist, sind die anderen Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für EPA-Scanausfälle ausgelöst?

Der Risikoindikator für EPA-Scanausfälle wird gemeldet, wenn ein Benutzer versucht, mit einem Gerät auf das Netzwerk zuzugreifen, das die End Point Analysis (EPA) Scanrichtlinien von Citrix Gateway zur Vorauthentifizierung oder nach der Authentifizierung fehlgeschlagen hat.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um zu erkennen, ob der Benutzer zu viele EPA-Scanfehler hatte. Wenn Citrix Analytics übermäßige EPA-Scan-Fehler für einen Benutzer feststellt, aktualisiert es den Risikowert des Benutzers und fügt der Risikozeitleiste des Benutzers einen Eintrag für den Risikoindikator des Benutzers hinzu.

Wie analysiert man den EPA-Scan-Ausfallrisikoindikator?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrmals versucht hat, mit einem Gerät auf das Netzwerk zuzugreifen, das den EPA-Scan von Citrix Gateway nicht bestanden hat. Citrix Gateway meldet diesen Fehler Citrix Analytics, das Lemuel einen aktualisierten Risiko-Score zuweist. Der Risikoindikator für den EPA-Scanausfall wird dem Risikozeitplan von Lemuel Kildow hinzugefügt.

Um den Eintrag EPA-Scanfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Risikoindikator für EPA-Scanfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie einen Eintrag zum Risikoindikator für den EPA-Scanausfall aus der Zeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

EPA-Scan-Fehler

  • Der Abschnitt WAS PASSIERT IST, bietet eine kurze Zusammenfassung des Risikoindikators für EPA-Scans. Und beinhaltet die Anzahl der während des ausgewählten Zeitraums gemeldeten EPA-Scan-Fehler nach der Anmeldung.

    EPA-Scan schlägt fehl, was passiert ist

  • Der Abschnitt EREIGNISDETAILS — SCAN FAILURES enthält eine Timeline-Visualisierung der einzelnen EPA-Scanfehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem enthält es eine Tabelle, die die folgenden wichtigen Informationen zu jedem Ereignis enthält:

    • Time. Der Zeitpunkt, zu dem der EPA-Scanfehler aufgetreten ist.

    • Client-IP. Die IP-Adresse des Clients, der den Fehler des EPA-Scans verursacht.

    • Gateway-IP. Die IP-Adresse von Citrix Gateway, die den EPA-Scanfehler gemeldet hat.

    • FQDN. Der FQDN von Citrix Gateway.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Fehler des EPA-Scans.

    • Name der Richtlinie. Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.

    • Ausdruck der Sicherheit. Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.

      EPA-Scan-Fehler Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf übermäßigen Authentifizierungsfehlern und löst den entsprechenden Risikoindikator aus.

Der mit dem Risikoindikator für übermäßige Authentifizierungsfehler verbundene Risikofaktor sind die auf Anmeldefehlern basierenden Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Der Indikator für das Risiko eines Anmeldefehlers wird gemeldet, wenn der Benutzer innerhalb eines bestimmten Zeitraums auf mehrere Citrix Gateway-Authentifizierungsfehler stößt. Die Citrix Gateway-Authentifizierungsfehler können primäre, sekundäre oder tertiäre Authentifizierungsfehler sein, je nachdem, ob die Multifaktor-Authentifizierung für den Benutzer konfiguriert ist.

Citrix Gateway erkennt alle Fehler bei der Benutzerauthentifizierung und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht alle diese Ereignisse, um festzustellen, ob der Benutzer zu viele Authentifizierungsfehler hatte. Wenn Citrix Analytics übermäßige Authentifizierungsfehler feststellt, aktualisiert es den Risikowert des Benutzers. Der Risikoindikator für übermäßige Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrere Versuche zur Authentifizierung des Netzwerks nicht bestanden hat. Citrix Gateway meldet diese Fehler an Citrix Analytics, und Lemuel wird eine aktualisierte Risikobewertung zugewiesen. Der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Risikoindikator für übermäßige Authentifizierungsfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie den Risikoindikator für übermäßige Authentifizierungsfehler aus der Risikozeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

Übermäßige Authentifizierungsfehler

  • Der Abschnitt WAS PASSIERT IST, enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

    Übermäßige Authentifizierungsfehler was passiert ist

  • Der Abschnitt EREIGNISDETAILS enthält eine Zeitleistenvisualisierung der einzelnen Ereignisse bei übermäßigen Authentifizierungsfehlern, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignisses anzeigen:

    • Time. Der Zeitpunkt, zu dem der Anmeldefehler aufgetreten ist.

    • Anzahl der Fehler. Die Anzahl der Authentifizierungsfehler, die für den Benutzer zum Zeitpunkt des Ereignisses und für die letzten 48 Stunden festgestellt wurden.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Fehler bei der Anmeldung.

      Übermäßige Authentifizierungsfehler, Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Anmeldung von verdächtiger IP

Citrix Analytics erkennt Bedrohungen für den Benutzerzugriff basierend auf der Anmeldeaktivität einer verdächtigen IP und löst diesen Risikoindikator aus.

Der mit dem Indikator Anmeldung von verdächtigen IP-Risiken verbundene Risikofaktor sind die IP-basierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Indikator “Anmeldung von verdächtigen IP-Risiken” ausgelöst?

Der Risikoindikator “ Anmeldung von verdächtigen IP “ wird ausgelöst, wenn ein Benutzer versucht, von einer IP-Adresse aus, die Citrix Analytics als verdächtig identifiziert, auf das Netzwerk zuzugreifen. Die IP-Adresse wird aufgrund einer der folgenden Bedingungen als verdächtig angesehen:

  • Ist im externen IP-Bedrohungsintelligence-Feed aufgeführt

  • Verfügt über mehrere Benutzeranmeldedatensätze von einem ungewöhnlichen Ort

  • Übermäßige fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten

Citrix Analytics überwacht die Anmeldeereignisse, die von Citrix Gateway empfangen wurden, und erkennt, ob sich ein Benutzer von einer verdächtigen IP angemeldet hat. Wenn Citrix Analytics einen Anmeldeversuch von einer verdächtigen IP erkennt, aktualisiert es den Risikowert des Benutzers und fügt der Risikozeitleiste des Benutzers einen Eintrag für die Anmeldung von verdächtigen IP-Risikoindikatoren hinzu.

Wie analysiere ich die Anmeldung von verdächtigen IP-Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der versucht hat, von einer IP-Adresse, die Citrix Analytics als verdächtig identifiziert, auf das Netzwerk zuzugreifen. Citrix Gateway meldet das Anmeldeereignis an Citrix Analytics, das Lemuel einen aktualisierten Risikowert zuweist. Der Risikoindikator “ Anmeldung von verdächtigen IP “ wird zur Risikozeitleiste von Lemuel Kildow hinzugefügt.

Anmeldung von verdächtiger IP

Um den für einen Benutzer gemeldeten Indikator “Anmeldung von verdächtigen IP-Risiken” anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Aus der Risikozeitleiste von Lemuel Kildow können Sie die neueste Anmeldung aus dem für den Benutzer gemeldeten verdächtigen IP-Risikoindikator auswählen. Wenn Sie den Eintrag “ Anmeldung von verdächtigem IP-Risiko “ aus der Zeitleiste auswählen, wird im rechten Bereich ein entsprechender Detailinformationsbereich angezeigt.

  • Der Abschnitt WAS PASSIERT IST, bietet eine kurze Zusammenfassung des Risikoindikators “Anmeldung von verdächtigen IP-Adressen”. Und beinhaltet die Anzahl der Anmeldungen von einer verdächtigen IP-Adresse, die während des ausgewählten Zeitraums gemeldet wurden.

    Anmeldung von verdächtiger IP

  • Der Abschnitt Verdächtige IP enthält die folgenden Informationen:

    Verdächtiger IP-Bereich

    • Verdächtige IP. Die IP-Adresse, die mit einer verdächtigen Anmeldeaktivität verknüpft ist.

    • Standort. Die Stadt, die Region und das Land des Nutzers. Diese Standorte werden basierend auf der Verfügbarkeit von Daten angezeigt.

    • Potenzielles Risiko auf Organisationsebene Zeigt alle Muster verdächtiger IP-Aktivitäten an, die Citrix Analytics kürzlich in Ihrer Organisation entdeckt hat. Zu den riskanten Mustern gehören übermäßige Anmeldefehler, die mit potenziellen Brute-Force-Versuchen und ungewöhnlichem Zugriff mehrerer Benutzer übereinstimmen.

      Wenn für eine IP-Adresse in Ihrer Organisation kein riskantes Muster festgestellt wird, wird die folgende Meldung angezeigt.

      Kein riskantes Muster

    • Community-Intelligenz. Stellt den Bedrohungswert und die Bedrohungskategorien einer IP-Adresse bereit, die im externen IP Threat Intelligence-Feed als hohes Risiko identifiziert werden. Citrix Analytics weist der IP-Adresse mit hohem Risiko eine Risikobewertung zu. Der Risikowert beginnt bei 80.

      Wenn für eine IP-Adresse keine Bedrohungsinformationen im externen IP Threat Intelligence Feed verfügbar sind, wird die folgende Meldung angezeigt.

      Kein Intelligenz-Feed

  • Der Abschnitt EVENT-DETAILS enthält die folgenden Informationen über die verdächtige Anmeldeaktivität:

    Anmeldung von verdächtiger IP

    • Time. Der Zeitpunkt der verdächtigen Anmeldeaktivität.

    • Client-IP. Die IP-Adresse des Geräts des Benutzers, das für die verdächtige Anmeldeaktivität verwendet wurde.

    • Geräte-OS. Das Betriebssystem des Browsers.

    • Geräte-Browser. Der Webbrowser, der für die verdächtige Anmeldeaktivität verwendet wird.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ungewöhnliches Authentifizierungs

Citrix Analytics erkennt zugriffsbasierte Bedrohungen, wenn ein Benutzer Anmeldefehler aufgrund einer ungewöhnlichen IP-Adresse hat, und löst den entsprechenden Risikoindikator aus.

Der mit dem Indikator für ungewöhnliche Authentifizierungsrisiken verbundene Risikofaktor sind die auf Anmeldefehlern basierenden Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird die Anzeige für ungewöhnliche Authentifizierungsfehler ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Anmeldefehler aufgrund einer ungewöhnlichen IP-Adresse hat, die seinem üblichen Verhalten widerspricht.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den ungewöhnlichen Indikator für Authentifizierungsfehler?

Betrachten Sie die Benutzerin Georgina Kalou, die sich routinemäßig von ihren üblichen Heim- und Büronetzwerken aus bei Citrix Gateway anmeldet. Ein Remote-Angreifer versucht, Georginas Konto zu authentifizieren, indem er verschiedene Kennwörter errät, was zu Authentifizierungsfehlern in einem unbekannten Netzwerk führt.

In diesem Szenario meldet Citrix Gateway diese Ereignisse an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist. Der Risikoindikator für ungewöhnliche Authentifizierung wird dem Risikozeitplan von Georgina Kalou hinzugefügt.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für ungewöhnliche Authentifizierungsfehler auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Ort angezeigt.

Ausfall der Authentifizierung

  • Im Abschnitt WAS PASSIERT IST, können Sie die kurze Zusammenfassung anzeigen, die die Gesamtzahl der Authentifizierungsfehler und den Zeitpunkt des Ereignisses enthält.

  • Im Abschnitt EREIGNISDETAILS — LOGON SUCCESS and FAILURES können Sie ein Diagramm anzeigen, das die ungewöhnlichen Authentifizierungsfehler anzeigt, zusammen mit allen anderen Anmeldeaktivitäten, die während derselben Dauer erkannt wurden.

  • Im Abschnitt UNGEWÖHNLICHE AUTHENTIFIZIERUNGSDETAILS enthält die Tabelle die folgenden Informationen zu den ungewöhnlichen Authentifizierungsfehlern:

    • Anmeldezeit — Datum und Uhrzeit des Ereignisses

    • Client-IP — IP-Adresse des Benutzergeräts

    • Ort — Der Ort, von dem aus das Ereignis stattgefunden hat

    • Grund für den Ausfall — Der Grund für das Scheitern der

      Details zum Authentifizierungsfehler

  • Im Abschnitt BENUTZERAUTHENTIFIZIERUNGSAKTIVITÄT — PREVIOUS 30 DAYS enthält die Tabelle die folgenden Informationen über die letzten 30 Tage der Authentifizierungsaktivität für den Benutzer:

    • Subnetz — Die IP-Adresse aus dem Benutzernetzwerk.

    • Erfolg — Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und der Zeitpunkt des letzten Erfolgsereignisses für den Benutzer.

    • Fehler — Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und der Zeitpunkt des letzten fehlgeschlagenen Ereignisses für den Benutzer.

    • Ort — Der Ort, von dem aus das Authentifizierungsereignis stattgefunden hat.

      Aktivität zur Authentifizierung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Gateway Risikoindikatoren