Citrix Analytics für Sicherheit

Citrix Gateway Risikoindikatoren

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt zugriffsbasierte Bedrohungen basierend auf ungewöhnlichen Anmeldungen für das Netzwerk und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator Zugriff von einem ungewöhnlichen Standortrisiko ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrer Organisation von einem ungewöhnlichen Ort aus anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Nutzers bestimmt. Citrix Gateway erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht die Risikobewertung des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von einem früheren Anmeldeort entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Indikator Zugriff von einem ungewöhnlichen Standortrisiko wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Man denke an die Nutzer Georgina Kalou, die zum ersten Mal aus dem Vereinigten Königreich einschürft. Ihr üblicher Anmeldeort ist Peking, China. Citrix Gateway meldet dieses Benutzerereignis an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist. Der Zugriff von einem ungewöhnlichen Standortrisikoindikator wird ausgelöst und zur Risikozeitleiste von Georgina Kalou hinzugefügt.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Zugang aus einem ungewöhnlichen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Anmeldeort angezeigt.

Zugang von ungewöhnlichem Standort

  • WHAT HAPPENED: Bietet eine kurze Zusammenfassung, die die Anzahl der Anmeldeversuche, den ungewöhnlichen Ort und den Zeitpunkt des Ereignisses enthält.

    Zugang von ungewöhnlichem Standort

  • LOG-IN-Standorte: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Anmeldeorte des Benutzers an. Die üblichen Standortdaten sind für die letzten 30 Tage. Sie können den Mauszeiger über die Zeiger auf der Karte bewegen, um die genauen Details der einzelnen Standorte anzuzeigen.

    Zugang von ungewöhnlichem Standort

  • Üblicher Ort — Letzte 30 Tage: Zeigt eine Tortendiagrammansicht der letzten sechs üblichen Anmeldeorte an, von denen der Benutzer in den letzten 30 Tagen angemeldet wurde.

    Zugang von ungewöhnlichem Standort

  • Ungewöhnliche Standortereignisdetails: Bietet eine zeitleiste Visualisierung des ungewöhnlichen Anmeldeereignisses, das für den Benutzer aufgetreten ist. Außerdem enthält diese Tabelle die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    • Datum und Uhrzeit — Datum und Uhrzeit des ungewöhnlichen Anmeldereignisses.
    • Client-IP — Die IP-Adresse des Client-Geräts.
    • Gerätebetriebssystem — Betriebssystem des Geräts, mit dem sich der Benutzer bei dem ungewöhnlichen Standort angemeldet hat.
    • Gerätebrowser — Webbrowser, mit dem sich der Benutzer bei der Anwendung angemeldet hat.

    Zugang von ungewöhnlichem Standort

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen im Zusammenhang mit anderen Datenquellen angewendet werden.

End Point Analysis (EPA) -Scanfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen auf der Grundlage von EPA-Scanfehlern und löst den entsprechenden Risikoindikator aus.

Wann wird der Risikoindikator für EPA-Scanausfälle ausgelöst?

Der Risikoindikator für den EPA-Scanausfall wird gemeldet, wenn ein Benutzer versucht, mithilfe eines Geräts auf das Netzwerk zuzugreifen, das die EPA-Scanrichtlinien (End Point Analysis) von Citrix Gateway für die Vor- oder Nachauthentifizierung fehlgeschlagen hat.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um zu erkennen, ob der Benutzer zu viele EPA-Scanfehler hatte. Wenn Citrix Analytics übermäßige EPA-Scanfehler für einen Benutzer feststellt, aktualisiert es die Risikobewertung des Benutzers und fügt dem Risikozeitplan des Benutzers einen Eintrag als EPA-Scan-Ausfallrisikoindikator hinzu.

Wie analysiert man den EPA-Scan-Ausfallrisikoindikator?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrfach versucht hat, mit einem Gerät auf das Netzwerk zuzugreifen, das den EPA-Scan von Citrix Gateway nicht bestanden hat. Citrix Gateway meldet diesen Fehler Citrix Analytics, das Lemuel einen aktualisierten Risiko-Score zuweist. Der Risikoindikator für den EPA-Scanfall wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag EPA-Scanfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den aktuellen Risikoindikator für EPA-Scanfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie einen Eintrag zum Risikoindikator für den EPA-Scanausfall aus der Zeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

EPA-Scanfehler

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators für den EPA Scan Failure. Außerdem enthält die Anzahl der EPA-Scanfehler nach der Anmeldung, die während des ausgewählten Zeitraums gemeldet wurden.

EPA-Scanfehler

  • Der Abschnitt EVENT DETAILS — SCAN FAILURES enthält eine Zeitachsenvisualisierung der einzelnen EPA-Scan-Fehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem enthält sie eine Tabelle, die die folgenden Schlüsselinformationen zu jedem Ereignis enthält:

    • Time. Der Zeitpunkt, zu dem der EPA-Scanfehler aufgetreten ist.

    • Client-IP Die IP-Adresse des Clients, der den EPA-Scanfehler verursacht.

    • Gateway-IP. Die IP-Adresse von Citrix Gateway, das den EPA-Scanfehler gemeldet hat.

    • FQDN. Der FQDN von Citrix Gateway.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den EPA-Scanfehler.

    • Richtlinienname. Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.

    • Sicherheitsausdruck. Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.

    EPA-Scan-Fehlerereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf Fehlern bei der übermäßigen Authentifizierung und löst den entsprechenden Risikoindikator aus.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Die Anzeige für das Risiko des Anmeldefehlers wird gemeldet, wenn der Benutzer innerhalb eines bestimmten Zeitraums mehrere Citrix Gateway Authentifizierungsfehler entdeckt. Die Citrix Gateway-Authentifizierungsfehler können primäre, sekundäre oder tertiäre Authentifizierungsfehler sein, je nachdem, ob die Multifaktorauthentifizierung für den Benutzer konfiguriert ist.

Citrix Gateway erkennt alle Fehler bei der Benutzerauthentifizierung und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht alle diese Ereignisse, um festzustellen, ob der Benutzer zu viele Authentifizierungsfehler hatte. Wenn Citrix Analytics übermäßige Authentifizierungsfehler feststellt, wird die Risikobewertung des Benutzers aktualisiert. Der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrere Versuche zur Authentifizierung des Netzwerks unternommen hat. Citrix Gateway meldet diese Fehler an Citrix Analytics, und Lemuel wird eine aktualisierte Risikobewertung zugewiesen. Der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

In der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Indikator für übermäßige Authentifizierungsfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler aus der Risikozeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

Übermäßige Authentifizierungsfehler

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

Übermäßige Authentifizierungsfehler

  • Der Abschnitt EVENT DETAILS enthält eine Timeline-Visualisierung der einzelnen Ereignisse bei übermäßiger Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignis anzeigen:

    • Time. Der Zeitpunkt, zu dem der Anmeldefehler aufgetreten ist.

    • Fehleranzahl. Die Anzahl der Authentifizierungsfehler, die für den Benutzer zum Zeitpunkt des Ereignisses und für die letzten 48 Stunden erkannt wurden.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Anmeldefehler.

    Übermäßige Authentifizierungsfehler Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Erster Zugriff von neuer IP

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf dem erstmaligen Zugriff von einer neuen IP-Adresse und löst den entsprechenden Risikoindikator aus.

Der Indikator Erstmaliger Zugriff von neuem IP-Risiko wird ausgelöst, wenn sich ein Citrix Receiver-Benutzer nach mindestens 90 Tagen von einer IP-Adresse anmeldet. Der Risikoindikator wird ausgelöst, da Citrix Receiver in den letzten 90 Tagen keine Anmeldedatensätze für den Benutzer von dieser IP-Adresse hat.

Wann wird der erste Zugriff von einem neuen IP-Risikoindikator ausgelöst?

Der erste Zugriff von neuem IP-Risikoindikator wird gemeldet, wenn sich ein Benutzer nach 90 Tagen von einer IP-Adresse aus anmeldet. Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Erstmalige Zugriff von neuem IP-Risikoindikator wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiere ich den Zugriff von neuen IP-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der sich über Citrix Receiver von einer IP-Adresse an einer Sitzung angemeldet hat, die der Benutzer mindestens 90 Tage lang nicht verwendet hat. Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Neuzugang IP-Risikoindikator auswählen. Der Grund für die Warnung wird zusammen mit Details wie der Ereigniszeit und der IP-Adresse angezeigt.

Erster Zugriff von neuer IP

Um den für einen Benutzer gemeldeten Erstzugriff von neuem IP-Risikoindikator anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des ersten Zugriffs von einem neuen IP-Ereignis aus anzeigen. Sie können die Anzahl der Anmeldeinstanzen, die von einer neuen IP-Adresse aufgetreten sind, und den Zeitpunkt des Ereignisses anzeigen.

Erster Zugriff von neuer IP

  • Im Abschnitt EVENT DETAILS werden die Zugriffsereignisse, die von einer neuen IP-Adresse kommen, in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Time. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Client-IP Die IP-Adresse des Geräts, das für die Anmeldung verwendet wird.

Erster Zugriff von neuer IP

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Anmeldung von verdächtiger IP

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf verdächtigen Anmeldeaktivitäten und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator “Anmeldung von verdächtigen IP-Risiken” ausgelöst?

Der Indikator “Anmeldung von verdächtigen IP-Risiken” wird gemeldet, wenn ein Benutzer versucht, von einer IP-Adresse aus auf das Netzwerk zuzugreifen, die Citrix Gateway als verdächtig identifiziert. Die IP-Adresse wird aufgrund einer der folgenden Bedingungen als verdächtig angesehen:

  • Ist im externen IP-Bedrohungsintelligence-Feed aufgeführt

  • Hat mehrere Benutzeranmeldedatensätze von einem ungewöhnlichen Speicherort

  • Übermäßige fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten

Citrix Gateway erkennt dieses Ereignis und meldet Citrix Analytics. Citrix Analytics überwacht dieses Ereignis, um zu erkennen, ob der Benutzer zu viele verdächtige IP-Anmeldeversuche unternommen hat. Wenn Citrix Analytics verdächtige IP-Anmeldeversuche für einen Benutzer ermittelt, aktualisiert es die Risikobewertung des Benutzers und fügt der Risikozeitleiste des Benutzers einen Eintrag für Logon from suspicious IP-Risikoindikatoren hinzu.

Wie analysiere ich die Anmeldung von verdächtigen IP-Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der versucht hat, über eine IP-Adresse, die Citrix Gateway als verdächtig bezeichnet, auf das Netzwerk zuzugreifen. Citrix Gateway meldet dieses Ereignis an Citrix Analytics, das Lemuel eine aktualisierte Risikobewertung zuweist. Der Indikator Anmeldung von verdächtigem IP-Risiko wird zur Risikozeitleiste von Lemuel Kildow hinzugefügt.

Anmeldung von verdächtiger IP

Um den für einen Benutzer gemeldeten Indikator “Anmeldung von verdächtigen IP-Risiken” anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Aus der Risikozeitleiste von Lemuel Kildow können Sie die neueste Anmeldung aus dem für den Benutzer gemeldeten Indikator für verdächtige IP-Risiken auswählen. Wenn Sie den Eintrag “ Anmeldung von verdächtigem IP-Risiko “ aus der Zeitleiste auswählen, wird im rechten Bereich ein entsprechender Detailinformationsbereich angezeigt.

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Indikators Anmeldung aus verdächtigem IP-Risiko. Und, enthält die Anzahl der Anmeldungen von einer verdächtigen IP-Adresse, die während des ausgewählten Zeitraums gemeldet wurde.

Anmeldung von verdächtiger IP

  • Der Abschnitt EVENT DETAILS enthält eine Timeline-Visualisierung des individuellen Anmeldeversuchs, der während des ausgewählten Zeitraums aufgetreten ist. Außerdem enthält sie eine Tabelle, die die folgenden Schlüsselinformationen zu jedem Ereignis enthält:

    • Time. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Client-IP Die IP-Adresse des Geräts, das für die Anmeldung verwendet wurde.

    • Standort. Der Speicherort, von dem der verdächtige Anmeldeversuch durchgeführt wurde.

    • BRUTE FORCE. Gibt an, dass ein Brute-Force-Verhalten erkannt wurde.

    • EXTERNAL THREAT. Gibt an, dass sich die IP-Adresse im externen IP-Bedrohungsintelligence-Feed befindet.

    • UNUSUAL GEO ACCESS. Zeigt an, dass der Zugriff von einem ungewöhnlichen Geo-Standort aus erkannt wurde.

Anmeldung von verdächtiger IP

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ungewöhnliches Authentifizierungs

Citrix Analytics erkennt zugriffsbasierte Bedrohungen, wenn ein Benutzer Anmeldefehler von einer ungewöhnlichen IP-Adresse hat und den entsprechenden Risikoindikator auslöst.

Wann wird der ungewöhnliche Indikator für Authentifizierungsfehler ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Anmeldefehler von einer ungewöhnlichen IP-Adresse hat, die seinem üblichen Verhalten zuwiderläuft.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht die Risikobewertung des Benutzers. Der Risikoindikator “ Ungewöhnlicher Authentifizierungsfehler “ wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den ungewöhnlichen Indikator für Authentifizierungsfehler?

Betrachten Sie die Benutzerin Georgina Kalou, die sich regelmäßig von ihren üblichen Heim- und Büronetzwerken aus bei Citrix Gateway anmeldet. Ein Remote-Angreifer versucht, das Konto von Georgina zu authentifizieren, indem er verschiedene Kennwörter erraten, was zu Authentifizierungsfehlern durch ein unbekanntes Netzwerk führt.

In diesem Szenario meldet Citrix Gateway diese Ereignisse an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist. Der Risikoindikator Unusual Authentication Failure wird der Risikozeitleiste von Georgina Kalou hinzugefügt.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator Unusual Authentication Failure auswählen. Der Grund für das Ereignis wird zusammen mit Details wie Uhrzeit des Ereignisses und Ort angezeigt.

Ausfall der Authentifizierung

  • Im Abschnitt WHAT HAPPENED können Sie die kurze Zusammenfassung anzeigen, die die Gesamtzahl der Authentifizierungsfehler und die Uhrzeit des Ereignisses enthält.

  • Im Abschnitt EVENT DETAILS – LOGON SUCCESS and FAILURES können Sie ein Diagramm anzeigen, das die ungewöhnlichen Authentifizierungsfehler sowie alle anderen Anmeldeaktivitäten anzeigt, die während derselben Dauer erkannt wurden.

  • Im Abschnitt UNUSUAL AUTHENTICATION DETAILS enthält die Tabelle die folgenden Informationen zu den ungewöhnlichen Authentifizierungsfehlern:

    • Anmeldezeit — Datum und Uhrzeit des Ereignisses

    • Client-IP — IP-Adresse des Benutzergeräts

    • Ort — Der Ort, von dem aus das Ereignis stattgefunden hat

    • Fehlergrund — Der Grund für Authentifizierungsfehler

      Details zum Authentifizierungsfehler

  • Im Abschnitt USER AUTHENTICATION ACTIVITY — PREVIOUS 30 DAYS enthält die Tabelle die folgenden Informationen über die vorherigen 30-Tage der Authentifizierungsaktivität für den Benutzer:

    • Subnet — Die IP-Adresse aus dem Benutzernetzwerk

    • Erfolge — Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und der Zeitpunkt des letzten Erfolgsereignisses für den Benutzer

    • Ausfälle — Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und der Zeitpunkt des letzten fehlgeschlagenen Ereignisses für den Benutzer

    • Ort — Der Ort, von dem aus das Authentifizierungsereignis aufgetreten ist

      Authentifizierungs-Aktivität

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er über Citrix Gateway nicht auf Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Gateway Risikoindikatoren