Citrix Gateway Risikoindikatoren

EPA-Scanfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen auf der Grundlage von EPA-Scanfehlern und löst den entsprechenden Risikoindikator aus.

Wann wird der Risikoindikator für EPA-Scanausfälle ausgelöst?

Der Risikoindikator für den EPA-Scanausfall wird gemeldet, wenn ein Benutzer versucht, mithilfe eines Geräts auf das Netzwerk zuzugreifen, das die EPA-Scanrichtlinien (End Point Analysis) von Citrix Gateway für die Vor- oder Nachauthentifizierung fehlgeschlagen hat.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um zu erkennen, ob der Benutzer zu viele EPA-Scanfehler hatte. Wenn Citrix Analytics übermäßige EPA-Scanfehler für einen Benutzer ermittelt, aktualisiert er die Risikobewertung des Benutzers und erstellt eine Benachrichtigung im Bedienfeld “Warnungen”. Außerdem wird der Risikozeitleiste des Benutzers ein Eintrag für den EPA-Scan Failure Risikoindikator hinzugefügt.

Wie analysiert man den EPA-Scan-Ausfallrisikoindikator?

Betrachten Sie den Benutzer Lemuel Kildow, der kürzlich mehrfach versucht hat, mit einem Gerät auf das Netzwerk zuzugreifen, das den EPA-Scan von Citrix Gateway nicht bestanden hat. Citrix Gateway meldet diesen Fehler an Citrix Analytics, das Lemuel Kildow eine aktualisierte Risikobewertung zuweist. Sie werden im Bedienfeld Alerts benachrichtigt, und der Risikoindikator für den EPA-Scan wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag EPA-Scanfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den aktuellen Risikoindikator für EPA-Scanfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie einen Eintrag zum Risikoindikator für den EPA-Scanausfall aus der Zeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

EPA-Scanfehler

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators für den EPA Scan Failure. Außerdem enthält die Anzahl der EPA-Scanfehler nach der Anmeldung, die während des ausgewählten Zeitraums gemeldet wurden.

EPA-Scanfehler, was passiert ist

  • Der Abschnitt EVENT DETAILS — SCAN FAILURES enthält eine Zeitachsenvisualisierung der einzelnen EPA-Scan-Fehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem enthält sie eine Tabelle, die die folgenden Schlüsselinformationen zu jedem Ereignis enthält:

    • Zeit. Der Zeitpunkt, zu dem der EPA-Scanfehler aufgetreten ist.

    • Client-IP. Die IP-Adresse des Clients, der den EPA-Scanfehler verursacht.

    • Gateway-IP. Die IP-Adresse von Citrix Gateway, das den EPA-Scanfehler gemeldet hat.

    • FQDN. Der FQDN von Citrix Gateway.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den EPA-Scanfehler.

    • Richtlinienname. Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.

    • Sicherheitsausdruck. Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.

    EPA-Scan-Fehlerereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf Fehlern bei der übermäßigen Authentifizierung und löst den entsprechenden Risikoindikator aus.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Die Anzeige für das Risiko des Anmeldefehlers wird gemeldet, wenn der Benutzer innerhalb eines bestimmten Zeitraums mehrere Citrix Gateway Authentifizierungsfehler entdeckt. Bei den Citrix Gateway Authentifizierungsfehlern kann es sich um primäre, sekundäre oder tertiäre Authentifizierungsfehler handeln, je nachdem, ob die Multifaktor-Authentifizierung für den Benutzer konfiguriert ist.

Citrix Gateway erkennt alle Fehler bei der Benutzerauthentifizierung und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht alle diese Ereignisse, um festzustellen, ob der Benutzer zu viele Authentifizierungsfehler hatte. Wenn Citrix Analytics übermäßige Authentifizierungsfehler feststellt, wird die Risikobewertung des Benutzers aktualisiert. Sie werden im Bedienfeld Warnungen benachrichtigt und der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Lemuel Kildow, der kürzlich mehrere Versuche zur Authentifizierung des Netzwerks fehlgeschlagen hat. Citrix Gateway meldet diese Fehler an Citrix Analytics, und Lemuel Kildow wird eine aktualisierte Risikobewertung zugewiesen. Sie werden im Bedienfeld “Warnungen” benachrichtigt, und der Indikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

In der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Indikator für übermäßige Authentifizierungsfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler aus der Risikozeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

Übermäßige Authentifizierungsfehler

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

Übermäßige Authentifizierungsfehler, was passiert ist

  • Der Abschnitt EVENT DETAILS enthält eine Zeitachsenvisualisierung der einzelnen Ereignisse bei übermäßiger Autorisierung, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignis anzeigen:

    • Zeit. Der Zeitpunkt, zu dem der Anmeldefehler aufgetreten ist.

    • Fehleranzahl. Die Anzahl der Authentifizierungsfehler, die für den Benutzer zum Zeitpunkt des Ereignisses und für die letzten 48 Stunden erkannt wurden.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Anmeldefehler.

    Übermäßige Authentifizierungsfehler Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Übermäßige Autorisierungsfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf übermäßigen Autorisierungsfehlern und löst den entsprechenden Risikoindikator aus.

Wann wird der Risikoindikator für übermäßige Autorisierungsfehler ausgelöst?

Der Indikator für übermäßige Autorisierungsfehler wird in Citrix Analytics gemeldet, wenn ein Benutzer in Ihrem Unternehmen versucht, ohne ausreichende Berechtigungen auf eine Ressource zuzugreifen.

Wenn der Benutzer authentifiziert wird, führt Citrix Gateway eine Gruppenautorisierungsprüfung durch, die auf der Autorisierungsrichtlinie und den für den Benutzer konfigurierten Ausdrücken basiert. Citrix Gateway sammelt die Gruppeninformationen des Benutzers von einem LDAP-, RADIUS- oder TACACS+-Server.

Citrix Gateway erkennt die Autorisierungsfehler und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um zu erkennen, ob der Benutzer zu viele Autorisierungsfehler hatte. Wenn Citrix Analytics übermäßige Autorisierungsfehler für einen Benutzer erkennt, wird die Risikobewertung des Benutzers aktualisiert. Sie werden im Bedienfeld “Warnungen” benachrichtigt, und der Indikator “Risiko für übermäßige Autorisierungsfehler” wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Autorisierungsfehler?

Betrachten Sie den Benutzer Georgina Kalou, der kürzlich mehrmals versucht hat, auf eine nicht autorisierte Ressource im Netzwerk zuzugreifen. Citrix Gateway meldet diese Ereignisse an Citrix Analytics, und Georgina Kalou wird eine aktualisierte Risikobewertung zugewiesen. Sie werden im Bedienfeld Alerts benachrichtigt, und der Indikator für übermäßige Autorisierungsfehler wird der Risikozeitleiste von Georgina Kalou hinzugefügt.

Um den Eintrag Übermäßige Autorisierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Aus der Risikozeitleiste von Georgina Kalou können Sie den neuesten Indikator für übermäßige Autorisierungsfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie den Eintrag Risikoindikator für übermäßige Autorisierungsfehler in der Zeitleiste auswählen, wird im rechten Fensterausschnitt ein entsprechendes Detailinformationsfenster angezeigt.

Autorisierungsfehler

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Autorisierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

Fehler bei der Autorisierung, was passiert ist

  • Der Abschnitt EVENT DETAILS – AUTHORIZATION FAILURES enthält eine Timeline-Visualisierung der einzelnen Autorisierungsfehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignis anzeigen:

    • Zeit. Der Zeitpunkt, zu dem der Autorisierungsfehler aufgetreten ist.

    • Client-IP. Die IP-Adresse des Clients, der den Autorisierungsfehler verursacht hat.

    • Gateway-IP. Die IP-Adresse von Citrix Gateway, die den Autorisierungsfehler gemeldet hat.

    • FQDN. Der FQDN des Citrix Gateway.

    • App-Name. Die Anwendung, die der Benutzer für den Zugriff auf die Ressource verwendet hat.

    • VPN-Session. Der Typ der erstellten VPN-Sitzung.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Autorisierungsfehler.

    • Der n-te Faktor. Kurze Beschreibung des Grundes für den Autorisierungsfehler.

    Ereignisdetails für Autorisierungsfehler

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Erster Zugriff von neuem Standort

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf dem erstmaligen Anmeldungszugriff auf das Netzwerk und löst den entsprechenden Risikoindikator aus.

Wann wird der erste Zugriff vom neuen Standortrisikoindikator ausgelöst?

Sie können benachrichtigt werden, wenn sich ein Benutzer in Ihrer Organisation von einem ungewöhnlichen Ort anmeldet, der dem üblichen Verhalten widerspricht.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics empfängt die Ereignisse, erhöht die Risikobewertung des Benutzers. Sie werden im Bedienfeld “Alerts” benachrichtigt, und der Indikator “Erster Zugriff von neuem Standort” wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den erstmaligen Zugriff vom neuen Standortrisikoindikator?

Betrachten Sie die Benutzer Georgina Kalou, die sich aus Moskau, Russland, angemeldet hat, als sie sich nur jemals von Raleigh, North Carolina, angemeldet hat. Citrix Gateway meldet diese Ereignisse an Citrix Analytics, die Georgina Kalou eine aktualisierte Risikobewertung zuweist. Sie werden im Alerts-Panel benachrichtigt, und der Indikator für den ersten Zugriff von neuem Standortrisiko wird der Risikozeitleiste von Georgina Kalou hinzugefügt.

In der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Erstmalzugriff über den neuen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie Uhrzeit des Ereignisses, Anmeldeort usw. angezeigt.

Erstmalige Zugriffe von neuem Standortgateway

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl verdächtiger Anmeldeversuche, die während eines bestimmten Zeitraums aufgetreten sind.

Erster Zugriff vom neuen Standortgateway, was passiert ist

  • Der Abschnitt EVENT DETAILS enthält eine Zeitachsenvisualisierung der einzelnen Anmeldeereignisse von einem ungewöhnlichen geografischen Standort, der während des ausgewählten Zeitraums aufgetreten ist. Außerdem enthält sie eine Tabelle, die die folgenden Schlüsselinformationen zu jedem Ereignis enthält:

    • Zeit. Die Zeit jedes Anmeldeversuchs.

    • Standort. Der Speicherort, von dem der Anmeldeversuch durchgeführt wurde.

    • Client-IP-Adresse. Die verwendete Client-IP-Adresse.

    • Betriebssystem. Das vom Client verwendete Betriebssystem.

    • Browser. Der vom Benutzer verwendete Browser.

    Erster Zugriff über neue Standort-Gateway Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Erster Zugriff von neuer IP

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf dem erstmaligen Zugriff von einer neuen IP-Adresse und löst den entsprechenden Risikoindikator aus.

Der Indikator Erstmaliger Zugriff von neuem IP-Risiko wird ausgelöst, wenn sich ein Citrix Receiver-Benutzer nach mindestens 90 Tagen von einer IP-Adresse anmeldet. Dies liegt daran, dass Citrix Receiver in den letzten 90 Tagen keine Anmeldungsdatensätze für den Benutzer von dieser IP-Adresse hat.

Wann wird der erste Zugriff von einem neuen IP-Risikoindikator ausgelöst?

Der Indikator Erstmalige Zugriff von neuem IP-Risiko wird gemeldet, wenn sich ein Benutzer nach 90 Tagen von einer IP-Adresse anmeldet. Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikozeitleiste des Benutzers wird der erste Zugriff von einem neuen IP-Risikoindikator hinzugefügt, und eine Warnung wird im Bedienfeld “Alerts” angezeigt.

Wie analysiere ich den Zugriff von neuen IP-Risikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der sich über Citrix Receiver von einer IP-Adresse an einer Sitzung angemeldet hat, die der Benutzer mindestens 90 Tage lang nicht verwendet hat. Aus der Zeitleiste von Adam Maxwell können Sie den gemeldeten Neuzugang IP-Risikoindikator auswählen. Der Grund für den ersten Zugriff auf neue IP-Warnung wird zusammen mit Details wie Ereigniszeit, IP-Adresse usw. angezeigt.

Erster Zugriff von neuer IP

Um den für einen Benutzer gemeldeten Erstzugriff von einem neuen IP-Risikoindikator anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des ersten Zugriffs von neuem IP-Ereignis anzeigen. Sie können die Anzahl der Anmeldeinstanzen, die von einer neuen IP-Adresse aufgetreten sind, und den Zeitpunkt des Ereignisses anzeigen.

Erster Zugriff von neuer IP

  • Im Abschnitt EVENT DETAILS werden die Zugriffsereignisse, die von der neuen IP-Adresse kommen, in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Zeit. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Client-IP. Die IP-Adresse des Geräts, das für die Anmeldung verwendet wird.

Erster Zugriff von neuer IP

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Anmeldung von verdächtiger IP

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf verdächtigen Anmeldeaktivitäten und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator “Anmeldung von verdächtigen IP-Risiken” ausgelöst?

Der Indikator “Anmeldung von verdächtigen IP-Risiken” wird gemeldet, wenn ein Benutzer versucht, von einer IP-Adresse aus auf das Netzwerk zuzugreifen, die Citrix Gateway als verdächtig identifiziert. Die IP-Adresse wird aufgrund einer der folgenden Bedingungen als verdächtig angesehen:

  • Ist im externen IP-Bedrohungsintelligence-Feed aufgeführt

  • Hat mehrere Benutzeranmeldedatensätze von einem ungewöhnlichen Speicherort

  • Übermäßige fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten

Citrix Gateway erkennt dieses Ereignis und meldet Citrix Analytics. Citrix Analytics überwacht dieses Ereignis, um zu erkennen, ob der Benutzer zu viele verdächtige IP-Anmeldeversuche unternommen hat. Wenn Citrix Analytics verdächtige IP-Anmeldeversuche für einen Benutzer ermittelt, aktualisiert es die Risikobewertung des Benutzers und erstellt eine Benachrichtigung im Bedienfeld Warnungen. Außerdem fügt es eine Anmeldung von verdächtigen IP-Risikoindikatoreintrag zur Risikozeitleiste des Benutzers hinzu.

Wie analysiere ich die Anmeldung von verdächtigen IP-Risikoindikator?

Betrachten Sie den Benutzer Lemuel Kildow, der versucht hat, von einer IP-Adresse aus auf das Netzwerk zuzugreifen, die Citrix Gateway als verdächtig identifiziert. Citrix Gateway meldet dieses Ereignis an Citrix Analytics, das Lemuel Kildow eine aktualisierte Risikobewertung zuweist. Sie werden imAlerts-Bedienfeld benachrichtigt, und der Indikator “Anmeldung von verdächtigem IP-Risiko” wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Anmeldung von verdächtiger IP

Um den für einen Benutzer gemeldeten Indikator “Anmeldung von verdächtigen IP-Risiken” anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Aus der Risikozeitleiste von Lemuel Kildow können Sie die neueste Anmeldung aus verdächtigen IP-Risikoindikator auswählen, die für den Benutzer gemeldet wurde. Wenn Sie in der Zeitleiste den Eintrag Anmeldung aus verdächtigem IP-Risikoindikator auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

  • Der Abschnitt WHAT HAPPENED enthält eine kurze Zusammenfassung des Indikators Anmeldung aus verdächtigem IP-Risiko. Und, enthält die Anzahl der Anmeldungen von einer verdächtigen IP-Adresse, die während des ausgewählten Zeitraums gemeldet wurde.

Anmeldung von verdächtiger IP

  • Der Abschnitt EVENT DETAILS enthält eine Timeline-Visualisierung des individuellen Anmeldeversuchs, der während des ausgewählten Zeitraums aufgetreten ist. Außerdem enthält sie eine Tabelle, die die folgenden Schlüsselinformationen zu jedem Ereignis enthält:

    • Zeit. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Client-IP. Die IP-Adresse des Geräts, das für die Anmeldung verwendet wurde.

    • Standort. Der Speicherort, von dem der verdächtige Anmeldeversuch durchgeführt wurde.

    • BRUTE FORCE. Gibt an, dass ein Brute-Force-Verhalten erkannt wurde.

    • Äußere Bedrohung. Gibt an, dass sich die IP-Adresse im externen IP-Bedrohungsintelligence-Feed befindet.

    • Ungewöhnlicher GEO-Zugang. Gibt an, dass der Zugriff von einem ungewöhnlichen Geo-Location erkannt wurde.

Anmeldung von verdächtiger IP

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.