Risikoindikatoren für Citrix Virtual Apps and Desktops

Erster Zugriff von neuem Gerät

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf dem erstmaligen Zugriff von einem neuen Gerät und löst den entsprechenden Risikoindikator aus.

Der Indikator Erster Zugriff von neuem Gerät wird ausgelöst, wenn sich ein Citrix Workspace Benutzer von einem nicht bekannten Gerät, normalerweise einem neuen Gerät, anmeldet. Dies liegt daran, dass Citrix Receiver über keine Anmeldedatensätze für den Benutzer von diesem neuen und unbekannten Gerät verfügt.

Wann wird der erste Zugriff von neuen Geräte-Risikoindikator ausgelöst?

Der Indikator Erster Zugriff von neuem Gerät wird gemeldet, wenn sich ein Benutzer von einem neuen Gerät anmeldet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikozeitleiste des Benutzers wird der Risikoindikator für den ersten Zugriff von einem neuen Gerät hinzugefügt, und eine Warnung wird im Bedienfeld Alerts angezeigt.

Wie analysiere ich den Zugriff von neuen Geräte-Risiko-Indikator?

Betrachten Sie den Benutzer Adam Maxwell, der von einem neuen Gerät aus über Citrix Receiver an einer Sitzung angemeldet ist, das der Benutzer zuvor nicht verwendet hat.

In der Zeitleiste von Adam Maxwell können Sie die gemeldete Risikoindikator für den ersten Zugriff auf neue Geräte auswählen. Der Grund für den Zugriff auf neue Geräte wird zusammen mit Details wie Ereigniszeit, Geräte-ID usw. angezeigt.

Um den für einen Benutzer gemeldeten Erstzugriff von neuem Geräte-Risikoindikator anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Erster Zugriff von neuem Gerät

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des ersten Zugriffs von einem neuen Geräteereignis anzeigen. Sie können die Anzahl der Anmeldeinstanzen, die von einem neuen Gerät aufgetreten sind, und den Zeitpunkt des Ereignisses anzeigen.

Erstmalig Zugriff von neuem Gerät, was passiert ist

  • Im Abschnitt EVENT DETAILS werden die Zugriffsereignisse, die von einem neuen Gerät kommen, in einem tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Zeit. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Empfängertyp. Der verwendete Citrix Receiver, z. B. Windows, Mac usw.

    • Geräte-ID. Die IP-Adresse des Geräts, das für die Anmeldung verwendet wird.

    Zugriff über neue Geräteereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps und Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Potenzielle Datenexfiltration

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Versuchen, Daten zu exfiltrieren, und löst den entsprechenden Risikoindikator aus.

Der Indikator für potenzielle Datenexfiltration wird ausgelöst, wenn ein Citrix Receiver-Benutzer versucht, Dateien auf ein Laufwerk oder einen Drucker herunterzuladen oder zu übertragen. Diese Daten können ein Datei-Download-Ereignis sein, z. B. das Herunterladen einer Datei auf ein lokales Laufwerk, zugeordnete Laufwerke, auf ein externes Speichergerät usw. Es können auch Daten sein, die mithilfe der Zwischenablage oder durch die Kopieren-Einfüge-Aktion exfiltriert werden.

Wann wird potenzielle Datenexfiltrationsrisikoindikator ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer eine übermäßige Anzahl von Dateien in einem bestimmten Zeitraum auf ein Laufwerk oder einen Drucker übertragen hat. Dieser Risikoindikator wird auch ausgelöst, wenn der Benutzer die Kopieren-Einfügeaktion auf seinem lokalen Computer verwendet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator für potenzielle Datenexfiltration wird der Risikozeitleiste des Benutzers hinzugefügt, und eine Warnung wird im Bedienfeld Alerts angezeigt.

Wie analysiert man das potenzielle Datenexfiltrationsrisiko Indikator?

Betrachten Sie den Benutzer Adam Maxwell, der an einer Sitzung angemeldet ist und versucht, Dateien zu drucken, die das vordefinierte Limit überschreiten. Durch diese Aktion hatte Adam Maxwell sein normales Dateiübertragungsverhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste von Adam Maxwell können Sie den Indikator für potenzielle Datenexfiltration auswählen. Der Grund für das Ereignis wird zusammen mit den Details angezeigt, wie die übertragenen Dateien, das Gerät, mit dem die Datei übertragen wurde, usw.

Um den für einen Benutzer gemeldeten Indikator für potenzielle Datenexfiltration anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Potenzielle Datenexfiltration

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des potenziellen Datenexfiltrationsereignisses anzeigen. Sie können die Anzahl der Datenexfiltrationsereignisse in einem bestimmten Zeitraum anzeigen.

Potenzielle Datenexfiltration, was passiert ist

  • Im Abschnitt EVENT DETAILS werden die Datenexfiltrationsversuche in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Zeit. Der Zeitpunkt, zu dem das Datenexfiltrationsereignis aufgetreten ist.

    • Akten. Die Datei, die heruntergeladen, gedruckt oder kopiert wurde.

    • Dateityp. Der Dateityp, der heruntergeladen, gedruckt oder kopiert wurde.

    • Aktion. Die Art des ausgeführten Datenexfiltrationsereignisses — Drucken, Herunterladen oder Kopieren.

    • Geräte. Das verwendete Gerät.

    • Größe: Die Größe der Datei, die exfiltriert wird.

    Details zum möglichen Datenexfiltrationsereignis

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Ereignisses Folgendes anzeigen:

    • Die Anzahl der exfiltrierten Dateien.

    • Die durchgeführten Aktionen.

    • Die verwendeten Anwendungen.

    • Gerät, das vom Benutzer verwendet wird.

    Potenzielle Datenexfiltration zusätzliche kontextbezogene Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps und Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Zugriff von Gerät mit nicht unterstütztem Betriebssystem (OS)

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf dem Zugriff eines Benutzers von einem Gerät, auf dem ein nicht unterstütztes Betriebssystem ausgeführt wird, und löst den entsprechenden Risikoindikator aus.

Der Risikoindikator Zugriff von Gerät mit nicht unterstütztem Betriebssystem wird ausgelöst, wenn sich ein Citrix Receiver-Benutzer von einem nicht unterstützten Betriebssystem oder Browser anmeldet. Die Warnung wird basierend auf den von Citrix Receiver unterstützten Betriebssystem- und Browserversionen ausgelöst.

Wann wird der Zugriff vom Gerät mit nicht unterstütztem Betriebssystemrisikoindikator ausgelöst?

Der Risikoindikator Zugriff von Gerät mit nicht unterstütztem Betriebssystem wird gemeldet, wenn sich ein Benutzer von einem Gerät anmeldet, auf dem ein nicht unterstütztes Betriebssystem oder Browser ausgeführt wird. Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator Zugriff von Gerät mit nicht unterstütztem Betriebssystemrisiko wird der Risikozeitleiste des Benutzers hinzugefügt, und eine Warnung wird im Bedienfeld Warnungen angezeigt.

Hinweis:

Wenn ein Benutzer zu einem anderen Betriebssystem wechselt, sich aber mit derselben Sitzung verbindet, wird das Sitzungsanmeldeereignis beibehalten.

Wie analysiere ich den Zugriff vom Gerät mit nicht unterstütztem Betriebssystemrisikoindikator?

Betrachten Sie den Benutzer Georgina Kalou, der bei einer Sitzung angemeldet ist, die auf einem Betriebssystem oder Browser ausgeführt wird, der nicht von Citrix Receiver unterstützt wird. Citrix Analytics erkennt dieses Ereignis und weist Georgina Kalou eine Risikobewertung zu. Sie werden dann im Alerts-Bedienfeld benachrichtigt, und der Risikoindikator Zugriff von Gerät mit nicht unterstütztem Betriebssystemrisiko wird der Risikozeitleiste des Benutzers hinzugefügt.

Aus der Zeitleiste von Georgina Kalou können Sie den gemeldeten Zugriff von Gerät mit nicht unterstütztem Betriebssystemrisikoindikator auswählen. Der Grund für das Ereignis wird auf dem Bildschirm angezeigt, zusammen mit Details des Ereignisses, wie die Betriebssystemversion, Browserversion und mehr.

Um die Risikoindikator Zugriff von Gerät mit nicht unterstütztem Betriebssystem anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Zugriff von Gerät mit nicht unterstütztem Betriebssystem

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Zugriffs von Gerät mit nicht unterstütztem Betriebssystemrisikoindikator anzeigen. Sie können die Anzahl der Geräte mit einer nicht unterstützten Betriebssystem- oder Browserversion anzeigen, die zum Starten von Citrix Receiver verwendet werden, und den Zeitpunkt, zu dem die Ereignisse aufgetreten sind.

Zugriff von Gerät mit nicht unterstütztem Betriebssystem, was passiert ist

  • Im Abschnitt EVENT DETAILS - DEVICE ACCESS werden die nicht unterstützten Gerätezugriffsereignisse in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Startzeit. Der Zeitpunkt, zu dem das Ereignis aufgetreten ist.

    • Empfänger. Details der Receiver-Plattform.

    • Browser. Die für die Anmeldung verwendete Browserversion.

    • Betriebssystem. Die für die Anmeldung verwendete Betriebssystemversion.

    • Geräte-ID. Informationen zur ID des Geräts, das zur Anmeldung an der Sitzung verwendet wird.

    • IP-Adresse. Die IP-Adresse des Geräts, das für die Anmeldung verwendet wird.

    Hinweis:

    Wenn Ihr Gerät einen nicht unterstützten Browser für den Zugriff verwendet, werden keine Daten in der Spalte IP-Adresse angezeigt.

    Zugriff von Gerät mit nicht unterstützten Betriebssystemereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps und Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Ungewöhnliche Anwendungsnutzung (virtuell)

Citrix Analytics erkennt Datenbedrohungen basierend auf dem Zugriff eines Benutzers von einer neuen Anwendung aus und löst den entsprechenden Risikoindikator aus.

Der Indikator Ungewöhnliche Anwendungsverwendungsrisiko wird ausgelöst, wenn ein Citrix Receiver-Benutzer ein ungewöhnliches Anwendungsverhalten aufweist. Ungewöhnliches Verhalten könnte der erste Start einer HDX-Anwendung während einer bestimmten Tageszeit sein.

Wann wird der ungewöhnliche Anwendungsrisikoindikator ausgelöst?

Der Indikator Ungewöhnliche Anwendungsverwendungsrisiko wird gemeldet, wenn der Benutzer versucht, auf eine Anwendung zuzugreifen, die er zuvor nicht verwendet hat, wobei die Tageszeit berücksichtigt wird.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator Ungewöhnliche Anwendungsverwendungsrisiko wird der Risikozeitleiste des Benutzers hinzugefügt, und im Alertbedienfeld wird eine Warnung angezeigt.

Wie analysiert man den ungewöhnlichen Anwendungsrisikoindikator?

Betrachten Sie die Benutzer Georgina Kalou, die an einer Sitzung angemeldet ist und versucht, während arbeitsfreier Zeiten zum ersten Mal auf eine Anwendung zuzugreifen.

Aus der Zeitleiste von Georgina Kalou können Sie den gemeldeten Indikator Ungewöhnliche Anwendungsnutzung auswählen. Der Grund für das Ereignis wird zusammen mit Details wie dem Namen der Anwendung, der Zeitzone, von der aus zugegriffen wurde usw. angezeigt.

Um den für einen Benutzer gemeldeten Indikator Ungewöhnliche Anwendungsverwendungsrisiken anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Ungewöhnliche Anwendungsnutzung

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des Ereignisses anzeigen. Sie können die Anzahl der neuen Anwendungen anzeigen, auf die zugegriffen wurde und wann auf sie zugegriffen wurde.

Ungewöhnliche App-Nutzung, was passiert ist

  • Im Abschnitt EVENT DETAILS - APPLICATION USAGE wird das Ereignis im grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Zeit. Der Zeitpunkt, auf den die Anwendung zugegriffen wurde.

    • Anwendungsname. Name der Anwendung, auf die zugegriffen wird.

    • Zeitzone. Zeitzone, von der aus auf die Anwendung zugegriffen wird.

    Details zu ungewöhnlichen App-Nutzungsereignissen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps und Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.