Citrix Analytics für Sicherheit

Citrix Virtual Apps and Desktops und Citrix DaaS-Risikoindikatoren

Unmögliche Reisen

Citrix Analytics erkennt die Anmeldungen eines Benutzers als riskant, wenn die aufeinanderfolgenden Anmeldungen aus zwei verschiedenen Ländern innerhalb eines Zeitraums erfolgen, der unter der erwarteten Reisezeit zwischen den Ländern liegt.

Das Szenario der unmöglichen Reisezeit weist auf folgende Risiken hin:

  • Kompromittierte Anmeldeinformationen: Ein Remote-Angreifer stiehlt die Anmeldeinformationen eines legitimen Benutzers.

  • Gemeinsame Anmeldeinformationen: Verschiedene Benutzer verwenden dieselben Benutzeranmeldeinformationen.

Wann wird der Indikator Unmögliches Reiserisiko ausgelöst?

Der Indikator für unmögliches Reiserisiko wertet die Zeit und die geschätzte Entfernung zwischen jedem Paar aufeinanderfolgender Benutzeranmeldungen aus und löst aus, wenn die Entfernung größer ist, als eine einzelne Person in dieser Zeit möglicherweise zurücklegen kann.

Hinweis:

Dieser Risikoindikator enthält auch eine Logik zur Reduzierung von Fehlalarmen für die folgenden Szenarien, die nicht die tatsächlichen Standorte der Benutzer widerspiegeln:

  • Wenn sich Benutzer über Proxyverbindungen bei virtuellen Apps und Desktops anmelden.
  • Wenn sich Benutzer von gehosteten Clients bei virtuellen Apps und Desktops anmelden.

So analysieren Sie den Indikator für unmögliches Risiko

Man denke an den Benutzer Adam Maxwell, der sich innerhalb einer Minute von zwei Standorten aus anmeldet - Moskva, Russland und Hohhot, China. Citrix Analytics erkennt dieses Anmeldeereignis als unmögliches Reiseszenario und löst den Indikator Unmögliche Reise aus. Der Risikoindikator wird dem Risikozeitplan von Adam Maxwell hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um die Risikozeitleiste von Adam Maxwell anzuzeigen, wählen Sie Sicherheit > Benutzeraus. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in Adam Maxwells Risiko-Timeline den Indikator Unmögliches Reiserisiko aus. Sie können die folgenden Informationen anzeigen:

  • Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung des unmöglichen Reiseereignisses.

    Was ist passiert

  • Der Abschnitt INDICATOR DETAILS enthält die Standorte, von denen aus sich der Benutzer angemeldet hat, die Zeitdauer zwischen den aufeinanderfolgenden Anmeldungen und die Entfernung zwischen den beiden Standorten.

    Angaben zum Indikator

  • Im Abschnitt LOGON LOCATION- LAST 30 DAYS wird eine geografische Kartenansicht der unmöglichen Reiseorte und der bekannten Standorte des Benutzers angezeigt. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

    Anmeldungsort der letzten 30 Tage

  • Der Abschnitt IMPOSSIBLE TRAVEL — EVENT DETAILS enthält die folgenden Informationen über das unmögliche Reiseereignis:

    • Datum und Uhrzeit: Gibt das Datum und die Uhrzeit der Anmeldungen an.
    • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.
    • Standort: Gibt den Ort an, von dem aus sich der Benutzer angemeldet hat.
    • Gerät: Zeigt den Gerätenamen des Benutzers an.
    • Anmeldetyp: Zeigt an, ob es sich bei der Benutzeraktivität um eine Sitzungsanmeldung oder eine Kontoanmeldung handelt. Das Kontoanmeldeereignis wird ausgelöst, wenn die Authentifizierung eines Benutzers bei seinem Konto erfolgreich ist. Während das Sitzungsanmeldeereignis ausgelöst wird, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktopsitzung anmeldet.
    • Betriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.
    • Browser: Zeigt den Webbrowser an, der für den Zugriff auf die Anwendung verwendet wird.

    Anmeldungsort der letzten 30 Tage

Welche Aktionen können Sie auf die Benutzer anwenden?

Sie können die folgenden Aktionen für das Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.
  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Konto des Benutzers wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.
  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über virtuelle Desktops auf die Ressource zugreifen.
  • Sitzungsaufzeichnung starten. Wenn ein ungewöhnliches Ereignis für das Virtual Desktops-Konto des Benutzers auftritt, kann der Administrator mit der Aufzeichnung der Benutzeraktivitäten zukünftiger Anmeldesitzungen beginnen. Wenn der Benutzer jedoch Citrix Virtual Apps and Desktops 7.18 oder höher verwendet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Benutzerprofil und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Potenzielle Datenexfiltration

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Versuchen, Daten zu exfiltrieren, und löst den entsprechenden Risikoindikator aus.

Der mit dem Risikoindikator für potenzielle Datenexfiltration verbundene Risikofaktor sind die datenbasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Der Risikoindikator für potenzielle Datenexfiltration wird ausgelöst, wenn ein Citrix Receiver-Benutzer versucht, Dateien auf ein Laufwerk oder einen Drucker herunterzuladen oder zu übertragen. Diese Daten können ein Ereignis zum Herunterladen von Dateien sein, z. B. das Herunterladen einer Datei auf ein lokales Laufwerk, zugeordnete Laufwerke oder ein externes Speichergerät. Die Daten können auch mit der Zwischenablage oder mit der Aktion zum Kopieren und Einfügen exfiltriert werden.

Hinweis

Die Zwischenablage wird nur von den SaaS-Anwendungen unterstützt.

Wann wird der Risikoindikator für potenzielle Datenexfiltration ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in einem bestimmten Zeitraum eine übermäßige Anzahl von Dateien auf ein Laufwerk oder einen Drucker übertragen hat. Dieser Risikoindikator wird auch ausgelöst, wenn der Benutzer die Aktion zum Kopieren und Einfügen auf seinem lokalen Computer verwendet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator für potenzielle Datenexfiltration wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für potenzielle Datenexfiltration?

Betrachten Sie den Benutzer Adam Maxwell, der an einer Sitzung angemeldet ist und versucht, Dateien zu drucken, die das vordefinierte Limit überschreiten. Durch diese Aktion hatte Adam Maxwell sein normales Dateiübertragungsverhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste von Adam Maxwell können Sie den Risikoindikator für potenzielle Datenexfiltration auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie den übertragenen Dateien und dem Gerät, mit dem die Datei übertragen wurde, angezeigt.

Um den für einen Benutzer gemeldeten Risikoindikator für die potenzielle Datenexfiltration anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Potenzielle Datenexfiltration

  • Im Abschnitt WHAT HAPPENED, können Sie die Zusammenfassung des potenziellen Datenexfiltrationsereignisses anzeigen. Sie können die Anzahl der Datenexfiltrationsereignisse während eines bestimmten Zeitraums anzeigen.

    Mögliche Datenexfiltration was ist passiert

  • Im Abschnitt EVENT-DETAILS werden die Versuche der Datenexfiltration in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge in der Grafik angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen:

    • Time. Die Zeit, zu der das Datenexfiltrationsereignis eintrat

    • Akten. Die Datei, die entweder heruntergeladen, gedruckt oder kopiert wurde.

    • Dateityp. Der Dateityp, der entweder heruntergeladen, gedruckt oder kopiert wurde.

      Hinweis

      Der gedruckte Dateiname ist nur über das Druckereignis für SaaS-Apps verfügbar.

    • Aktion. Die Art von Datenexfiltrationsereignis, die durchgeführt wurden - Drucken, Herunterladen oder Kopieren.

    • Geräte. Das verwendete Gerät.

    • Größe. Die Größe der Datei, die exfiltriert wird.

    • Standort. Die Stadt, aus der der Benutzer versucht, Daten zu exfiltrieren.

      Details zum möglichen Datenexfiltrationsereignis

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Auftretens des Ereignisses Folgendes anzeigen:

    • Die Anzahl der Dateien, die exfiltriert wurden.

    • Die durchgeführten Aktionen.

    • Die verwendeten Anwendungen.

    • Vom Benutzer verwendetes Gerät.

      Mögliche Datenexfiltration ADDITIONAL CONTEXTUAL INFORMATION

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über virtuelle Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn der Benutzer jedoch Citrix Virtual Apps and Desktops 7.18 oder höher aktiviert ist, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Verdächtige Anmeldung

Citrix Analytics erkennt die Anmeldungen des Benutzers, die ungewöhnlich oder riskant erscheinen, basierend auf mehreren Kontextfaktoren, die gemeinsam durch das Gerät, den Standort und das Netzwerk definiert werden, die vom Benutzer verwendet werden.

Wann wird der Risikoindikator für verdächtige Anmeldung ausgelöst?

Der Risikoindikator wird durch die Kombination der folgenden Faktoren ausgelöst, wobei jeder Faktor aufgrund einer oder mehrerer Bedingungen als potenziell verdächtig angesehen wird.

Faktor Bedingungen
Ungewöhnliches Gerät Der Benutzer meldet sich von einem Gerät aus an, das in den letzten 30 Tagen nicht verwendet wurde.
  Der Benutzer meldet sich von einem HTML5-Client oder einem Chrome-Client aus an, wo die Gerätesignatur nicht mit dem Verlauf des Benutzers übereinstimmt.
Ungewöhnlicher Ort Melden Sie sich von einer Stadt oder einem Land aus an, in dem sich der Benutzer in den letzten 30 Tagen nicht angemeldet hat.
  Die Stadt oder das Land ist geografisch weit von den letzten (letzten 30 Tagen) Anmeldeorten entfernt.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen von der Stadt oder dem Land aus angemeldet.
Ungewöhnliches Netzwerk Melden Sie sich von einer IP-Adresse aus an, die der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Melden Sie sich von einem IP-Subnetz aus an, das der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen vom IP-Subnetz aus angemeldet.
IP-Bedrohung Die IP-Adresse wird vom Community Threat Intelligence Feed Webroot als hohes Risiko identifiziert.
  Citrix Analytics hat kürzlich sehr verdächtige Anmeldeaktivitäten anhand der IP-Adresse anderer Benutzer erkannt.

So analysieren Sie den Risikoindikator für verdächtige Anmeldung

Betrachten Sie den Benutzer Adam Maxwell, der sich zum ersten Mal aus Mumbai, Indien, anmeldet. Er verwendet ein neues Gerät oder ein Gerät, das in den letzten 30 Tagen nicht verwendet wurde, um sich bei Citrix Virtual Apps and Desktops anzumelden und eine Verbindung zu einem neuen Netzwerk herzustellen. Citrix Analytics erkennt dieses Anmeldeereignis als verdächtig, da die Faktoren Standort, Gerät und Netzwerk von seinem üblichen Verhalten abweichen und den Indikator für verdächtiges Anmelderisiko auslösen . Der Risikoindikator wird zu Adam Maxwells Risikozeitplan hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um Adam Maxwells Risikozeit anzuzeigen, wählen Sie Sicherheit > Benutzer. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in der Risikozeitleiste von Adam Maxwell den Risikoindikator für verdächtige Anmeldung aus. Sie können die folgenden Informationen anzeigen:

  • Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung der verdächtigen Aktivitäten, einschließlich der Risikofaktoren und des Zeitpunkts des Ereignisses.

    Verdächtige Anmeldung - was ist passiert

  • Im Abschnitt RECOMMENDED ACTION finden Sie die vorgeschlagenen Maßnahmen, die auf den Risikoindikator angewendet werden können. Citrix Analytics for Security empfiehlt die Aktionen je nach Schweregrad des vom Benutzer ausgehenden Risikos. Die Empfehlung kann eine oder eine Kombination der folgenden Aktionen sein:

    • Administrator (en) benachrichtigen

    • Zur Watchlist hinzufügen

    • Erstellen einer Richtlinie

    Sie können eine Aktion basierend auf der Empfehlung auswählen. Oder Sie können eine Aktion, die Sie je nach Ihrer Wahl anwenden möchten, aus dem Menü Aktionen auswählen. Weitere Informationen finden Sie unter Manuelles Anwenden einer Aktion.

    Empfohlene Aktion

  • Der Abschnitt LOGON DETAILS enthält eine detaillierte Zusammenfassung der verdächtigen Aktivitäten, die den einzelnen Risikofaktoren entsprechen. Jedem Risikofaktor wird ein Score zugewiesen, der das Verdachtsniveau angibt. Jeder einzelne Risikofaktor weist nicht auf ein hohes Risiko eines Benutzers hin. Das Gesamtrisiko basiert auf der Korrelation der verschiedenen Risikofaktoren.

    Stufe des Verdachts Indikation
    0–69 Der Faktor scheint normal zu sein und wird nicht als verdächtig angesehen.
    70–89 Der Faktor erscheint etwas ungewöhnlich und wird bei anderen Faktoren als mäßig verdächtig angesehen.
    90–100 Der Faktor ist völlig neu oder ungewöhnlich und wird bei anderen Faktoren als äußerst verdächtig angesehen.

    Verdächtige Anmeldedaten

  • Im Abschnitt LOGON LOCATION- LAST 30 DAY wird eine geografische Kartenansicht der letzten bekannten Standorte und des aktuellen Standorts des Benutzers angezeigt. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

    Verdächtiger Anmeldeort

  • Der Abschnitt SUSPICIOUS LOGON- EVENT DETAILS enthält die folgenden Informationen über das verdächtige Anmeldeereignis:

    • Uhrzeit: Zeigt Datum und Uhrzeit der verdächtigen Anmeldung an.

    • Anmeldetyp: Zeigt an, ob es sich bei der Benutzeraktivität um eine Sitzungsanmeldung oder eine Kontoanmeldung handelt. Das Kontoanmeldeereignis wird ausgelöst, wenn die Authentifizierung eines Benutzers für sein Konto erfolgreich ist. Während das Sitzungsanmeldeereignis ausgelöst wird, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktopsitzung anmeldet.

    • Clienttyp: Gibt den Typ der Citrix Workspace-App an, die auf dem Benutzergerät installiert ist. Abhängig vom Betriebssystem des Benutzergeräts kann der Clienttyp Android, iOS, Windows, Linux, Mac usw. sein.

    • Betriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.

    • Browser: Zeigt den Webbrowser an, der für den Zugriff auf die Anwendung verwendet wird.

    • Standort: Gibt den Ort an, von dem aus sich der Benutzer angemeldet hat.

    • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.

    • Gerät: Zeigt den Gerätenamen des Benutzers an.

      Details zu verdächtigen Anmeldeereignis

Welche Aktionen können Sie auf die Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über virtuelle Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn der Benutzer jedoch Citrix Virtual Apps and Desktops 7.18 oder höher aktiviert ist, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Virtual Apps and Desktops und Citrix DaaS-Risikoindikatoren