Citrix Analytics für Sicherheit

Risikoindikatoren für Citrix Virtual Apps and Desktops

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt zugriffsbasierte Bedrohungen basierend auf ungewöhnlichen Anmeldungen von Citrix Workspace und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator Zugriff von einem ungewöhnlichen Standortrisiko ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrem Unternehmen von einem ungewöhnlichen Ort aus anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Nutzers bestimmt. Citrix Workspace erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht die Risikobewertung des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von früheren Anmelderorten entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Indikator Zugriff von einem ungewöhnlichen Standortrisiko wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Man denke an den Benutzer Adam Maxwell, der sich zum ersten Mal aus San Jose, USA, einschreibt. Sein üblicher Anmeldeort ist Alaska, USA. Citrix Workspace meldet diese Anmeldeereignisse an Citrix Analytics, das Adam Maxwell einen aktualisierten Risiko-Score zuweist. Der Zugriff von einem ungewöhnlichen Standortrisiko wird ausgelöst und der Risikozeitleiste von Adam Maxwell hinzugefügt.

Aus der Risikozeitleiste von Adam Maxwell können Sie den gemeldeten Zugriff anhand eines ungewöhnlichen Standortrisikoindikators auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Anmeldeort angezeigt.

Um den für einen Benutzer gemeldeten Indikator Zugriff von einem ungewöhnlichen Standortrisiko anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Ungewöhnlicher Ort

  • WHAT HAPPENED: Bietet eine kurze Zusammenfassung, die die Anzahl der Anmeldeversuche, den ungewöhnlichen Ort und den Zeitpunkt des Ereignisses enthält.

    Was ist passiert?

  • LOG-IN-Standorte: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Anmeldeorte des Benutzers an. Die üblichen Standortdaten sind für die letzten 30 Tage. Sie können den Mauszeiger über die Zeiger auf der Karte bewegen, um die genauen Details der einzelnen Standorte anzuzeigen.

    Anmelden

  • Unusual location — Letzte 30 Tage: Zeigt eine Tortendiagrammansicht der sechs häufigsten Anmelderäte an, von denen der Benutzer in den letzten 30 Tagen angemeldet wurde.

    Ungewöhnlicher Ort

  • Ungewöhnliche Standortereignisdetails: Bietet eine zeitleiste Visualisierung des ungewöhnlichen Anmeldeereignisses, das für den Benutzer aufgetreten ist. Außerdem enthält diese Tabelle die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    • Datum und Uhrzeit Datum und Uhrzeit des ungewöhnlichen Anmelderationsereignisses.

    • Client-IP Die IP-Adresse des Client-Geräts.

    • Geräte-OS. Betriebssystem des Geräts, mit dem sich der Benutzer bei dem ungewöhnlichen Standort angemeldet hat.

    • Geräte-Browser Webbrowser, mit dem sich der Benutzer bei der Anwendung angemeldet hat.

    • Typ des Ereignisses Gibt an, ob die Benutzeraktivität Sitzungsanmeldung oder Kontoanmeldung ist. Das Kontoanmeldeereignis wird ausgelöst, wenn die Authentifizierung eines Benutzers für sein Konto erfolgreich ist. Während das Sitzungsanmeldeereignis ausgelöst wird, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktopsitzung anmeldet.

      Einzelheiten zur Veranstaltung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder höher befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Benutzerprofil und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Erster Zugriff von neuem Gerät

Citrix Analytics erkennt Zugriffsbedrohungen basierend auf dem erstmaligen Zugriff von einem neuen Gerät und löst den entsprechenden Risikoindikator aus.

Die Anzeige für das Risiko des ersten Zugriffs von neuem Gerät wird ausgelöst, wenn sich ein Citrix Workspace Benutzer nach mindestens 90 Tagen von einem Gerät anmeldet. Dieser Risikoindikator wird ausgelöst, da Citrix Receiver in den letzten 90 Tagen keine Anmeldedatensätze für den Benutzer von diesem neuen oder unbekannten Gerät hat.

Wann wird der erste Zugriff von neuen Geräte-Risikoindikator ausgelöst?

Die Anzeige für den ersten Zugriff von neuem Gerät wird gemeldet, wenn sich ein Benutzer nach 90 Tagen von einem Gerät anmeldet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Indikator Erstmalacher Zugriff von neuem Geräterisiko wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Erstzugriff von einem neuen Geräterisikoindikator?

Betrachten Sie den Benutzer Adam Maxwell, der sich von einem Gerät aus über Citrix Receiver angemeldet hat, das der Benutzer in den letzten 90 Tagen nicht verwendet hat.

In der Zeitleiste von Adam Maxwell können Sie den Erstzugriff aus dem neuen Geräterisiko auswählen. Der Grund für den Zugriff von einem neuen Gerät wird zusammen mit Details wie der Ereigniszeit und der Geräte-ID angezeigt.

Um den für einen Benutzer gemeldeten Erstzugriff von neuem Geräte-Risikoindikator anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Erster Zugriff von neuem Gerät

  • Im Abschnitt WHAT HAPPENED, können Sie die Zusammenfassung des ersten Zugriffs von einem neuen Geräteereignis aus anzeigen. Sie können die Anzahl der Anmeldeinstanzen, die von einem neuen Gerät aufgetreten sind, und den Zeitpunkt des Ereignisses anzeigen.

    Erstmalig Zugriff von neuem Gerät

  • Im Abschnitt EVENT DETAILS werden die von einem neuen Gerät kommenden Zugriffsereignisse in tabellarischer Form angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen zu den Ereignissen:

    • Time. Der Zeitpunkt, zu dem die Anmeldeinstanz aufgetreten ist.

    • Empfängertyp. Der Typ des verwendeten Citrix Receivers, z. B. Windows und Mac.

    • Geräte-ID. Die IP-Adresse des Geräts, das für die Anmeldung verwendet wird.

      Zugriff über neue Geräteereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder höher befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Potenzielle Datenexfiltration

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Versuchen, Daten zu exfiltrieren, und löst den entsprechenden Risikoindikator aus.

Der Indikator für potenzielle Datenexfiltration wird ausgelöst, wenn ein Citrix Receiver-Benutzer versucht, Dateien auf ein Laufwerk oder einen Drucker herunterzuladen oder zu übertragen. Diese Daten können ein Datei-Download-Ereignis sein, z. B. das Herunterladen einer Datei auf ein lokales Laufwerk, zugeordnete Laufwerke oder ein externes Speichergerät. Es können auch Daten sein, die mithilfe der Zwischenablage oder durch die Aktion “Kopieren” exfiltriert werden.

Hinweis

Die Zwischenablage-Vorgänge werden nur von den SaaS-Anwendungen unterstützt.

Wann wird der Risikoindikator für potenzielle Datenexfiltration ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer eine übermäßige Anzahl von Dateien in einem bestimmten Zeitraum auf ein Laufwerk oder einen Drucker übertragen hat. Dieser Risikoindikator wird auch ausgelöst, wenn der Benutzer die Kopieren-Einfügeaktion auf seinem lokalen Computer verwendet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator für potenzielle Datenexfiltration wird der Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für potenzielle Datenexfiltration?

Betrachten Sie den Benutzer Adam Maxwell, der an einer Sitzung angemeldet ist und versucht, Dateien zu drucken, die das vordefinierte Limit überschreiten. Durch diese Aktion hatte Adam Maxwell sein normales Dateiübertragungsverhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste von Adam Maxwell können Sie den Indikator für potenzielle Datenexfiltration auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie den übertragenen Dateien und dem Gerät, mit dem die Datei übertragen wurde, angezeigt.

Um den für einen Benutzer gemeldeten Indikator für potenzielle Datenexfiltration anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Potenzielle Datenexfiltration

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des potenziellen Datenexfiltrationsereignisses anzeigen. Sie können die Anzahl der Datenexfiltrationsereignisse in einem bestimmten Zeitraum anzeigen.

    Potenzielle Datenexfiltration

  • Im Abschnitt EVENT DETAILS werden die Datenexfiltrationsversuche in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Time. Der Zeitpunkt, zu dem das Datenexfiltrationsereignis aufgetreten ist.

    • Akten. Die Datei, die heruntergeladen, gedruckt oder kopiert wurde.

    • Dateityp. Der Dateityp, der heruntergeladen, gedruckt oder kopiert wurde.

      Hinweis

      Der gedruckte Dateiname ist nur im Druckereignis SaaS-Apps verfügbar.

    • Aktion. Die Art des durchgeführten Datenexfiltrationsereignisses — drucken, herunterladen oder kopieren.

    • Geräte. Das verwendete Gerät.

    • Größe: Die Größe der exfiltrierten Datei.

    • Standort. Die Stadt, aus der der Benutzer versucht, die Daten zu exfiltrieren.

      Details zum möglichen Datenexfiltrationsereignis

  • Im Abschnitt ADDITIONAL CONTEXTUAL INFORMATION können Sie während des Ereignisses Folgendes anzeigen:

    • Die Anzahl der Dateien, die exfiltriert wurden.

    • Die durchgeführten Aktionen.

    • Die verwendeten Anwendungen.

    • Gerät, das vom Benutzer verwendet wird.

      Potenzielle Datenexfiltration zusätzliche kontextbezogene Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen auf dem Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Admin benachrichtigen. Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn auf dem Konto für Virtual Desktops des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers für zukünftige Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps und Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die aktuelle Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Risikoindikatoren für Citrix Virtual Apps and Desktops