Citrix Analytics für Sicherheit

Risikoindikatoren für Citrix Virtual Apps and Desktops

Potenzielle Datenexfiltration

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Versuchen, Daten zu exfiltrieren, und löst den entsprechenden Risikoindikator aus.

Der mit dem Risikoindikator für potenzielle Datenexfiltration verbundene Risikofaktor sind die datenbasierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Der Risikoindikator für potenzielle Datenexfiltration wird ausgelöst, wenn ein Citrix Receiver-Benutzer versucht, Dateien auf ein Laufwerk oder einen Drucker herunterzuladen oder zu übertragen. Diese Daten können ein Ereignis zum Herunterladen von Dateien sein, z. B. das Herunterladen einer Datei auf ein lokales Laufwerk, zugeordnete Laufwerke oder ein externes Speichergerät. Es können auch Daten sein, die mithilfe der Zwischenablage oder durch die Aktion zum Kopieren und Einfügen exfiltriert werden.

Hinweis

Die Zwischenablage wird nur von den SaaS-Anwendungen unterstützt.

Wann wird der Risikoindikator für potenzielle Datenexfiltration ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in einem bestimmten Zeitraum eine übermäßige Anzahl von Dateien auf ein Laufwerk oder einen Drucker übertragen hat. Dieser Risikoindikator wird auch ausgelöst, wenn der Benutzer die Aktion zum Kopieren und Einfügen auf seinem lokalen Computer verwendet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator für potenzielle Datenexfiltration wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für potenzielle Datenexfiltration?

Betrachten Sie den Benutzer Adam Maxwell, der an einer Sitzung angemeldet ist und versucht, Dateien zu drucken, die das vordefinierte Limit überschreiten. Durch diese Aktion hatte Adam Maxwell sein normales Dateiübertragungsverhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste von Adam Maxwell können Sie den Risikoindikator für potenzielle Datenexfiltration auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie den übertragenen Dateien und dem Gerät, mit dem die Datei übertragen wurde, angezeigt.

Um den für einen Benutzer gemeldeten Risikoindikator für die potenzielle Datenexfiltration anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Potenzielle Datenexfiltration

  • Im Abschnitt WAS PASSIERT IST, können Sie die Zusammenfassung des potenziellen Datenexfiltrationsereignisses anzeigen. Sie können die Anzahl der Datenexfiltrationsereignisse während eines bestimmten Zeitraums anzeigen.

    Mögliche Datenexfiltration was ist passiert

  • Im Abschnitt EVENT-DETAILS werden die Versuche der Datenexfiltration in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge in der Grafik angezeigt, und die Tabelle enthält die folgenden wichtigen Informationen:

    • Time. Die Zeit, zu der das Datenexfiltrationsereignis eintrat

    • Akten. Die Datei, die entweder heruntergeladen, gedruckt oder kopiert wurde.

    • Dateityp. Der Dateityp, der entweder heruntergeladen, gedruckt oder kopiert wurde.

      Hinweis

      Der gedruckte Dateiname ist nur über das Druckereignis für SaaS-Apps verfügbar.

    • Aktion: Die Art von Datenexfiltrationsereignis, die durchgeführt wurden - Drucken, Herunterladen oder Kopieren.

    • Geräte. Das verwendete Gerät.

    • Größe. Die Größe der Datei, die exfiltriert wird.

    • Standort. Die Stadt, aus der der Benutzer versucht, Daten zu exfiltrieren.

      Details zum möglichen Datenexfiltrationsereignis

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie während des Auftretens des Ereignisses Folgendes anzeigen:

    • Die Anzahl der Dateien, die exfiltriert wurden.

    • Die durchgeführten Aktionen.

    • Die verwendeten Anwendungen.

    • Vom Benutzer verwendetes Gerät.

      Mögliche Datenexfiltration zusätzliche kontextbezogene Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über virtuelle Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Verdächtige Anmeldung

Citrix Analytics erkennt die Anmeldungen des Benutzers, die ungewöhnlich oder riskant erscheinen, basierend auf mehreren Kontextfaktoren, die gemeinsam durch das Gerät, den Standort und das Netzwerk definiert werden, die vom Benutzer verwendet werden.

Wann wird der Risikoindikator für verdächtige Anmeldung ausgelöst?

Der Risikoindikator wird durch die Kombination der folgenden Faktoren ausgelöst, wobei jeder Faktor aufgrund einer oder mehrerer Bedingungen als potenziell verdächtig angesehen wird.

Faktor Bedingungen
Ungewöhnliches Gerät Der Benutzer meldet sich von einem Gerät aus an, das in den letzten 30 Tagen nicht verwendet wurde.
  Der Benutzer meldet sich von einem Gerät aus an, das nicht vom Citrix Virtual Apps and Desktops-Server verwaltet wird.
  Der Benutzer meldet sich von einem HTML5-Client oder einem Chrome-Client aus an, wo die Gerätesignatur nicht mit dem Verlauf des Benutzers übereinstimmt.
Ungewöhnlicher Ort Melden Sie sich von einer Stadt oder einem Land aus an, in dem sich der Benutzer in den letzten 30 Tagen nicht angemeldet hat.
  Die Stadt oder das Land ist geografisch weit von den letzten (letzten 30 Tagen) Anmeldeorten entfernt.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen von der Stadt oder dem Land aus angemeldet.
Ungewöhnliches Netzwerk Melden Sie sich von einer IP-Adresse aus an, die der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Melden Sie sich von einem IP-Subnetz aus an, das der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen vom IP-Subnetz aus angemeldet.
IP-Bedrohung Die IP-Adresse wird vom Community Threat Intelligence Feed Webroot als hohes Risiko identifiziert.
  Citrix Analytics hat kürzlich sehr verdächtige Anmeldeaktivitäten anhand der IP-Adresse anderer Benutzer erkannt.

So analysieren Sie den Risikoindikator für verdächtige Anmeldung

Betrachten Sie den Benutzer Adam Maxwell, der sich zum ersten Mal aus Mumbai, Indien, anmeldet. Er verwendet ein neues Gerät oder ein Gerät, das in den letzten 30 Tagen nicht verwendet wurde, um sich bei Citrix Virtual Apps and Desktops anzumelden und mit einem neuen Netzwerk verbunden zu sein. Citrix Analytics erkennt dieses Anmeldeereignis als verdächtig, da die Faktoren Standort, Gerät und Netzwerk von seinem üblichen Verhalten abweichen und den Indikator für verdächtiges Anmelderisiko auslösen . Der Risikoindikator wird zu Adam Maxwells Risikozeitplan hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um Adam Maxwells Risikozeit anzuzeigen, wählen Sie Sicherheit > Benutzer. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie aus Adam Maxwells Risikozeitleiste den Indikator für verdächtiges Anmelderisiko aus. Sie können die folgenden Informationen anzeigen:

  • WAS PASSIERT IST: Bietet eine kurze Zusammenfassung der verdächtigen Aktivitäten, die die Risikofaktoren und den Zeitpunkt des Ereignisses enthalten.

    Verdächtige Anmeldung - was ist passiert

  • ANMELDEDETAILS: Bietet eine detaillierte Zusammenfassung der verdächtigen Aktivitäten, die jedem Risikofaktor entsprechen. Jedem Risikofaktor wird ein Score zugewiesen, der das Verdachtsniveau angibt. Jeder einzelne Risikofaktor weist nicht auf ein hohes Risiko eines Benutzers hin. Das Gesamtrisiko basiert auf der Korrelation der verschiedenen Risikofaktoren.

    Stufe des Verdachts Indikation
    0–69 Der Faktor scheint normal zu sein und wird nicht als verdächtig angesehen.
    70–89 Der Faktor erscheint etwas ungewöhnlich und wird bei anderen Faktoren als mäßig verdächtig angesehen.
    90–100 Der Faktor ist völlig neu oder ungewöhnlich und wird bei anderen Faktoren als äußerst verdächtig angesehen.

    Verdächtige Anmeldedaten

  • ANMELDEORT - LETZTE 30 TAGE: Zeigt eine geografische Kartenansicht der letzten bekannten Standorte und des aktuellen Standorts des Benutzers an. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

    Verdächtiger Anmeldeort

  • VERDÄCHTIGE ANMELDUNG - EREIGNISDETAILS: Die Tabelle mit den Ereignisdetails enthält die folgenden Informationen über das verdächtige Anmeldeereignis:

    • Uhrzeit: Zeigt Datum und Uhrzeit der verdächtigen Anmeldung an.

    • Anmeldetyp: Zeigt an, ob es sich bei der Benutzeraktivität um eine Sitzungsanmeldung oder eine Kontoanmeldung handelt. Das Kontoanmeldeereignis wird ausgelöst, wenn die Authentifizierung eines Benutzers für sein Konto erfolgreich ist. Während das Sitzungsanmeldeereignis ausgelöst wird, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktopsitzung anmeldet.

    • Clienttyp: Gibt den Typ der Citrix Workspace-App an, die auf dem Benutzergerät installiert ist. Abhängig vom Betriebssystem des Benutzergeräts kann der Clienttyp Android, iOS, Windows, Linux, Mac usw. sein.

    • Betriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.

    • Browser: Zeigt den Webbrowser an, der für den Zugriff auf die Anwendung verwendet wird.

    • Standort: Gibt den Ort an, von dem aus sich der Benutzer angemeldet hat.

    • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.

    • Gerät: Zeigt den Gerätenamen des Benutzers an.

      Details zu verdächtigen Anmeldeereignis

Welche Aktionen können Sie auf die Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über virtuelle Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder höher befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Risikoindikatoren für Citrix Virtual Apps and Desktops