Citrix Analytics für Sicherheit

Risikoindikatoren für Citrix Virtual Apps and Desktops

Zugang von einem ungewöhnlichen Ort

Citrix Analytics erkennt zugriffsbasierte Bedrohungen basierend auf ungewöhnlichen Anmeldungen von Citrix Workspace und löst den entsprechenden Risikoindikator aus.

Wann wird der Indikator Zugriff von einem ungewöhnlichen Standortrisiko ausgelöst?

Sie werden benachrichtigt, wenn sich ein Benutzer in Ihrem Unternehmen von einem ungewöhnlichen Ort aus anmeldet. Der Standort wird aus der IP-Adresse des Geräts des Benutzers ermittelt. Citrix Workspace erkennt diese Benutzerereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator wird ausgelöst, wenn sich der Benutzer von einer IP-Adresse aus anmeldet, die einem neuen Land zugeordnet ist, oder einer neuen Stadt, die anomal weit von früheren Anmelderorten entfernt ist. Weitere Faktoren sind das allgemeine Mobilitätsniveau des Benutzers und die relative Häufigkeit von Anmeldungen aus der Stadt für alle Benutzer in Ihrem Unternehmen. In allen Fällen basiert der Standortverlauf des Benutzers auf den letzten 30 Tagen der Anmeldeaktivität.

Der Risikoindikator Zugriff von einem ungewöhnlichen Standortrisiko wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Zugang von einem ungewöhnlichen Standortrisikoindikator?

Man denke an den Benutzer Adam Maxwell, der sich zum ersten Mal aus San Jose, USA, einschreibt. Sein üblicher Anmeldeort ist Alaska, USA. Citrix Workspace meldet diese Anmeldeereignisse an Citrix Analytics, das Adam Maxwell einen aktualisierten Risiko-Score zuweist. Der Indikator “Zugriff von einem ungewöhnlichen Standortrisiko” wird ausgelöst und zur Risikozeitleiste von Adam Maxwell hinzugefügt.

Aus der Risikozeitleiste von Adam Maxwell können Sie den gemeldeten Zugriff aus einem ungewöhnlichen Standortrisikoindikator auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Anmeldeort angezeigt.

Um den für einen Benutzer gemeldeten Indikator Zugriff von einem ungewöhnlichen Standortrisiko anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Ungewöhnlicher Ort

  • WHAT HAPPENED: Bietet eine kurze Zusammenfassung, die die Anzahl der Anmeldeversuche, den ungewöhnlichen Ort und den Zeitpunkt des Ereignisses enthält.

    Was ist passiert?

  • LOG-IN-Standorte: Zeigt eine geografische Kartenansicht der üblichen und ungewöhnlichen Anmeldeorte des Benutzers an. Die üblichen Standortdaten sind für die letzten 30 Tage. Sie können den Mauszeiger über die Zeiger auf der Karte bewegen, um die genauen Details der einzelnen Standorte anzuzeigen.

    Anmelden

  • Unusual location — Letzte 30 Tage: Zeigt eine Tortendiagrammansicht der sechs häufigsten Anmelderäte an, von denen der Benutzer in den letzten 30 Tagen angemeldet wurde.

    Ungewöhnlicher Ort

  • Ungewöhnliche Standortereignisdetails: Die Tabelle mit den Ereignisdetails enthält die folgenden Informationen über das ungewöhnliche Anmeldeereignis:

    Einzelheiten zur Veranstaltung

    • Datum und Uhrzeit Gibt das Datum und die Uhrzeit des ungewöhnlichen Anmeldestandortereignisses an.

    • Client-IP Gibt die IP-Adresse des Clientgeräts an.

    • Geräte-ID Gibt den Typ des Benutzergeräts wie Android, Mac oder Windows an.

    • Geräte-OS. Gibt das Betriebssystem des Geräts an, mit dem sich der Benutzer von dem ungewöhnlichen Speicherort aus angemeldet hat.

    • Geräte-Browser Gibt den Webbrowser an, mit dem sich der Benutzer bei der Anwendung angemeldet hat.

    • Receiver-Typ. Gibt den Typ der Citrix Workspace-App oder Citrix Receiver an, die auf dem Benutzergerät installiert ist.

    • Typ des Ereignisses Gibt an, ob die Benutzeraktivität Sitzungsanmeldung oder Kontoanmeldung ist. Das Kontoanmeldeereignis wird ausgelöst, wenn die Authentifizierung eines Benutzers für sein Konto erfolgreich ist. Während das Sitzungsanmeldeereignis ausgelöst wird, wenn ein Benutzer seine Anmeldeinformationen eingibt und sich bei seiner App- oder Desktopsitzung anmeldet.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder höher befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Potenzielle Datenexfiltration

Citrix Analytics erkennt Datenbedrohungen basierend auf übermäßigen Versuchen, Daten zu exfiltrieren, und löst den entsprechenden Risikoindikator aus.

Der Indikator für potenzielle Datenexfiltration wird ausgelöst, wenn ein Citrix Receiver-Benutzer versucht, Dateien auf ein Laufwerk oder einen Drucker herunterzuladen oder zu übertragen. Diese Daten können ein Datei-Download-Ereignis sein, z. B. das Herunterladen einer Datei auf ein lokales Laufwerk, zugeordnete Laufwerke oder ein externes Speichergerät. Es können auch Daten sein, die mithilfe der Zwischenablage oder durch die Aktion “Kopieren” exfiltriert werden.

Hinweis

Die Zwischenablage-Vorgänge werden nur von den SaaS-Anwendungen unterstützt.

Wann wird der Risikoindikator für potenzielle Datenexfiltration ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer eine übermäßige Anzahl von Dateien in einem bestimmten Zeitraum auf ein Laufwerk oder einen Drucker übertragen hat. Dieser Risikoindikator wird auch ausgelöst, wenn der Benutzer die Kopieren-Einfügeaktion auf seinem lokalen Computer verwendet.

Wenn Citrix Receiver dieses Verhalten erkennt, empfängt Citrix Analytics dieses Ereignis und weist dem jeweiligen Benutzer eine Risikobewertung zu. Der Risikoindikator für potenzielle Datenexfiltration wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für potenzielle Datenexfiltration?

Betrachten Sie den Benutzer Adam Maxwell, der an einer Sitzung angemeldet ist und versucht, Dateien zu drucken, die das vordefinierte Limit überschreiten. Durch diese Aktion hatte Adam Maxwell sein normales Dateiübertragungsverhalten basierend auf maschinellem Lernen überschritten.

Aus der Zeitleiste von Adam Maxwell können Sie den Risikoindikator für potenzielle Datenexfiltration auswählen. Der Grund für das Ereignis wird zusammen mit den Details wie den übertragenen Dateien und dem Gerät, mit dem die Datei übertragen wurde, angezeigt.

Um den für einen Benutzer gemeldeten Indikator für potenzielle Datenexfiltration anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Potenzielle Datenexfiltration

  • Im Abschnitt WHAT HAPPENED können Sie die Zusammenfassung des potenziellen Datenexfiltrationsereignisses anzeigen. Sie können die Anzahl der Datenexfiltrationsereignisse in einem bestimmten Zeitraum anzeigen.

    Potenzielle Datenexfiltration

  • Im Abschnitt EVENT DETAILS werden die Datenexfiltrationsversuche in einem grafischen und tabellarischen Format angezeigt. Die Ereignisse werden als einzelne Einträge im Diagramm angezeigt, und die Tabelle enthält folgende Schlüsselinformationen:

    • Time. Der Zeitpunkt, zu dem das Datenexfiltrationsereignis aufgetreten ist.

    • Akten. Die Datei, die heruntergeladen, gedruckt oder kopiert wurde.

    • Dateityp. Der Dateityp, der heruntergeladen, gedruckt oder kopiert wurde.

      Hinweis

      Der gedruckte Dateiname ist nur im Druckereignis SaaS-Apps verfügbar.

    • Aktion. Die Art des durchgeführten Datenexfiltrationsereignisses — drucken, herunterladen oder kopieren.

    • Geräte. Das verwendete Gerät.

    • Größe: Die Größe der exfiltrierten Datei.

    • Standort. Die Stadt, aus der der Benutzer versucht, Daten zu exfiltrieren.

      Details zum möglichen Datenexfiltrationsereignis

  • Im Abschnitt ZUSÄTZLICHE KONTEXTBEZOGENE INFORMATIONEN können Sie während des Auftretens des Ereignisses Folgendes anzeigen:

    • Die Anzahl der Dateien, die exfiltriert wurden.

    • Die durchgeführten Aktionen.

    • Die verwendeten Anwendungen.

    • Gerät, das vom Benutzer verwendet wird.

      Potenzielle Datenexfiltration zusätzliche kontextbezogene Informationen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator (s). Wenn das Konto des Benutzers ungewöhnliche oder verdächtige Aktivitäten aufweist, wird eine E-Mail-Benachrichtigung an alle Citrix Cloud-Administratoren gesendet. Sie können auch die Administratoren auswählen, die eine Benachrichtigung über die Benutzeraktivität erhalten.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Virtual Desktops auf die Ressource zugreifen.

  • Sitzungsaufzeichnung starten. Wenn das Virtual Desktop-Konto des Benutzers ein ungewöhnliches Ereignis vorliegt, kann der Administrator mit der Aufzeichnung der Aktivitäten des Benutzers zukünftiger Anmeldesitzungen beginnen. Wenn sich der Benutzer jedoch auf Virtual Apps and Desktops 7.18 oder einer höheren Version befindet, kann der Administrator die Aufzeichnung der aktuellen Anmeldesitzung des Benutzers dynamisch starten und beenden.

Weitere Informationen zu Aktionen und zur manuellen Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktion eine Aktion aus, und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Risikoindikatoren für Citrix Virtual Apps and Desktops