Citrix Analytics für Sicherheit

Zeitplan und Profil des Benutzerrisikos

Die Zeitleiste für Benutzerrisiken im Profil eines Benutzers ermöglicht es Ihnen als Citrix Analytics Administrator, tiefere Einblicke in das risikoreiche Verhalten eines Benutzers zu erhalten. Standardmäßig wird der Zeitplan für das Benutzerrisiko für den letzten Monat angezeigt. Sie können auch die entsprechenden Aktionen auf ihrem Konto für einen ausgewählten Zeitraum sehen. Aus der Zeitleiste für Nutzerrisiken können Sie tiefer in das Profil eines Benutzers eintauchen, um Folgendes zu verstehen:

Sie können auch die Trends der Risikobewertung und des Risikoindikators für den Benutzer anzeigen und feststellen, ob der Benutzer ein Benutzer mit hohem Risiko ist oder nicht.

Wenn Sie zur Risikozeitleiste eines Benutzers wechseln, können Sie entweder einen Risikoindikator oder eine Aktion auswählen, die auf sein Konto angewendet wurde. Wenn Sie eine der oben genannten Optionen auswählen, wird im rechten Bereich der Risikoindikator-Abschnitt oder der Aktionsbereich angezeigt.

Risiko-Timeline

Risiko-Timeline

Die Risikozeitleiste zeigt die folgenden Informationen an:

  • Risikoindikatoren. Risikoindikatoren sind Benutzeraktivitäten, die verdächtig sind oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Die Indikatoren werden ausgelöst, wenn das Verhalten des Benutzers von seinem normalen Verhalten abweicht. Die Risikoindikatoren können für folgende Datenquellen sein:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Zugriffssteuerung

    Wenn Sie einen Risikoindikator aus der Zeitleiste des Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Sie können den Grund für den Risikoindikator zusammen mit Details des Ereignisses anzeigen. Sie sind weitgehend in die folgenden Abschnitte unterteilt:

    Abschnitt "Informationen zur Risikozeitleiste"

    • Was ist passiert? Eine Zusammenfassung des Risikoindikators finden Sie hier. Wenn Sie beispielsweise den Indikator Übermäßige Dateifreigabe ausgewählt haben. Im Abschnitt WHAT HAPPENED können Sie die Anzahl der Freigabelinks anzeigen, die an Empfänger gesendet wurden und wann das Freigabeereignis aufgetreten ist.

    • Ereignisdetails. Sie können einzelne Ereigniseinträge in grafischer und tabellarischer Form sowie Details des Ereignisses anzeigen. Klicken Sie auf Ereignissuche, um die Self-Service-Suchseite aufzurufen und die Ereignisse anzuzeigen, die dem Risikoindikator des Benutzers entsprechen. Weitere Informationen finden Sie unter Self-Service-Suche.

    • Zusätzliche Kontextinformationen. In diesem Abschnitt können Sie ggf. Daten anzeigen, die während des Ereignisses gemeinsam genutzt werden.

    Weitere Informationen: Risikoindikatoren

  • Aktionen. Aktionen helfen Ihnen, auf verdächtige Ereignisse zu reagieren und zu verhindern, dass zukünftige anomale Ereignisse auftreten. Aktionen, die auf das Profil eines Benutzers angewendet wurden, werden in der Risikozeitleiste angezeigt. Diese Aktionen werden entweder automatisch über konfigurierte Richtlinien auf das Konto eines Benutzers angewendet oder Sie können eine bestimmte Aktion manuell anwenden.

    Mehr erfahren: Richtlinien und Maßnahmen.

    Risikotimelineaktionen

  • Privilegierte Benutzerereignisse. Privilegierte Benutzerereignisse werden jedes Mal ausgelöst, wenn sich der Admin- oder Executive-Berechtigungsstatus eines Benutzers ändert. Wenn ein Risikoindikator für einen Benutzer ausgelöst wird, können Sie ihn mit dem angegebenen Berechtigungsstatusänderungsereignis verknüpfen. Bei Bedarf können Sie die entsprechende Aktion auf das Benutzerprofil anwenden. Die in der Zeitleiste für Benutzerrisiken angezeigten Administrator- oder Executive-Privilegien lauten wie folgt:

    • Zur Executive Gruppe hinzugefügt

    • Aus Executive-Gruppe entfernt

    • Berechtigung auf Admin erhöht

    • Administratorberechtigung entfernt

    Betrachten Sie den Benutzer Adam Maxwell, der zur Executive privilegierten Gruppe CitrixAnalyticshinzugefügt wurde. Das Gruppenereignis Added to Executive wird der Risikozeitleiste des Benutzers hinzugefügt. Jetzt beginnt Adam übermäßig Dateien und Ordner zu löschen und löst den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannt hat. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt. Sie können das Ereignis und den Risikoindikator auf der Risikozeitleiste vergleichen. Nach dem Vergleich können Sie feststellen, ob der Risikoindikator als Folge des Ereignisses ausgelöst wurde. Wenn ja, können Sie geeignete Aktionen auf Adams Profil anwenden. Weitere Informationen zu privilegierten Benutzern finden Sie unter Privilegierte Benutzer.

Wenn Sie ein Ereignis aus der Zeitleiste des Benutzers auswählen, wird der Abschnitt Ereignisinformationen im rechten Fensterbereich angezeigt.

Bei einem Executive-Manager werden im rechten Fensterbereich Informationen wie Benutzerstatus, Datum und Uhrzeitsowie Active Directory Gruppeangezeigt.

Privilegierte Benutzer

Bei einem Admin-Berechtigungsereignis werden im rechten Fensterbereich Informationen wie Benutzerstatus, Datum und Uhrzeitsowie In Produktangezeigt.

Benutzerprofil

Das Benutzerprofil zeigt die folgenden Informationen an:

Erweitertes Benutzerprofil

Hinweis

Die Authentifizierungs-und DomänenDaten sind derzeit nicht im Benutzerinformationsprofil verfügbar.

Anwendung

Anzahl der Anwendungen, auf die der Benutzer in diesem Zeitraum zugreifen kann. Citrix Analytics sammelt diese Daten von Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Anwendungen anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Anwendungsverlaufs des Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Datennutzung

Das Volumen der vom Benutzer verbrauchten Daten kann hochgeladene oder heruntergeladene Daten, hochgeladene oder heruntergeladene Dateien sowie freigegebene oder gelöschte Dateien umfassen. Citrix Analytics sammelt diese Daten aus der Citrix Content Collaboration. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um die Details der Datenverwendung für den Benutzer anzuzeigen. Der Link Trend View bietet eine grafische Darstellung des Datenverwendungsverlaufs eines Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Geräte

Anzahl der Geräte, die vom Benutzer für den Zugriff auf die Datenquellen verwendet werden. Citrix Analytics sammelt diese Daten aus Citrix Endpoint Management und Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Geräte anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Geräteverlaufs des Benutzers für einen bestimmten Zeitraum.

Benutzer-Info-Geräte

Standorte

Die Orte, an denen sich der Benutzer bei den Datenquellen angemeldet hat. Citrix Analytics sammelt die Daten von Citrix Content Collaboration, Citrix Gateway und Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen und navigieren Sie dann zu Benutzerinformationen, um die Standorte anzuzeigen, von denen aus der Benutzer aus auf Daten zugegriffen hat, und die Anzahl der Anmeldungen von diesen Standorten aus. Der Link “ Kartenansicht “ oben rechts zeigt den Anmeldestandortverlauf des Benutzers für einen bestimmten Zeitraum an.

Speicherorte für Benutzerinformationen

Zeitplan und Profil des Benutzerrisikos