Citrix Analytics für Sicherheit

Zeitleiste und Profil des Benutzerrisikos

Die Zeitleiste für das Benutzerrisiko im Profil eines Benutzers ermöglicht es Ihnen als Citrix Analytics-Administrator, tiefere Einblicke in das riskante Verhalten eines Benutzers zu erhalten. Standardmäßig wird der Zeitplan für das Benutzerrisiko für den letzten Monat angezeigt. Sie können auch die entsprechenden Aktionen sehen, die für einen ausgewählten Zeitraum auf ihrem Konto durchgeführt wurden. In der Zeitleiste des Benutzerrisikos können Sie tiefer in das Profil eines Benutzers eintauchen, um Folgendes zu verstehen:

Außerdem können Sie die Risikobewertung und die Risikoindikatortrends für den Benutzer anzeigen und feststellen, ob der Benutzer ein Benutzer mit hohem Risiko ist oder nicht.

Wenn Sie zum Risikozeitplan eines Benutzers gehen, können Sie entweder einen Risikoindikator oder eine Aktion auswählen, die auf sein Konto angewendet wurde. Wenn Sie eine der oben genannten Optionen wählen, zeigt der rechte Bereich den Risikoindikatorabschnitt oder den Aktionsabschnitt an.

Risiko-Timeline

Risiko-Timeline

In der Risikozeitleiste werden die folgenden Informationen angezeigt:

  • Risikoindikatoren. Risikoindikatoren sind Benutzeraktivitäten, die verdächtig sind oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Die Indikatoren werden ausgelöst, wenn das Verhalten des Benutzers von seinem normalen Verhalten abweicht. Die Risikoindikatoren können für folgende Datenquellen gelten:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Access Control

    Wenn Sie einen Risikoindikator aus der Zeitleiste des Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Sie können den Grund für den Risikoindikator zusammen mit Details des Ereignisses anzeigen. Sie sind grob in die folgenden Abschnitte unterteilt:

    Abschnitt Risiko-Timeline-Informationen

    • Was ist passiert. Eine Zusammenfassung des Risikoindikators können Sie hier einsehen. Zum Beispiel, wenn Sie den Risikoindikator für übermäßige Dateifreigabe ausgewählt haben. Im Abschnitt Was passiert ist, können Sie die Anzahl der Freigabelinks anzeigen, die an Empfänger gesendet wurden, und wann das Freigabeereignis stattgefunden hat.

    • Ereignisdetails. Sie können einzelne Ereigniseinträge in grafischem und tabellarischem Format zusammen mit Details des Ereignisses anzeigen. Klicken Sie auf Ereignissuche, um auf die Self-Service-Suchseite zuzugreifen und die Ereignisse anzuzeigen, die dem Risikoindikator des Benutzers entsprechen Weitere Informationen finden Sie unter Self-Service-Suche.

    • Zusätzliche kontextbezogene Informationen. In diesem Abschnitt können Sie gegebenenfalls während des Auftretens eines Ereignisses geteilte Daten anzeigen.

    Erfahren Sie mehr: Risikoindikatoren

  • Aktionen. Aktionen helfen Ihnen, auf verdächtige Ereignisse zu reagieren und das Auftreten zukünftiger anomaler Ereignisse zu verhindern. Aktionen, die auf das Profil eines Benutzers angewendet wurden, werden in der Risikozeitleiste angezeigt. Diese Aktionen werden entweder automatisch über konfigurierte Richtlinien auf das Konto eines Benutzers angewendet oder Sie können eine bestimmte Aktion manuell anwenden.

    Erfahren Sie mehr: Richtlinien und Aktionen.

    Risiko-Timeline-Aktionen

  • Privilegierte Benutzerereignisse. Privilegierte Benutzerereignisse werden jedes Mal ausgelöst, wenn sich der Admin- oder Executive-Berechtigungsstatus eines Benutzers ändert. Wenn ein Risikoindikator für einen Benutzer ausgelöst wird, können Sie ihn mit dem angegebenen Ereignis zur Änderung des Berechtigungsstatus in Beziehung setzen. Bei Bedarf können Sie die entsprechende Aktion auf das Benutzerprofil anwenden. Die in der Zeitleiste des Benutzerrisikos angezeigten Admin- oder Exekutivberechtigungsereignisse lauten wie folgt

    • Zur Executive-Gruppe hinzugefügt

    • Aus Executive-Gruppe entfernt

    • Privileg auf Admin erhöht

    • Admin-Berechtigung wurde entfernt

    Betrachten Sie den Benutzer Adam Maxwell, der zur privilegierten Executive-Gruppe CitrixAnalyticshinzugefügt wurde. Das Ereignis “Zur Führungsgruppe hinzugefügt” wird zur Risikozeitleiste des Benutzers hinzugefügt. Jetzt beginnt Adam, Dateien und Ordner übermäßig zu löschen und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Sie können das Ereignis und den Risikoindikator auf der Risikozeitleiste vergleichen. Nach dem Vergleich können Sie feststellen, ob der Risikoindikator als Folge des Ereignisses ausgelöst wurde. Wenn ja, können Sie geeignete Aktionen auf Adams Profil anwenden. Weitere Informationen zu privilegierten Benutzern finden Sie unter Privilegierte Benutzer.

Wenn Sie ein Ereignis aus der Timeline des Benutzers auswählen, wird der Abschnitt mit den Ereignisinformationen im rechten Bereich angezeigt.

Für eine Führungskraft werden im rechten Bereich Informationen wie Benutzerstatus, Datum und Uhrzeit sowieActive Directory-Gruppeangezeigt.

Privilegierte Benutzer

Für ein Admin-Berechtigungsereignis werden im rechten Bereich Informationen wie Benutzerstatus, Datum und Uhrzeitsowie In-Produktangezeigt.

Zusammenfassung des Risikos

Zeigen Sie die mit dem Benutzer verbundenen Risikofaktoren an, die zu seiner Risikobewertung beigetragen haben. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Zusammenfassung des Risikos

Klicken Sie auf Risikoübersicht, um die folgenden Informationen anzuzeigen:

  • Gesamtzahl der Indikatorvorkommen: Gibt die Gesamtzahl der vom Benutzer in den letzten zwei Wochen ausgelösten Risikoindikatoren an. Diese ausgelösten Risikoindikatoren bestimmen die Risikobewertung des Benutzers.

  • Risikobewertung: Gibt den Risiko-Score des Benutzers basierend auf seinem riskanten Verhalten an. Der Risiko-Score bestimmt das Risiko, das ein Benutzer für eine Organisation für einen bestimmten Zeitraum darstellt. Der Risiko-Score-Wert ist dynamisch und variiert basierend auf der Analyse des Benutzerverhaltens. Basierend auf dem Risiko-Score kann ein Benutzer unter eine der folgenden Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko, Benutzer mit geringem Risiko und Benutzer ohne Risikobewertung. Weitere Informationen zu den Benutzerkategorien finden Sie unter Benutzer-Dashboard.

  • Risikofaktoren: Zeigt eine oder mehrere Kombinationen der Risikofaktoren an, die mit den Benutzeraktivitäten verbunden sind, die zur Risikobewertung beigetragen haben.

  • Risikoaufschlüsselung: Gibt die Anzahl der vom Benutzer für jeden Risikofaktor ausgelösten Risikoindikatoren an. Erweitern Sie die Zeile, um die Details anzuzeigen.

    Risikofaktoren

Klicken Sie in der Benutzerzeitleiste auf Filtern und wählen Sie die Risikofaktoren, die angewendeten Aktionen oder den Status des privilegierten Benutzers aus, der dem Benutzer zugeordnet ist, und zeigen Sie die entsprechenden Ereignisse an.

Timeline-Filter

Benutzerprofil

Das Benutzerprofil zeigt die folgenden Informationen an:

Erweitertes Benutzerprofil

Hinweis

Die Authentifizierungs - und Domänendaten sind derzeit nicht im Benutzerinformationsprofil verfügbar.

Anwendung

Anzahl der Anwendungen, auf die der Benutzer in diesem Zeitraum zugegriffen hat. Citrix Analytics sammelt diese Daten von Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Anwendungen anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Anwendungsverlaufs des Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Verwendung von Daten

Das vom Benutzer verbrauchte Datenvolumen kann hochgeladene oder heruntergeladene Daten, hochgeladene oder heruntergeladene Dateien sowie freigegebene oder gelöschte Dateien umfassen. Citrix Analytics sammelt diese Daten aus Citrix Content Collaboration. Klicken Sie auf einen Benutzernamen und navigieren Sie dann zu Benutzerinformationen, um die Details der Datennutzung für den Benutzer anzuzeigen. Der Link Trend View bietet eine grafische Darstellung des Datennutzungsverlaufs eines Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Geräte

Anzahl der Geräte, die der Benutzer für den Zugriff auf die Datenquellen verwendet. Citrix Analytics sammelt diese Daten von Citrix Endpoint Management und Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Geräte anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Geräteverlaufs des Benutzers für einen bestimmten Zeitraum.

Geräte mit Benutzerinformationen

Standorte

Die Orte, von denen aus sich der Benutzer bei den Datenquellen angemeldet hat. Citrix Analytics sammelt die Daten von Citrix Content Collaboration, Citrix Gateway und Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen und navigieren Sie dann zu Benutzerinformationen, um die Orte anzuzeigen, von denen aus der Benutzer auf Daten zugegriffen hat, und die Anzahl der Anmeldungen von diesen Standorten aus. Der Link “Kartenansicht “ in der oberen rechten Ecke stellt den Anmeldestandortverlauf des Benutzers für einen bestimmten Zeitraum bereit.

Speicherorte für Benutzerinformationen

Zeitleiste und Profil des Benutzerrisikos