Citrix Analytics für Sicherheit

Zeitleiste und Profil des Benutzerrisikos

Hinweis

Achtung: Citrix Content Collaboration und ShareFile haben das Ende ihrer Lebensdauer erreicht und stehen Benutzern nicht mehr zur Verfügung.

Die Zeitleiste für das Benutzerrisiko im Profil eines Benutzers ermöglicht es Ihnen als Citrix Analytics-Administrator, tiefere Einblicke in das riskante Verhalten eines Benutzers zu erhalten. Standardmäßig wird der Zeitplan für das Benutzerrisiko für den letzten Monat angezeigt. Sie können auch die entsprechenden Aktionen sehen, die für einen ausgewählten Zeitraum auf ihrem Konto durchgeführt wurden. In der Zeitleiste des Benutzerrisikos können Sie tiefer in das Profil eines Benutzers eintauchen, um Folgendes zu verstehen:

  • Verwendung der Anwendung
  • Verwendung von Daten
  • Nutzung der Geräte
  • Nutzung von Standorten

Außerdem können Sie die Risikobewertung und die Risikoindikatortrends für den Benutzer anzeigen und feststellen, ob der Benutzer ein Benutzer mit hohem Risiko ist oder nicht.

Sie können die aktuelle Risikobewertung des Benutzers in der oberen linken Ecke der Timeline-Seite für das Benutzerrisiko einsehen. In den Berichten der Risikozusammenfassung werden sowohl die letzten als auch die historischen Höchstwerte angezeigt.

Aktuelle Risikobewertung der Risikoübersicht

Wenn Sie zum Risikozeitplan eines Benutzers gehen, können Sie entweder einen Risikoindikator oder eine Aktion auswählen, die auf sein Konto angewendet wurde. Wenn Sie eine der oben genannten Optionen wählen, zeigt der rechte Bereich den Risikoindikatorabschnitt oder den Aktionsabschnitt an.

Risiko-Timeline

Risiko-Timeline

In der Risikozeitleiste werden die folgenden Informationen angezeigt:

  • Risikoindikatoren. Risikoindikatoren sind Benutzeraktivitäten, die verdächtig sind oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Die Indikatoren werden ausgelöst, wenn das Verhalten des Benutzers von seinem normalen Verhalten abweicht. Die Risikoindikatoren können für folgende Datenquellen gelten:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops oder Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)

    • Citrix Secure Private Access

    Wenn Sie einen Risikoindikator aus der Zeitleiste des Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Sie können den Grund für den Risikoindikator zusammen mit Details des Ereignisses anzeigen. Sie sind grob in die folgenden Abschnitte unterteilt:

    Abschnitt Risiko-Timeline-Informationen

    • Was ist passiert. Eine Zusammenfassung des Risikoindikators können Sie hier einsehen. Zum Beispiel, wenn Sie den Risikoindikator für übermäßige Dateifreigabe ausgewählt haben. Im Abschnitt Was passiert ist, können Sie die Anzahl der Freigabelinks anzeigen, die an Empfänger gesendet wurden, und wann das Freigabeereignis stattgefunden hat.

    • Ereignisdetails. Sie können einzelne Ereigniseinträge in grafischem und tabellarischem Format zusammen mit Details des Ereignisses anzeigen. Klicken Sie auf Ereignissuche, um auf die Self-Service-Suchseite zuzugreifen und die Ereignisse anzuzeigen, die dem Risikoindikator des Benutzers entsprechen Weitere Informationen finden Sie unter Self-Service-Suche.

    • Zusätzliche kontextbezogene Informationen. In diesem Abschnitt können Sie gegebenenfalls während des Auftretens eines Ereignisses geteilte Daten anzeigen.

    Sie können Risikoindikatoren manuell als hilfreich oder nicht hilfreich markieren. Weitere Informationen finden Sie unter Feedback zu Indikatoren für Benutzerrisiken.

    Erfahren Sie mehr: Risikoindikatoren

  • Aktionen. Aktionen helfen Ihnen, auf verdächtige Ereignisse zu reagieren und das Auftreten zukünftiger anomaler Ereignisse zu verhindern. Aktionen, die auf das Profil eines Benutzers angewendet wurden, werden auf der Risikozeitleiste angezeigt. Diese Aktionen werden entweder automatisch über konfigurierte Richtlinien auf das Konto eines Benutzers angewendet oder Sie können eine bestimmte Aktion manuell anwenden.

    Erfahren Sie mehr: Richtlinien und Aktionen.

    Risiko-Timeline-Aktionen

  • Privilegierte Benutzerereignisse. Privilegierte Benutzerereignisse werden jedes Mal ausgelöst, wenn sich der Admin- oder Executive-Berechtigungsstatus eines Benutzers ändert. Wenn ein Risikoindikator für einen Benutzer ausgelöst wird, können Sie ihn mit dem angegebenen Ereignis zur Änderung des Berechtigungsstatus in Beziehung setzen. Bei Bedarf können Sie die entsprechende Aktion auf das Benutzerprofil anwenden. Die in der Zeitleiste des Benutzerrisikos angezeigten Admin- oder Exekutivberechtigungsereignisse lauten wie folgt

    • Zur Executive-Gruppe hinzugefügt

    • Aus Executive-Gruppe entfernt

    • Privileg auf Admin erhöht

    • Admin-Berechtigung wurde entfernt

    Betrachten Sie den Benutzer Adam Maxwell, der zur privilegierten Executive-Gruppe CitrixAnalyticshinzugefügt wurde. Das Ereignis “Zur Führungsgruppe hinzugefügt” wird zur Risikozeitleiste des Benutzers hinzugefügt. Jetzt beginnt Adam, übermäßig viele Dateien und Ordner zu löschen, und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkennt. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Sie können das Ereignis und den Risikoindikator auf der Risikozeitleiste vergleichen. Nach dem Vergleich können Sie feststellen, ob der Risikoindikator als Folge des Ereignisses ausgelöst wurde. In diesem Fall können Sie entsprechende Aktionen auf Adams Profil anwenden. Weitere Informationen zu privilegierten Benutzern finden Sie unter Privilegierte Benutzer.

Wenn Sie ein Ereignis aus der Timeline des Benutzers auswählen, wird der Abschnitt mit den Ereignisinformationen im rechten Bereich angezeigt.

Für eine Führungskraft werden im rechten Bereich Informationen wie Benutzerstatus, Datum und Uhrzeit sowieActive Directory-Gruppeangezeigt.

Privilegierte Benutzer

Für ein Admin-Berechtigungsereignis werden im rechten Bereich Informationen wie Benutzerstatus, Datum und Uhrzeitsowie In-Produktangezeigt.

Zusammenfassung des Risikos

Zeigen Sie die mit dem Benutzer verbundenen Risikofaktoren an, die zu seiner Risikobewertung beigetragen haben. Sie können die Details zur Risikobewertung sehen, die im ausgewählten Zeitraum als Maximum angesehen wurden, zusammen mit dem neuesten Ergebnis und der entsprechenden Anzahl der Risikoindikatoren. Wenn Sie entweder von der Haupt-Landingpage oder der Seite Risky Users zur Benutzer-Timeline navigieren, wird die Zeitauswahl von der Quellseite beibehalten. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Zusammenfassung des Risikos

Klicken Sie auf Risikoübersicht, um die folgenden Informationen anzuzeigen:

  • Aktuelle Risikobewertung: Die neueste Risikobewertung gibt das aktuelle Risiko des Benutzers auf der Grundlage des jüngsten Verhaltens an. Die Risikobewertung bestimmt das Risiko, das ein Benutzer für ein Unternehmen über einen Zeitraum von zwei Wochen darstellt. Der Risiko-Score-Wert ist dynamisch und variiert basierend auf der Analyse des Benutzerverhaltens. Basierend auf der Bewertung kann ein Benutzer in eine der folgenden Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko, Benutzer mit niedrigem Risiko und Benutzer mit einem Risikowert von Null. Weitere Informationen zu den Benutzerkategorien finden Sie unter Benutzer-Dashboard.

    • Gesamtzahl der Indikatorvorkommen: Gibt die Gesamtzahl der vom Benutzer in den letzten zwei Wochen ausgelösten Risikoindikatoren an. Diese ausgelösten Risikoindikatoren bestimmen die Risikobewertung des Benutzers.
  • Höchster Risikowert: Der höchste Risikowert gibt den Höchstwert der Risikobewertungen an, die für diesen Benutzer innerhalb der ausgewählten Zeitdauer berechnet wurden. Sie ist repräsentativ für das Gesamtrisiko für den Benutzer und entspricht möglicherweise nicht immer der aktuellen Risikobewertung.

  • Risikofaktoren: Gibt eine oder mehrere Kombinationen der Risikofaktoren an, die mit den Benutzeraktivitäten verbunden sind, die zur Risikobewertung beigetragen haben.

  • Risikoaufschlüsselung: Gibt die Anzahl der Risikoindikatoren an, die der Benutzer für jeden Risikofaktor ausgelöst hat. Erweitern Sie die Zeile, um die Details anzuzeigen.

Klicken Sie in der Benutzerzeitleiste auf Filtern und wählen Sie die Risikofaktoren, die angewendeten Aktionen oder den Status des privilegierten Benutzers aus, der dem Benutzer zugeordnet ist, und zeigen Sie die entsprechenden Ereignisse an.

Timeline-Filter

Benutzerprofil

Auf der Benutzerprofilseite werden die folgenden Benutzerinformationen angezeigt, die aus dem Active Directory des Benutzers stammen:

  • Berufsbezeichnung
  • Adresse
  • E-Mail
  • Telefon
  • Standort
  • Organisation

Erweitertes Benutzerprofil

Zeitleiste und Profil des Benutzerrisikos