Self-Service-Suche für Richtlinien
Citrix Analytics for Security ermöglicht es Ihnen, Richtlinien zu erstellen und Aktionen für ungewöhnliche oder verdächtige Ereignisse auf Benutzerkonten anzuwenden. Wenn die Benutzerereignisse Ihren definierten Richtlinien entsprechen, werden die Aktionen automatisch auf die Benutzerkonten angewendet, um die Bedrohung zu isolieren und das Auftreten zukünftiger anomaler Ereignisse zu verhindern. Mithilfe der Self-Service-Suche können Sie die Benutzerereignisse anzeigen, die Ihren definierten Richtlinien entsprechen, und die auf diese anomalen Ereignisse angewendeten Aktionen anzeigen.
Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.
Wählen Sie den Datensatz Richtlinien
Um die Ereignisse im Zusammenhang mit den definierten Richtlinien anzuzeigen, wählen Sie Richtlinien aus der Liste aus. Standardmäßig zeigt die Self-Service-Seite die Ereignisse für den letzten Tag an. Sie können auch den Zeitraum auswählen, für den Sie die Ereignisse anzeigen möchten.
Hinweis
Sie können auch über das Dashboard Sicherheit > Benutzer > Richtlinien und Aktionen auf die Seite Self-Service-Suche nach Richtlinien zugreifen. Wählen Sie eine Richtlinie im Dashboard aus, um die Benutzerereignisse im Zusammenhang mit der Richtlinie anzuzeigen. Weitere Informationen finden Sie im Dashboard Richtlinien und Aktionen .
Wählen Sie die Facetten aus, um Ereignisse zu filtern
Die Facettenliste zeigt die angewendeten Aktionen für die Benutzerereignisse an. Wählen Sie die angewendeten Aktionen aus der Facettenliste aus und zeigen Sie die Ereignisse basierend auf den angewendeten Aktionen an. Weitere Informationen zu den Aktionen, die Sie beim Konfigurieren von Richtlinien anwenden können, finden Sie unter Was sind Aktionen?
Angeben der Suchabfrage zum Filtern von Ereignissen
Platzieren Sie den Cursor in das Suchfeld, um die Liste der Dimensionen für die Ereignisse im Zusammenhang mit Richtlinien anzuzeigen. Verwenden Sie die Dimensionen und die Operatoren, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.
Sie möchten beispielsweise die anomalen Ereignisse eines Benutzers “user8” anzeigen, bei dem die für diese Ereignisse angewendete Aktion “Benutzer deaktivieren” lautet.
-
Geben Sie “Benutzer” in das Suchfeld ein, um die zugehörigen Dimensionen abzurufen.
-
Wählen Sie Benutzername und geben Sie den Wert “user8” mit dem Gleichheitsoperator ein.
-
Wählen Sie den Operator UND und wählen Sie dann die Dimension Aktion Angewendet aus. Geben Sie die Zeichenfolge “Benutzer deaktivieren” für Aktion unter Verwendung des Gleichheits-Operators ein.
Hinweis
Wenn der Zeichenfolgenwert zwei oder mehr Wörter enthält, muss er mit dem Operator eingeschlossen werden
“”<!--NeedCopy-->
. Zum Beispiel“Disable user”<!--NeedCopy-->
“Session Recording beenden”.Um die möglichen Zeichenfolgenwerte für Action-Appliedzu identifizieren, erweitern Sie die Facettenliste und verwenden Sie den Filternamen als Zeichenfolge in Ihrer Suchanfrage.
-
Wählen Sie den Zeitraum aus, und klicken Sie auf Suchen, um die Ereignisse in der Tabelle DATA anzuzeigen.