Citrix Analytics-Arbeitsmappe für Microsoft Sentinel

Hinweis

Diese Funktion befindet sich in der Vorschauphase.

Dieser Artikel beschreibt die Citrix Analytics-Arbeitsmappe, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar ist.

Voraussetzung

Um die Citrix Analytics-Arbeitsmappe zu verwenden, stellen Sie sicher, dass Sie Microsoft Sentinel bereits in Citrix Analytics for Security integriert haben. Weitere Informationen finden Sie unter Microsoft Sentinel-Integration.

Anzeigen der Citrix Analytics-Ereignisse

Nach der Integration von Citrix Analytics for Security™ in Microsoft Sentinel beginnt der Logstash-Konnektor damit, Ereignisse von Citrix Analytics for Security an den Microsoft Sentinel-Arbeitsbereich zu übertragen. Öffnen Sie im Azure-Portal den Microsoft Sentinel-Arbeitsbereich, den Sie für die Integration verwendet haben.

Um zu überprüfen, ob Microsoft Sentinel die Ereignisse von Citrix Analytics for Security empfängt, wählen Sie Protokolle > Benutzerdefinierte Protokolle.

Im Abschnitt Benutzerdefinierte Protokolle können Sie die Protokolltabellen anzeigen, die automatisch erstellt werden, um die von Citrix Analytics for Security empfangenen Ereignisse zu speichern. Diese Protokolltabellen dienen als Quelle für die Dashboards in der Citrix Analytics-Arbeitsmappe.

Hinweis

Es kann einige Stunden dauern, bis die von Citrix Analytics for Security gesendeten Ereignisse im Microsoft Sentinel-Arbeitsbereich angezeigt werden. Daher kann es zu einer Verzögerung bei der Erstellung der Protokolltabellen für die Ereignisse kommen.

Anzeigen der Citrix Analytics-Arbeitsmappe

Wenn die Protokolltabellen erfolgreich erstellt wurden, gehen Sie wie folgt vor:

1. Wählen Sie Arbeitsmappen und suchen Sie nach Citrix Analytics. Wählen Sie Citrix Analytics.

   

2. Wählen Sie Vorlage anzeigen, um die Citrix Analytics-Arbeitsmappe zu öffnen.

   

In der Citrix Analytics-Arbeitsmappe können Sie die Benutzerereignisse in den folgenden Dashboards anzeigen:

• Übersicht der Benutzer-Risikobewertungen: Bietet eine konsolidierte Ansicht der risikobehafteten Benutzer in Ihrer Organisation.

• Benutzerdetails: Bietet Details zu den Benutzern und deren risikobehaftetem Verhalten.

• Benutzerprofil: Bietet die mit den Benutzern verbundenen Ereignismetrik.

• Empfangene Ereignisse: Bietet die von Citrix Analytics for Security empfangenen Ereignisse.

• Details zu Risikoindikatoren: Bietet Details zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst wurden.

• Übersicht der Risikoindikatoren: Bietet eine konsolidierte Ansicht der von den Benutzern ausgelösten Risikoindikatoren.

  

Übersicht der Benutzer-Risikobewertung

Dieses Dashboard bietet eine konsolidierte Ansicht der risikobehafteten Benutzer in Ihrer Organisation. Die Benutzer werden nach Risikostufen kategorisiert – hoch, mittel und niedrig. Die Risikostufen basieren auf Anomalien in den Benutzeraktivitäten, und entsprechend wird eine Risikobewertung zugewiesen. Weitere Informationen zu den Arten risikobehafteter Benutzer finden Sie im Benutzer-Dashboard.

Wählen Sie einen Zeitraum aus, um die risikobehafteten Benutzer in Ihrer Organisation anzuzeigen.

Benutzerdetails

Dieses Dashboard bietet die Risikobewertung und die mit einem Benutzer verbundenen Risikoindikatoren.

Suchen Sie einen Benutzer und zeigen Sie dessen risikobehaftete Aktivitäten an, die eine Bedrohung für Ihre Organisation darstellen können. Um die Bedrohung zu mindern, können Sie geeignete Maßnahmen für die Benutzerkonten basierend auf deren Risikoschwere ergreifen.

Benutzerprofil

Dieses Dashboard bietet die Details der Ereignismetrik, die mit Ihren Benutzern für einen ausgewählten Zeitraum verbunden sind. Die Metriken geben Einblicke in die Benutzeraktivitäten, wie zum Beispiel:

• Die 10 am häufigsten von den Benutzern verwendeten Anwendungen

• Die 10 am häufigsten von den Benutzern verwendeten Geräte

• Die 10 Standorte, von denen sich die Benutzer angemeldet haben

Mithilfe der Berichte können Sie:

• Den Nutzungstrend Ihrer Benutzer identifizieren

• Nicht-konforme Geräte entdecken, die für den Zugriff auf Ressourcen verwendet werden

• Potenziell risikobehaftete Zugriffe Ihrer Benutzer überprüfen

  

Empfangene Ereignisse

Für einen ausgewählten Zeitraum können Sie die Gesamtzahl der von Citrix Analytics for Security empfangenen Ereignisse anzeigen. Die insgesamt empfangenen Ereignisse umfassen Folgendes:

• Zusammenfassung der Risikoindikatoren: Zeigt die Ereignisse an, die mit der Zusammenfassung der Benutzer-Risikoindikatoren verbunden sind. Informationen zu verschiedenen Zusammenfassungsereignissen von Risikoindikatoren finden Sie unter Schema der Risikoindikatoren.

• Details zu Risikoindikatorereignissen: Zeigt die Ereignisse an, die mit den Details der Benutzer-Risikoindikatoren verbunden sind. Informationen zu verschiedenen Detailereignissen von Risikoindikatoren finden Sie unter Schema der Risikoindikatoren.

• Risikobewertung des Benutzerprofils: Zeigt die Ereignisse an, die mit der Risikobewertung der Benutzer verbunden sind. Informationen finden Sie unter Benutzer-Dashboard.

• Änderungen der Risikobewertung: Zeigt die Ereignisse an, die mit der Änderung der Risikobewertung der Benutzer verbunden sind. Informationen finden Sie unter Benutzer-Dashboard.

• Standorte des Benutzerprofils: Zeigt die Ereignisse an, die mit den Standorten verbunden sind, von denen sich die Benutzer angemeldet haben.

• Benutzerprofil-App: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verbunden sind.

• Benutzerprofil-Nutzung: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verbunden sind.

• Benutzerprofil-Gerät: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verbunden sind.

Durch regelmäßige Überprüfung des Dashboards können Sie sicherstellen, dass Ereignisse ordnungsgemäß in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Jede Diskrepanz bei den insgesamt empfangenen Ereignissen könnte auf Integrationsprobleme mit Citrix Analytics for Security hinweisen. Sie können die notwendigen Schritte zur Fehlerbehebung durchführen.

Details zu Risikoindikatoren

Dieses Dashboard bietet die Details der von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Details der Risikoindikatoren anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

• Zeitbereich: Wählen Sie einen Zeitbereich aus, um die Details der in diesem Zeitraum ausgelösten Risikoindikatoren anzuzeigen.

• Entitätstyp: Wählen Sie einen Benutzer aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

• Typ des Risikoindikators: Wählen Sie entweder integrierte oder benutzerdefinierte Risikoindikatoren aus, um deren Details anzuzeigen.

• Datenquelle: Wählen Sie eine Datenquelle aus, um die zugehörigen Risikoindikatoren anzuzeigen.

• Kategorie des Risikoindikators: Wählen Sie die Risikokategorie aus, um die zugehörigen Risikoindikatoren anzuzeigen.

• Risikoindikator: Wählen Sie einen Risikoindikator nach Namen aus und zeigen Sie dessen Details an.

  

Übersicht der Risikoindikatoren

Dieses Dashboard bietet eine konsolidierte Ansicht aller von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Risikoindikatoren anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

• Zeitbereich: Wählen Sie einen Zeitraum aus, um die in diesem Zeitraum ausgelösten Risikoindikatoren anzuzeigen.

• Typ des Risikoindikators: Wählen Sie entweder integrierte oder benutzerdefinierte Risikoindikatoren aus, um die zugehörigen Risikoindikatoren anzuzeigen.

• Entitätstyp: Wählen Sie einen Benutzer aus, um die zugehörigen Risikoindikatoren anzuzeigen.