Citrix Analytics für Sicherheit

Citrix Analytics-Arbeitsmappe für Microsoft Sentinel

Hinweis

Dieses Feature ist als Preview verfügbar.

In diesem Artikel wird die Citrix Analytics-Arbeitsmappe beschrieben, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar ist.

Voraussetzung

Um die Citrix Analytics-Arbeitsmappe zu verwenden, stellen Sie sicher, dass Sie Microsoft Sentinel bereits in Citrix Analytics for Security integriert haben. Weitere Informationen finden Sie unter Microsoft Sentinel-Integration.

Anzeigen der Citrix Analytics-Ereignisse

Nach der Integration von Citrix Analytics for Security mit Microsoft Sentinel beginnt der Logstash-Connector, Ereignisse von Citrix Analytics for Security in den Microsoft Sentinel-Arbeitsbereich zu übertragen. Öffnen Sie in Ihrem Azure-Portalden Microsoft Sentinel-Arbeitsbereich, den Sie für die Integration verwendet haben.

Um zu überprüfen, ob Microsoft Sentinel die Ereignisse von Citrix Analytics for Security empfängt, wählen Sie Protokolle > Benutzerdefinierte Protokolleaus.

Sentinel-Protokolle

Im Abschnitt Benutzerdefinierte Protokolle können Sie die Protokolltabellen anzeigen, die automatisch erstellt werden, um die von Citrix Analytics for Security empfangenen Ereignisse zu speichern. Diese Protokolltabellen dienen als Quelle für die Dashboards in der Citrix Analytics-Arbeitsmappe.

Hinweis

Es kann einige Stunden dauern, bis die von Citrix Analytics for Security gesendeten Ereignisse im Microsoft Sentinel-Arbeitsbereich angezeigt werden. Daher kann es zu einer Verzögerung bei der Erstellung der Protokolltabellen für die Ereignisse kommen.

Analytics-Protokolle in Sentinel

Anzeigen der Citrix Analytics-Arbeitsmappe

Wenn die Protokolltabellen erfolgreich erstellt wurden, gehen Sie wie folgt vor:

  1. Wählen Sie Arbeitsmappen und suchen Sie nach Citrix Analytics. Wählen Sie Citrix Analyticsaus.

    Analyse-Arbeitsmappe

  2. Wählen Sie Vorlage anzeigen aus, um die Citrix Analytics Arbeitsmappe zu öffnen.

    Citrix Analytics Arbeitsmappe anzeigen

In der Citrix Analytics-Arbeitsmappe können Sie die Benutzerereignisse in den folgenden Dashboards anzeigen:

  • Übersicht über die Risikobewertung der Benutzer: Bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrer Organisation.

  • Benutzerdetails: Stellt Details zu den Benutzern und ihrem riskanten Verhalten bereit.

  • Benutzerprofil: Stellt die mit den Benutzern verknüpften Ereignismetriken bereit.

  • Empfangene Ereignisse: Stellt die von Citrix Analytics for Security empfangenen Ereignisse bereit.

  • Details zum Risikoindikator: Enthält Details zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst werden.

  • Überblick über die Risikoindikatoren: Bietet einen konsolidierten Überblick über die von den Benutzern ausgelösten Risikoindikatoren.

    Analytics-Dashboards in Sentinel

Überblick über den Risiko-Score

Dieses Dashboard bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrem Unternehmen. Die Benutzer werden nach den Risikoniveaus kategorisiert - hoch, mittel und niedrig. Die Risikostufen basieren auf den Anomalien in den Benutzeraktivitäten und dementsprechend wird ein Risiko-Score zugewiesen. Weitere Informationen zu den Arten riskanter Benutzer finden Sie im Benutzer-Dashboard.

Wählen Sie einen Zeitraum aus, um die riskanten Benutzer in Ihrer Organisation anzuzeigen.

Überblick über den Risiko-Score

Angaben zum Benutzer

Dieses Dashboard enthält die Risikobewertung und die mit einem Benutzer verbundenen Risikoindikatoren.

Suchen Sie einen Benutzer und sehen Sie sich seine riskanten Aktivitäten an, die eine Bedrohung für Ihr Unternehmen darstellen können. Um die Bedrohung zu mindern, können Sie je nach Risikoschweregrad geeignete Maßnahmen für die Benutzerkonten ergreifen.

Angaben zum Benutzer

Benutzerprofil

Dieses Dashboard enthält die Details der Ereignismetriken, die Ihren Benutzern für einen ausgewählten Zeitraum zugeordnet sind. Die Metriken bieten Einblicke in die Benutzeraktivitäten wie:

  • Top 10 Anwendungen, die von den Benutzern verwendet werden

  • Top 10 Geräte, die von den Benutzern verwendet werden

  • Top 10 Standorte, an denen sich die Benutzer angemeldet haben

Mithilfe der Berichte können Sie:

  • Identifizieren Sie den Nutzungstrend Ihrer Benutzer

  • Entdecken Sie die nicht konformen Geräte, die für den Zugriff auf die Ressourcen verwendet werden

  • Suchen Sie nach potenziell riskanten Zugriffen Ihrer Benutzer

    Benutzerprofil-Arbeitsmappe

Erhaltene Ereignisse

Für einen ausgewählten Zeitraum können Sie die Gesamtzahl der Ereignisse anzeigen, die von Citrix Analytics for Security empfangen wurden. Die Gesamtzahl der empfangenen Ereignisse umfasst Folgendes:

  • Zusammenfassung der Risikoindikatoren: Zeigt die Ereignisse an, die mit der Zusammenfassung der Benutzerrisikoindikatoren verknüpft sind. Informationen zu verschiedenen zusammenfassenden Ereignissen der Risikoindikatoren finden Sie unter Risikoindikatorschema.

  • Ereignisdetails zum Risikoindikator: Zeigt die Ereignisse an, die mit den Details der Benutzerrisikoindikatoren verknüpft sind Informationen zu verschiedenen Detailereignissen der Risikoindikatoren finden Sie unter Risikoindikatorschema.

  • Risikobewertung des Benutzerprofils: Zeigt die Ereignisse an, die mit der Risikobewertung der Benutzer verknüpft sind. Weitere Informationen finden Sie unter Benutzer-Dashboard.

  • Änderungen der Risikobewertung: Zeigt die Ereignisse an, die mit der Änderung der Risikobewertung der Benutzer verbunden sind. Weitere Informationen finden Sie unter Benutzer-Dashboard.

  • Standorte des Benutzerprofils: Zeigt die Ereignisse an, die mit den Orten verknüpft sind, von denen aus sich die Benutzer angemeldet haben.

  • Benutzerprofil-App: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verknüpft sind.

  • Verwendung des Benutzerprofils: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verknüpft sind.

  • Benutzerprofil Gerät: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verknüpft sind.

Indem Sie das Dashboard in regelmäßigen Abständen überprüfen, können Sie sicherstellen, dass die Ereignisse ordnungsgemäß in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Jede Abweichung bei den insgesamt empfangenen Ereignissen kann auf Integrationsprobleme mit Citrix Analytics for Security hinweisen. Sie können die erforderlichen Schritte ausführen, um die Probleme zu debuggen.

Arbeitsmappe "Empfangen"

Angaben zu Risikoindikatoren

Dieses Dashboard enthält die Details der von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Risikoindikator-Details anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen Zeitraum aus, um die Details der während des Zeitraums ausgelösten Risikoindikatoren anzuzeigen.

  • Entitätstyp: Wählen Sie einen Benutzer aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikatortyp: Wählen Sie entweder integrierte oder benutzerdefinierte Risikoindikatoren aus, um deren Details anzuzeigen.

  • Datenquelle: Wählen Sie eine Datenquelle aus, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Kategorie Risikoindikatoren: Wählen Sie die Risikokategorie aus, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikator: Wählen Sie einen Risikoindikator nach Namen aus und zeigen Sie dessen Details an.

    Arbeitsmappe mit Risikoindikat

Überblick über Risikoindikatoren

Dieses Dashboard bietet eine konsolidierte Ansicht aller von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Risikoindikatoren anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen Zeitraum aus, um die Risikoindikatoren anzuzeigen, die in diesem Zeitraum ausgelöst wurden.

  • Risikoindikatortyp: Wählen Sie entweder integriert oder benutzerdefiniert, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Entitätstyp: Wählen Sie einen der Benutzer aus, um die zugehörigen Risikoindikatoren anzuzeigen.

    Arbeitsmappe mit Risikoindikatoren

Citrix Analytics-Arbeitsmappe für Microsoft Sentinel