Citrix Analytics für Sicherheit

Citrix Analytics Analytics-Arbeitsmappe für Microsoft Sentinel

Hinweis

Dieses Feature ist als Preview verfügbar.

In diesem Artikel wird die Citrix Analytics Analytics-Arbeitsmappe beschrieben, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar ist.

Voraussetzung

Um die Citrix Analytics-Arbeitsmappe zu verwenden, stellen Sie sicher, dass Sie Microsoft Sentinel bereits in Citrix Analytics for Security integriert haben. Weitere Informationen finden Sie unter Microsoft Sentinel-Integration.

Anzeigen der Citrix Analytics Analytics-Ereignisse

Nach der Integration von Citrix Analytics for Security mit Microsoft Sentinel beginnt der Logstash-Konnektor, Ereignisse von Citrix Analytics for Security in den Microsoft Sentinel-Arbeitsbereich zu übertragen. Öffnen Sie in Ihrem Azure-Portalden Microsoft Sentinel-Arbeitsbereich, den Sie für die Integration verwendet haben.

Um zu überprüfen, ob Microsoft Sentinel die Ereignisse von Citrix Analytics for Security empfängt, wählen Sie Protokolle > Benutzerdefinierte Protokolleaus.

Sentinel-Protokolle

Im Abschnitt Benutzerdefinierte Protokolle können Sie die Protokolltabellen anzeigen, die automatisch erstellt werden, um die von Citrix Analytics for Security empfangenen Ereignisse zu speichern. Diese Protokolltabellen dienen als Quelle für die Dashboards in der Citrix Analytics Analytics-Arbeitsmappe.

Hinweis

Es kann einige Stunden dauern, bis die von Citrix Analytics for Security gesendeten Ereignisse im Microsoft Sentinel-Arbeitsbereich angezeigt werden. Daher kann es zu einer Verzögerung bei der Erstellung der Protokolltabellen für die Ereignisse kommen.

Analytics-Protokolle in Sentinel

Anzeigen der Citrix Analytics Analytics-Arbeitsmappe

Wenn die Protokolltabellen erfolgreich erstellt wurden, gehen Sie wie folgt vor:

  1. Wählen Sie Arbeitsmappen und suchen Sie nach Citrix Analytics. Wählen Sie Citrix Analyticsaus.

    Analyse-Arbeitsmappe

  2. Wählen Sie Vorlage anzeigen aus, um die Citrix Analytics Arbeitsmappe zu öffnen.

    Citrix Analytics Arbeitsmappe anzeigen

In der Citrix Analytics Analytics-Arbeitsmappe können Sie die Benutzerereignisse in den folgenden Dashboards anzeigen:

  • Übersicht über die Risikobewertung der Benutzer: Bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrer Organisation.

  • Benutzerdetails: Stellt Details zu den Benutzern und ihrem riskanten Verhalten bereit.

  • Benutzerprofil: Stellt die mit den Benutzern verknüpften Ereignismetriken bereit.

  • Empfangene Ereignisse: Stellt die von Citrix Analytics for Security empfangenen Ereignisse bereit.

  • Details zum Risikoindikator: Enthält Details zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst werden.

  • Überblick über die Risikoindikatoren: Bietet eine konsolidierte Ansicht der von den Benutzern ausgelösten Risikoindikatoren.

    Analytics-Dashboards in Sentinel

Überblick über den Risiko-Score

Dieses Dashboard bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrem Unternehmen. Die Benutzer werden nach den Risikoniveaus kategorisiert - hoch, mittel und niedrig. Die Risikostufen basieren auf den Anomalien in den Benutzeraktivitäten und dementsprechend wird ein Risiko-Score zugewiesen. Weitere Informationen zu den Arten riskanter Benutzer finden Sie im Benutzer-Dashboard.

Wählen Sie einen Zeitraum aus, um die riskanten Benutzer in Ihrer Organisation anzuzeigen.

Überblick über den Risiko-Score

Angaben zum Benutzer

Dieses Dashboard enthält die Risikobewertung und die mit einem Benutzer verbundenen Risikoindikatoren.

Suchen Sie einen Benutzer und sehen Sie sich seine riskanten Aktivitäten an, die eine Bedrohung für Ihr Unternehmen darstellen können. Um die Bedrohung zu mindern, können Sie je nach Risikoschweregrad geeignete Maßnahmen für die Benutzerkonten ergreifen.

Angaben zum Benutzer

Benutzerprofil

Dieses Dashboard enthält die Details der Ereignismetriken, die Ihren Benutzern für einen ausgewählten Zeitraum zugeordnet sind. Die Metriken bieten Einblicke in die Benutzeraktivitäten wie:

  • Top 10 Anwendungen, die von den Benutzern verwendet werden

  • Top 10 Geräte, die von den Benutzern verwendet werden

  • Top 10 Standorte, an denen sich die Benutzer angemeldet haben

  • Anzahl der in den Content Collaboration Service hochgeladenen Dateien

  • Anzahl der vom Content Collaboration Service heruntergeladenen Dateien

  • Anzahl der vom Content Collaboration Service freigegebenen Dateien

  • Anzahl der aus dem Content Collaboration Service gelöschten Dateien

Mithilfe der Berichte können Sie:

  • Identifizieren Sie den Nutzungstrend Ihrer Benutzer

  • Entdecken Sie die nicht konformen Geräte, die für den Zugriff auf die Ressourcen verwendet werden

  • Suchen Sie nach potenziell riskanten Zugriffen Ihrer Benutzer

    Benutzerprofil-Arbeitsmappe

Erhaltene Ereignisse

Für einen ausgewählten Zeitraum können Sie die Gesamtzahl der Ereignisse anzeigen, die von Citrix Analytics for Security empfangen wurden. Die Gesamtzahl der empfangenen Ereignisse umfasst Folgendes:

  • Zusammenfassung der Risikoindikatoren: Zeigt die Ereignisse an, die mit der Zusammenfassung der Benutzerrisikoindikatoren verknüpft sind. Informationen zu verschiedenen zusammenfassenden Ereignissen der Risikoindikatoren finden Sie unter Risikoindikatorschema.

  • Ereignisdetails zum Risikoindikator: Zeigt die Ereignisse an, die mit den Details der Benutzerrisikoindikatoren verknüpft sind Informationen zu verschiedenen Detailereignissen der Risikoindikatoren finden Sie unter Risikoindikatorschema.

  • Risikobewertung des Benutzerprofils: Zeigt die Ereignisse an, die mit der Risikobewertung der Benutzer verknüpft sind. Weitere Informationen finden Sie unter Benutzer-Dashboard.

  • Änderungen der Risikobewertung: Zeigt die Ereignisse an, die mit der Änderung der Risikobewertung der Benutzer verbunden sind. Weitere Informationen finden Sie unter Benutzer-Dashboard.

  • Standorte des Benutzerprofils: Zeigt die Ereignisse an, die mit den Orten verknüpft sind, von denen aus sich die Benutzer angemeldet haben.

  • Benutzerprofil-App: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verknüpft sind.

  • Verwendung des Benutzerprofils: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verknüpft sind.

  • Benutzerprofil Gerät: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verknüpft sind.

Indem Sie das Dashboard in regelmäßigen Abständen überprüfen, können Sie sicherstellen, dass die Ereignisse ordnungsgemäß in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Jede Abweichung bei den insgesamt empfangenen Ereignissen kann auf Integrationsprobleme mit Citrix Analytics for Security hinweisen. Sie können die erforderlichen Schritte ausführen, um die Probleme zu debuggen.

Arbeitsmappe "Empfangen

Angaben zu Risikoindikatoren

Dieses Dashboard enthält die Details der von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Risikoindikator-Details anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen Zeitraum aus, um die Details der während des Zeitraums ausgelösten Risikoindikatoren anzuzeigen.

  • Entitätstyp: Wählen Sie eine Benutzer- oder Freigabe-ID aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen

  • Risikoindikatortyp: Wählen Sie entweder integrierte oder benutzerdefinierte Risikoindikatoren aus, um deren Details anzuzeigen.

  • Datenquelle: Wählen Sie eine Datenquelle aus, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Kategorie Risikoindikatoren: Wählen Sie die Risikokategorie aus, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikator: Wählen Sie einen Risikoindikator nach Namen aus und zeigen Sie dessen Details an.

    Arbeitsmappe mit Risikoindikat

Überblick über Risikoindikatoren

Dieses Dashboard bietet eine konsolidierte Ansicht aller von Ihren Benutzern ausgelösten Risikoindikatoren.

Sie können die Risikoindikatoren anzeigen, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen Zeitraum aus, um die Risikoindikatoren anzuzeigen, die in diesem Zeitraum ausgelöst wurden.

  • Risikoindikatortyp: Wählen Sie entweder integriert oder benutzerdefiniert, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Entitätstyp: Wählen Sie entweder Benutzer- oder Freigabe-ID, um die zugehörigen Risikoindikatoren anzuzeigen

    Arbeitsmappe mit Risikoindikatoren

Citrix Analytics Analytics-Arbeitsmappe für Microsoft Sentinel