Citrix Analytics für Sicherheit

Citrix Analytics-Dashboards für Splunk

Hinweis

Achtung: Citrix Content Collaboration und ShareFile haben das Ende ihrer Lebensdauer erreicht und stehen Benutzern nicht mehr zur Verfügung.

Dieses Feature ist als Preview verfügbar.

Voraussetzung

Um die folgenden Citrix Analytics Dashboards zu verwenden, stellen Sie sicher, dass Sie die Citrix Analytics App für Splunkbereits konfiguriert und eingerichtet haben.

Überblick über den Risiko-Score

Dieses Dashboard bietet eine konsolidierte Ansicht der riskanten Benutzer in Ihrem Unternehmen. Die Benutzer werden nach den Risikoniveaus kategorisiert - hoch, mittel und niedrig. Die Risikostufen basieren auf den Anomalien in den Benutzeraktivitäten und dementsprechend wird ein Risiko-Score zugewiesen. Weitere Informationen zu den Arten riskanter Benutzer finden Sie im Benutzer-Dashboard.

Um dieses Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Übersicht über Benutzerrisikobewertungen.

Dropdown-Liste Übersicht über den Risiko-Score

Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die Zeitleiste der riskanten Benutzer und ihre Details anzuzeigen.

Übersicht über die Risikobewertung Dashboard 1

Die Tabelle Riskante Benutzer enthält die folgenden Informationen:

  • Benutzer: Zeigt den Benutzernamen an. Klicken Sie auf einen Benutzernamen, um die Details zum riskanten Verhalten des Benutzers im Dashboard Citrix Analytics - Entitätsdetails anzuzeigen.

  • Gefundene Risiken für gefährdete Endpunkte: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie kompromittierter Endpunkte gehören.

  • Gefundene Risiken für gefährdete Benutzer: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie kompromittierter Benutzer gehören.

  • Gefundene Datenexfiltrationsrisiken: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie der Datenexfiltration gehören.

  • Gefundene Risiken für Insider-Bedrohungen: Gibt die Anzahl der vom Benutzer ausgelösten Risikoindikatoren an, die zur Risikokategorie für Insider-Bedrohungen gehören.

  • Risiko-Score: Zeigt den Risiko-Score des Benutzers an.

Sie können einen Benutzer auch nach dem Benutzernamen suchen und die erforderlichen Details abrufen.

Weitere Informationen finden Sie unter Risikokategorien.

Riskante Benutzerliste

Überblick über Risikoindikatoren

Das Dashboard bietet eine konsolidierte Ansicht der von den Benutzern in Ihrem Unternehmen ausgelösten Risikoindikatoren.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Risikoindikatorübersicht.

Übersichtsmenü Risikoindikatoren

Wählen Sie eine Kategorie, um den Bericht anzuzeigen

Suchen Sie die Risikoindikatoren, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.

  • Risikoindikatortyp: Wählen Sie die Art des Risikoindikators: eingebaut oder benutzerdefiniert.

  • Entitätstyp: Wählen Sie einen Benutzer aus, um die zugehörigen Risikoindikatoren anzuzeigen.

  • Gruppe: Wählen Sie ein Kriterium aus, um die Benutzerereignisse nach Datenquelle, Indikatorkategorie, Indikatorname, Indikatortyp oder Entity-Art zu gruppieren und die zugehörigen Risikoindikatoren anzuzeigen.

    Kategorien der Risikoindikatoren

Bericht ansehen

Verwenden Sie die folgenden Berichte, um Details zu den Risikoindikatoren anzuzeigen, indem Sie eine oder mehrere Kategorien auswählen:

  • Anzahl der ausgelösten Risikoindikatoren: Zeigt die Anzahl der für den ausgewählten Zeitraum ausgelösten Risikoindikatoren an. Verwenden Sie diesen Bericht, um das Muster und die Bereiche riskanter Aktivitäten zu identifizieren. Identifizieren Sie außerdem die riskanten Aktivitäten in Ihrem Unternehmen.

  • Gesamtzahl und eindeutige Anzahl von Risikoindikatorereignissen: Zeigt die Gesamtereignisse und die eindeutigen Ereignisse an, die einem Risikoindikator entsprechen. Verwenden Sie diesen Bericht, um das Auftreten der einzelnen Risikoindikatoren und der wichtigsten Risikoindikatoren in Ihrer Organisation zu ermitteln. Sie können auch ermitteln, wie viele einzelne Benutzer einen bestimmten Risikoindikator ausgelöst haben, und überprüfen, ob der Risikoindikator von einer größeren oder einer kleineren Benutzergruppe ausgelöst wird.

  • Risikoindikatoren nach Standorten: Zeigt die Anzahl der Risikoindikatoren an, die von den Benutzern standortübergreifend ausgelöst werden. Verwenden Sie diesen Bericht, um die Standorte zu identifizieren, die riskantere Aktivitäten zeigen, und um zu überprüfen, ob sich die Standorte außerhalb des Betriebsbereichs Ihrer Organisation befinden.

  • Risikoindikatordetails: Zeigt die Details zum Risikoindikator an, z. B. die zugehörige Datenquelle, die Indikatorkategorie, den Indikatortyp und die Anzahl der Vorkommnisse.

Übersichtsberichte über Risikoindikatoren 1

Übersichtsberichte über Risikoindikatoren 2

Angaben zu Risikoindikatoren

Das Dashboard bietet detaillierte Informationen zu den integrierten und benutzerdefinierten Risikoindikatoren, die von den Benutzern ausgelöst werden. Weitere Informationen finden Sie unter Citrix Benutzerrisikoindikatoren und Benutzerdefinierte Risikoindikatoren.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics — Dashboards > Citrix Analytics — Risikoindikator-Details.

Auswahl der Risikoindikatoren

Wählen Sie eine Kategorie aus, um die Berichte anzuzeigen

Zeigen Sie die Details der Risikoindikatoren an, indem Sie eine oder mehrere Kategorien auswählen:

  • Zeitraum: Wählen Sie einen voreingestellten Zeitraum oder einen benutzerdefinierten Zeitraum aus, um die Details der ausgelösten Risikoindikatoren für diesen Zeitraum anzuzeigen.

  • Entitätstyp: Wählen Sie einen Benutzer aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikatortyp- Wählen Sie die Art des integrierten oder benutzerdefinierten Risikoindikators aus, um deren Details anzuzeigen.

  • Datenquelle- Wählen Sie die Datenquelle aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikatorkategorie- Wählen Sie die Risikokategorie aus, um die Details der zugehörigen Risikoindikatoren anzuzeigen.

  • Risikoindikator- Wählen Sie den Risikoindikator aus, um seine Details anzuzeigen

Sehen Sie sich die Berichte an

Wählen Sie beispielsweise aus der Liste Risikoindikator auswählen die Option Ungewöhnlicher Authentifizierungsfehler (Citrix Content Collaboration)aus, klicken Sie auf Senden, und zeigen Sie die folgenden Informationen an:

  • Die 10 wichtigsten Benutzer, die mit dem Risikoindikator in Verbindung stehen

  • Details zum Risikoindikator wie

    • Datum und Uhrzeit des Triggers

    • Zugehörige Datenquelle

    • Zugehörige Risiko

    • Zugeordnete Entitäts-ID und Benutzerentitstyp

    • Schweregrad des Risikos — hoch, mittel oder niedrig

    • Risikowahrscheinlichkeit des Benutzerereignisses

    • Eindeutige Identität des Risikoindikators (UUID)

      Top 10 Einheiten

Klicken Sie unter Top 10 Entitäten nach Risikoindikatorenauf eine Entität, um deren Details im Citrix Analytics-Dashboard “Entitätsdetails “ anzuzeigen.

Angaben zu Risikoindikatoren

Klicken Sie auf jede Zeile der Tabelle mit den Risikoindikatordetails, um die Ereigniszusammenfassung, die Ereignisdetails und die Rohereignisse des ausgewählten Risikoindikators anzuzeigen.

Klicken Sie im Abschnitt Risikoindikator-Ereignisübersicht auf den Link Citrix Analytics UI, um von Ihrem Splunk aus direkt zur Benutzerzeitleiste in Citrix Analytics for Security zu gelangen. Zeigen Sie auf der Benutzerzeitleiste den Risikoindikator, die zugehörigen Ereignisse und alle angewendeten Aktionen für den Benutzer an.

Weitere Informationen zur Ereigniszusammenfassung und Ereignisdetails finden Sie unter Citrix Analytics data format for SIEM.

Details zur Ereigniszusammenfassung

Angaben zum Unternehmen

Verwenden Sie das Dashboard, um die Details zu einem Benutzer einer Benutzerentität und seinem riskanten Verhalten anzuzeigen.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Entitätsdetails.

Auswahl der Ereignisdetails

Sehen Sie sich den Bericht an

Geben Sie einen Zeitraum und die Entität (Benutzername) ein und klicken Sie auf Senden, um die detaillierten Informationen anzuzeigen.

Alternativ können Sie die detaillierten Informationen zu einer Entität auch in den folgenden Dashboards anzeigen:

  • Wechseln Sie in Citrix Analytics - Risikoindikatordetailszu Top 10 Entitäten nach Risikoindikatoren, und klicken Sie auf eine Entität.

    Ansicht Entity

  • Wechseln Sie in Citrix Analytics - Risk Score Overviewzu Risky Users, und klicken Sie auf einen Benutzernamen.

    Auswahl des Benutzernamens

Die folgenden detaillierten Informationen werden angezeigt:

  • Aktueller Risiko-Score und der Zeitplan für die Risikobewertung für den ausgewählten Zeitraum.

  • Prozentuale Verteilung der Risikoindikatoren. Hilft Ihnen, das Muster riskanter Aktivitäten des Unternehmens zu analysieren.

  • Geografische Verteilung der Risikoindikatoren. Hilft Ihnen, ungewöhnliche und risikoreiche Standorte zu identifizieren.

  • Kunden-IP-Details im Zusammenhang mit den riskanten Aktivitäten.

  • Benutzergerätedetails, die mit den riskanten Aktivitäten verbunden sind.

  • Details zu Risikoindikatoren wie zugehörige Datenquelle, Risikokategorie, Risikoschweregrad usw.

    Ansicht der Entitätsdetails 1

    Ansicht der Entitätsdetails 2

Korrelieren Sie die Client-IPs und Benutzergeräte, die mit riskanten Aktivitäten verknüpft sind, mit den Ereignissen, die von anderen Sicherheitsquellen erfasst wurden, die mit Ihrem Splunk verbunden sind. Klicken Sie beispielsweise in der Tabelle Client-IP-Details auf eine Zeile.

Client-IP-Details

Im Citrix Analytics Ereigniskorrelation-Dashboard können Sie die Ereignisse anzeigen, die mit der ausgewählten Client-IP verknüpft sind und mit Ihren anderen Sicherheitsdatenquellen korreliert sind (basierend auf Index und Quelltyp). Diese Ereignisse bieten tiefere Einblicke in die böswilligen Aktivitäten, die mit der Client-IP verbunden sind.

Dashboard für Ereigniskorrelation

Benutzerprofil-Übersicht

Verwenden Sie das Dashboard, um die Ereignismetriken anzuzeigen, die mit den Benutzern in Ihrer Organisation verknüpft sind.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Benutzerprofilübersicht.

Auswahl des Benutzerprofils

Ereignisse anzeigen

Wählen Sie einen Zeitraum aus und sehen Sie sich die folgenden Metriken an:

  • Top 10 Anwendungen, die von den Benutzern verwendet werden

  • Top 10 Geräte, die von den Benutzern verwendet werden

  • Top 10 Standorte, die von den Benutzern genutzt werden

  • Anzahl der verwendeten Web- und SaaS-Anwendungen

  • Anzahl der verwendeten Geräte

  • Anzahl der Benutzer, die standortübergreifend zugegriffen haben

  • Datennutzungskennzahlen wie hochgeladene, heruntergeladene, freigegebene Dateien

Diese Metriken geben Ihnen Einblicke in die Benutzeraktivitäten in Ihrem Unternehmen. Sie können die wichtigsten Anwendungen und Geräte, Nutzungsmuster, nicht konforme Geräte und Anwendungen, ungewöhnliche Standorte, riskanten Zugriff und ungewöhnliche Dateiaktivitäten identifizieren.

Benutzerprofil-Übersicht

Erhaltene Ereignisse

Verwenden Sie das Dashboard, um die von Citrix Analytics for Security empfangenen Ereignisse anzuzeigen. Ein Ereignis weist auf eine Art von Benutzeraktivität hin.

Um das Dashboard anzuzeigen, klicken Sie auf Citrix Analytics- Dashboards > Citrix Analytics- Empfangene Ereignisse.

Auswahl der empfangenen Ereignisse

Sehen Sie sich die Berichte an

Wählen Sie einen Zeitraum aus, um die verschiedenen Arten von empfangenen Ereignissen anzuzeigen und zu vergleichen. Das Dashboard bietet die folgenden Informationen:

  • Gesamtzahl der empfangenen Ereignisse: Dies ist die Summe aller von Citrix Analytics for Security empfangenen Ereignisse, einschließlich der folgenden:

    • Gesamtrisikoindikatorereignisse: Zeigt die Ereignisse an, die mit den von den Benutzern ausgelösten Risikoindikatoren verbunden sind.

    • Gesamtrisikoindikator-Detail-Ereignisse: Zeigt die Ereignisse an, die mit den Details der ausgelösten Risikoindikatoren verbunden sind.

    • Ereignisse zur Änderung der Risikobewertung insgesamt: Gibt die Ereignisse an, die mit der Änderung der Risikobewertung des Benutzers verbunden sind.

    • Gesamtzahl der Ereignisse des Benutzerprofil-Risiko-Scores: Zeigt die Ereignisse an, die mit den Risikobewertungen der Benutzer

    • Gesamtzahl der Anwendungsereignisse für Benutzerprofile: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Anwendungen verknüpft sind.

    • Gesamtzahl der Geräteereignisse des Benutzerprofils: Zeigt die Ereignisse an, die mit den von den Benutzern verwendeten Geräten verknüpft sind.

    • Gesamtzahl der Benutzerprofildatennutzungsereignisse: Zeigt die Ereignisse an, die mit der Datennutzung der Benutzer verbunden sind.

    • Gesamtzahl der Standortereignisse des Benutzerprofils: Zeigt die Ereignisse an, auf die die Benutzer zugreifen.

      Dashboard empfangene Ereignisse

Beispiel für Ereigniskorrelation

Verwenden Sie das Dashboard, um von Citrix Analytics for Security empfangene Ereignisse mit den Ereignissen zu korrelieren, die von anderen in Ihrem Splunk konfigurierten Sicherheitsdatenquellen gesammelt wurden. Sie erhalten tiefere Einblicke in die riskanten Aktivitäten des Benutzers, die aus mehreren Datenquellen gesammelt wurden, finden Zusammenhänge zwischen den Ereignissen und identifizieren etwaige Bedrohungen.

Um das Dashboard anzuzeigen, klicken Sie auf SIEM-Korrelation - Beispiel-Dashboards > Citrix Analytics Ereigniskorrelation.

Auswahl der Ereigniskorrelation

Voraussetzungen

Stellen Sie Folgendes sicher, um eine Korrelation durchzuführen:

  • Sie müssen Ereignisse aus Ihren anderen Sicherheitsdatenquellen haben, um korrelieren zu können. Beispielsweise Ereignisse, die mit Benutzern, Geräten und Client-IP-Adressen verknüpft sind, die von anderen in Ihrem Splunk konfigurierten Datenquellen empfangen wurden.

  • Sie müssen bereits während der Konfiguration einen Korrelationsindex definiert haben.

Korrelieren Sie die Ereignisse

Sie können die riskanten Entitäten und die riskantsten IP-Adressen anzeigen, die von Citrix Analytics for Security erkannt wurden. Um diese Ereignisse mit anderen Datenquellen (definiert im Index und im Quelltyp) zu korrelieren, klicken Sie auf eine Entität oder eine IP-Adresse aus den Tabellen.

Top riskante Ereignisse

Der im Abfragefeld angezeigte Indexwert wird während der Konfiguration der App definiert. Sie können den Indexwert je nach Ihren Anforderungen in eine andere Sicherheitsdatenquelle ändern.

Ereignisse aus anderen Datenquellen

Fehlerbehebung für keine Ereignisse

Wenn Sie in allen Dashboards keine Ereignisse finden, liegt dies möglicherweise an den Konfigurationsproblemen in der Citrix Analytics App für Splunk und dem Citrix Analytics-Add-On für Splunk. Überprüfen Sie in einem solchen Szenario den Indexwert und den Wert des Quelltyps. Stellen Sie sicher, dass die Werte des Index- und Quelltyps sowohl in der App als auch im Add-On identisch sind.

So zeigen Sie die Konfigurationseinstellungen der Citrix Analytics App für Splunk an:

  1. Klicken Sie auf Apps > Apps verwalten.

    Konfigurations-App

  2. Suchen Sie Citrix Analytics App für Splunk aus der Liste. Klicken Sie auf Einrichten.

    Einrichten

  3. Prüfen Sie den Quelltyp und den Index.

    Typ der Quelle

So zeigen Sie die Konfigurationseinstellungen des Citrix Analytics-Add-Ons für Splunk an:

  1. Klicken Sie auf Einstellungen > Dateneingaben.

    Daten-Eingänge

  2. Klicken Sie auf Citrix Analytics Add-on.

    Wählen Sie Hinzufügen

  3. Klicken Sie auf den Mandanten, von dem Sie die Ereignisse erhalten.

  4. Wähle Weitere Einstellungenaus.

    Configuration

  5. Prüfen Sie den Quelltyp und den Index.

    Typ der Quelle

Weitere Informationen zur Konfiguration finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

Citrix Analytics-Dashboards für Splunk