Benutzerdashboard
Übersicht
Das Benutzer-Dashboard ist der Ausgangspunkt für die Analyse des Benutzerverhaltens und die Bedrohungsprävention.
Dieses Dashboard bietet Einblick in Verhaltensmuster von Benutzern in einer Organisation. Mit diesen Daten können Sie proaktiv Verhaltensweisen überwachen, erkennen und kennzeichnen, die außerhalb der Norm liegen, wie Phishing- oder Ransomware-Angriffe.
Um das Benutzer-Dashboard aufzurufen, navigieren Sie zu Sicherheit > Benutzer. Das Benutzer-Dashboard enthält die folgenden Abschnitte:
-
Überblick: Der Übersichtsbereich enthält Zusammenfassungen von Kennzahlen, die Ihnen helfen können, die allgemeine Sicherheitslage Ihres Unternehmens zu verstehen.
-
Benutzerrisikoverteilung: Anzahl der Benutzer in Profilen mit hohem, mittlerem, niedrigem und nicht riskantem Risiko, basierend auf ihrer höchsten berechneten Risikobewertung im ausgewählten Zeitraum.
-
Top-Benutzer: Top-Benutzer, sortiert nach ihrer Risikobewertung, segmentiert nach “Alle Benutzer”, “Privilegierte Benutzer” und “Watchlist-Benutzer”.
-
Risikokategorien: Zeigt die Risikokategorien an, die Citrix Analytics unterstützt. Risikoindikatoren mit ähnlichen Verhaltensmustern werden in die Kategorien eingeteilt.
-
Risikoindikatoren und Maßnahmen: Verteilung der Risikoindikatoren und Maßnahmen, dargestellt über einen ausgewählten Zeitraum, auf alle Benutzer in Ihrem Unternehmen.
-
Zugriffsübersicht: Fasst die Gesamtzahl der Versuche zusammen, die Benutzer unternommen haben, auf die Ressourcen innerhalb Ihrer Organisation zuzugreifen.
-
Richtlinien und Aktionen: Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die auf Benutzerprofile angewendet wurden.
-
Risikoindikatoren: Zeigt die fünf wichtigsten Risikoindikatoren in Ihrem Unternehmen an.
Alle entdeckten Benutzer
Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben. Sie haben möglicherweise eine Risikobewertung, die mit ihrem Konto verknüpft ist oder auch nicht. Es ist möglich, dass die Anzahl der erkannten Benutzer im Benutzer-Dashboard höher ist als die Anzahl der riskanten Benutzer.
Klicken Sie im Dashboard auf die Kachel Alle entdeckten Benutzer, um die Seite Benutzer aufzurufen, auf der eine vollständige Liste der von Citrix Analytics entdeckten Benutzer angezeigt wird. Auf der Seite Benutzer werden die Datenquellen, Risikobewertungen und der Workspace-Anwendungsstatus zusammen mit den erkannten Benutzern angezeigt.
Hinweis
Im Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der erkannten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Die Aktionen und Ereignisse zählen Änderungen auf der Grundlage der Zeitauswahl.
Facetten
Filtern Sie die Benutzerereignisse basierend auf den folgenden Kategorien:
-
Risikobewertung: Benutzerereignisse basierend auf hohem Risiko, mittlerem Risiko, geringem Risiko und Null-Risiko-Scores.
-
Benutzer: Benutzerereignisse basierend auf Administratorrechten, Executive-Rechten und Watchlist-Benutzern.
-
Ermittelte Datenquellen: Benutzerereignisse basierend auf der Datenquelle, die Sie eingebunden haben.
-
Workspace-App-Status: Unterstützbarkeitsstatus der Citrix Workspace-App-Versionen, die auf dem Benutzergerät verwendet werden.
Hinweis
Der Status der Workspace-App wird anhand der Benutzerereignisse bestimmt, die vom Citrix Director empfangen wurden. Um den Status anzuzeigen, müssen Sie Citrix Analytics mit Citrix Director verbinden. Andernfalls wird der Status aller Citrix Virtual Apps and Desktops- und Citrix DaaS-Benutzer als Inaktivangezeigt.
Suchfeld
Verwenden Sie das Suchfeld, um nach Ereignissen für die Benutzer zu suchen. Sie können Operatoren in Ihrer Abfrage verwenden, um den Fokus Ihrer Suche einzugrenzen. Informationen zu den gültigen Operatoren, die Sie in Ihrer Abfrage verwenden können, finden Sie unter Self-Service-Suche.
Neuestes Ergebnis
Der Risiko-Score bestimmt das Risiko, das ein Benutzer für eine Organisation für einen bestimmten Zeitraum darstellt. Der Risiko-Score-Wert ist dynamisch und variiert basierend auf der Analyse des Benutzerverhaltens. Basierend auf der aktuellen Risikobewertung kann ein Benutzer in eine der folgenden Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko, Benutzer mit geringem Risiko und Benutzer mit Nullrisikobewertung.
Benutzer
Liste aller von Analytics entdeckten Benutzer. Wählen Sie einen Benutzernamen aus, um die Benutzerinformationen und die Risikozeitleiste für den Benutzer anzuzeigen. Möglicherweise hat der Benutzer einen Risikoindikator ausgelöst. Wenn mit diesem Benutzer keine riskanten Ereignisse verbunden sind, wird die folgende Meldung angezeigt.
Wenn mit einem Benutzer gefährliche Ereignisse verbunden sind, sehen Sie die Risikoindikatoren auf seiner Risikozeitleiste. Wählen Sie den Benutzer aus, um seinen Risikozeitplananzuzeigen.
Ein Benutzer kann als privilegiert markiert und zur Watchlisthinzugefügt werden.
Datenquelle entdeckt
Die einem Benutzer zugeordnete Datenquelle. Wenn ein Benutzer die Datenquelle aktiv verwendet, erhält Analytics die Benutzerereignisse von dieser Datenquelle. Um Benutzerereignisse zu empfangen, müssen Sie die Datenverarbeitung auf der Datenquell-Sitekarte aktivieren, die auf der Seite Datenquellen verfügbar ist.
Status der Workspace-Anwendung
Verwenden Sie die folgenden Bezeichnungen, um den Workspace-Anwendungsstatus zu identifizieren:
-
Unterstützt: Die Citrix Workspace-Anwendungsversion wird von Citrix Analytics unterstützt und die Benutzerereignisse werden von der Anwendung empfangen.
-
Teilweise unterstützt: Die Citrix Workspace-Anwendungsversion wird unterstützt, aber es werden keine Benutzerereignisse von der Anwendung empfangen. Informationen zur Identifizierung und Behebung der Probleme finden Sie in der Anleitung zur Fehlerbehebung.
-
Nicht unterstützt: Die Citrix Workspace-Anwendungsversion wird nicht unterstützt und es werden keine Benutzerereignisse von der Anwendung empfangen. Der Benutzer muss die Citrix Workspace-Anwendung auf eine unterstützte Version aktualisieren. Die Liste der unterstützten Versionen finden Sie in den unterstützten Clients.
-
Nicht verfügbar (NA): Der Benutzer verwendet die Citrix Virtual Apps and Desktops- und Citrix DaaS-Datenquelle nicht. Sie verwenden möglicherweise eine andere Datenquelle wie Content Collaboration, Secure Private Access und Gateway.
-
Inaktiv: Der Benutzer hatte in der letzten Woche keine aktiven Sitzungen in den Citrix Virtual Apps and Desktops und Citrix DaaS. Es werden also keine Ereignisse vom Benutzer empfangen.
Wenn der Benutzer in der letzten Woche die Citrix Workspace-Anwendung auf vier verschiedene Versionen aktualisiert hat (z. B.: xx, xy, yx und yy), zeigt der Tooltip die vier verschiedenen Versionen an. Der Status ändert sich gemäß dem folgenden Szenario.
Szenario | Arbeitsbereich-App-Status |
---|---|
Wenn alle vier Versionen (xx, xy, yx und yy) unterstützt werden. | Unterstützt |
Unter den vier Versionen wird mindestens eine Version (xx) nicht unterstützt und die verbleibenden Versionen (xy, yx und yy) werden unterstützt. | Nicht unterstützt |
Unter den vier Versionen wird mindestens eine Version (xx) teilweise unterstützt und die verbleibenden Versionen (xy, yx und yy) werden unterstützt. | Teilweise unterstützt |
Unter den vier Versionen wird die (xx) Version nicht unterstützt, die (yx) Version wird teilweise unterstützt und die verbleibenden zwei Versionen (yx, yy) werden unterstützt. | Nicht unterstützt |
Hinweis
Der Status Nicht unterstützt hat Vorrang vor dem Status Unterstützt und dem Status Teilweise unterstützt.
Ausgelöste Indikatoren
Gibt die Anzahl der Risikoindikatoren an, die für die ausgewählte Dauer von Benutzern ausgelöst wurden. Klicken Sie auf die Kachel Ausgelöste Indikatoren, um die Details der Risikoindikatoren anzuzeigen. Die Tabelle der Risikoindikatoren enthält die folgenden Details:
- Name: Der Name des Risikoindikators.
- Schweregrad: Der Schweregrad des mit dem Ereignis verbundenen Risikos. Das Risiko kann hoch, mittel oder niedrig sein.
- Datenquelle: Die Datenquelle, für die die Risikoindikatorvorlage gilt.
- Typ: Art des Risikoindikators. Ein Risikoindikator kann Standard oder benutzerdefiniertsein.
- Vorkommen:Die Häufigkeit, mit der ein Risikoindikator für einen Benutzer ausgelöst wird. Wenn Sie den Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.
- Letztes Vorkommen: Zeigt das Datum und die Uhrzeit des letzten Vorfalls an.
Angewendete Maßnahmen
Gibt die Anzahl der Aktionen an, die für die ausgewählte Dauer benutzerübergreifend angewendet wurden. Dazu gehören die von den Administratoren manuell angewandten Aktionen und die richtliniengesteuerten Aktionen. Klicken Sie auf die Kachel Angewendete Aktion, um die Aktionsdetails anzuzeigen. In diesem Abschnitt werden die Aktionen nicht angezeigt, die Sie manuell auf die Benutzerprofile angewendet haben.
Die Aktionstabelle enthält die folgenden Informationen:
- Aktion: Name der Aktion, die gemäß der Richtlinie angewendet wurde.
- Benutzer: Anzahl der Benutzer, auf die die Aktion angewendet wurde.
- Vorkommen: Anzahl der Vorkommen der Aktion.
- Datum und Uhrzeit: Datum und Uhrzeit der angewendeten Aktion.
Bearbeitete Ereignisse
Gesamtzahl der Benutzerereignisse, die von Ihren verbundenen Datenquellen empfangen und von Analytics verarbeitet wurden.
Verteilung des Benutzerrisikos
Sie können die Anzahl der Benutzer in Profilen mit hohem, mittlerem, niedrigem und nicht riskantem Risiko auf der Grundlage ihrer höchsten berechneten Risikobewertung im ausgewählten Zeitraum anzeigen. Unter den Gesamtzahlen zeigt ein Balkendiagramm, wie sich die Verteilung der Nutzer mit geringem, mittlerem und hohem Risiko im Laufe der Zeit verändert hat.
Das Risikoniveau ist in drei Farbcodes unterteilt.
- Rot — steht für Benutzer mit hohem Risiko.
- Orange — steht für Benutzer mit mittlerem Risiko.
- Grau — Steht für Benutzer mit geringem Risiko.
Sie können sich die Anzahl der risikobehafteten Benutzer (hoch, mittel und niedrig) anzeigen lassen, während Sie Ihre Maus für einen bestimmten Zeitraum auf die Farbbalken bewegen. Sie können die zuletzt aktualisierten Details (Datum und Uhrzeit) mit den Datenintervallinformationen anzeigen. Klicken Sie auf die Aktualisierungsoption, um die aktualisierten Daten zu erhalten.
Nutzer insgesamt
Klicken Sie auf die Option Benutzer insgesamt, um die Seite Benutzer anzuzeigen.
Auf dieser Seite werden alle Benutzer und ihre Risikobewertungen angezeigt. Sie können die Facetten und die Suchleiste verwenden, um die Ereignisse zu filtern.
Riskante Benutzer
Riskante Benutzer sind entdeckte Benutzer, mit denen riskante Ereignisse verbunden sind und die mindestens einen Risikoindikator ausgelöst haben. Das Risiko, das ein Benutzer für einen bestimmten Zeitraum für das Netzwerk darstellt, wird durch die mit dem Benutzer verbundene Risikobewertung bestimmt. Der Risiko-Score-Wert ist dynamisch und basiert auf Analysen des Benutzerverhaltens.
Das Risiko jedes Benutzers wird im Laufe der Zeit auf der Grundlage der Benutzeraktivitäten regelmäßig aktualisiert. Daher kann ein Benutzer zu einem bestimmten Zeitpunkt ein mittleres oder hohes Risiko haben, später jedoch auf ein niedrigeres Risikoniveau fallen. Basierend auf der Risikobewertung kann ein riskanter Benutzer in eine der folgenden Kategorien fallen:
Auf der Seite Riskante Benutzer können Sie die Facetten verwenden, um nach den mit dem ausgewählten Zeitraum verknüpften Risikoniveaus zu filtern, und die Suchleiste, um nach einem oder mehreren bestimmten Benutzern zu suchen.
Klicken Sie auf die E-Mail-ID des Benutzers, um die Seite mit der Risikozeitleiste für den ausgewählten Benutzer anzuzeigen. Auf dieser Seite werden die Risikoindikatoren zusammen mit den Angaben zur neuesten und höchsten Risikobewertung auf der Grundlage des ausgewählten Zeitraums angezeigt.
Hohes Risiko
Benutzer mit einem Risikowert zwischen 90 und 100. Diese Benutzer haben mehrere Verhaltensweisen an den Tag gelegt, die mittleren bis schweren Risikofaktoren entsprechen und eine unmittelbare Bedrohung für das Unternehmen darstellen können.
Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit hohem Risiko auf der Grundlage des höchsten berechneten Risikowerts im ausgewählten Zeitraum anzeigen.
Klicken Sie auf die Option Hohes Risiko, um die Seite Riskante Benutzer aufzurufen. Auf der Seite werden die Details zu den Benutzern mit hohem Risiko angezeigt.
Mittleres Risiko
Benutzer mit einem Risikowert zwischen 70 und 89. Diese Benutzer haben in der Regel eine oder mehrere Aktivitäten, die potenziell verdächtig und/oder anomal erscheinen und die es wert sein könnten, genau beobachtet zu werden.
Klicken Sie auf die Option Mittleres Risiko, um die Seite Riskante Benutzer aufzurufen. Auf der Seite werden die Details zu Benutzern mit mittlerem Risiko angezeigt.
Niedriges Risiko
Benutzer mit einem Risikowert zwischen 1 und 69. Bei diesen Benutzern gibt es mindestens einen Risikoindikator, der ein ungewöhnliches oder unerwartetes Verhalten widerspiegelt, der jedoch nicht ausreicht, um eine seriösere Risikoklassifizierung zu rechtfertigen.
Klicken Sie auf die Option Niedriges Risiko, um die Seite Riskante Benutzer aufzurufen. Auf der Seite werden die Details zu Benutzern mit geringem Risiko angezeigt.
Nicht riskant
Benutzer mit Null-Risiko-Score. Für diese Benutzer wurden für den ausgewählten Zeitraum keine Risikoindikatoren in ihrem Konto ausgelöst. Diesen risikofreien Benutzern können Risikoindikatoren zugeordnet werden, obwohl ihr Risikowert gleich Null ist.
Top-Nutzer
Sie können sich die Top-Benutzer in verschiedenen Benutzerkategorien anzeigen lassen, sortiert nach den höchsten Risikobewertungen für den ausgewählten Zeitraum. In der folgenden Tabelle mit den häufigsten Benutzern werden die fünf Benutzer mit dem höchsten Risiko (alle Benutzer, Benutzer mit bevorzugter Berechtigung und Beobachtungsliste) anhand ihrer für den ausgewählten Zeitraum berechneten Risikobewertung und nicht anhand der neuesten Risikobewertung angezeigt.
Hinweis
In früheren Versionen wurde in der Tabelle Top-Benutzer unabhängig vom ausgewählten Zeitraum immer die aktuelle Risikobewertung angezeigt.
Privilegierte Benutzer
Privilegierte Benutzer sind die Mitarbeiter, die berechtigten Zugriff auf sensible Daten und Systemeinstellungen in einer Organisation haben. Aufgrund ihrer privilegierten Rechte sind die böswilligen Aktionen privilegierter Benutzer oft nicht von ihren täglichen Aktivitäten zu unterscheiden. Daher bleiben die Aktionen privilegierter Benutzer für eine lange Zeit unentdeckt. Solche Maßnahmen setzen Unternehmen einer Vielzahl von Risiken aus. Um diese Herausforderung zu meistern, bietet Citrix Analytics die Funktion zur privilegierten Benutzerüberwachung. Mit dieser Funktion können Sie die Verhaltensanomalien privilegierter Benutzer in Ihrem Unternehmen genau überwachen.
Unter dem Benutzer-Dashboard > Top-Benutzer können Sie sich die fünf privilegiertesten Benutzer auf der Grundlage der höchsten Risikobewertung anzeigen lassen. Die privilegierten Benutzer werden als Administratoren und Führungskräfte eingestuft.
-
Admins. Benutzer, die Administratorrechte für ein Produkt oder eine Dienstleistung haben. Wenn beispielsweise die Berechtigung eines Benutzers im Content Collaboration Service auf den Administrator erhöht wird, werden diese Informationen auf der Seite Benutzer angezeigt. Sie können dann die Aktivitäten der Administratorbenutzer überwachen.
Betrachten Sie den Benutzer Maria Brown, dem im Content Collaboration Service Administratorrechte zugewiesen wurden. Maria beginnt übermäßig mit dem Löschen von Dateien und Ordnern und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, diesen Risikoindikator mit den auf der Seite Benutzer verfügbaren Informationen zu vergleichen. Sie können entscheiden, ob der Risikoindikator ausgelöst wurde, nachdem dem Benutzer Administratorrechte in Content Collaboration zugewiesen wurden. Falls ja, können Sie geeignete Maßnahmen für das Profil des privilegierten Benutzers ergreifen.
-
Führungskräfte. Benutzer, vorzugsweise aus dem Top-Management in Ihrem Unternehmen. Auf der Seite Benutzer können Sie Benutzer als Executive-Benutzer hinzufügen oder entfernen. Anweisungen finden Sie in den Abschnitten Als privilegierter Benutzer hinzufügen und Als privilegierter Benutzer entfernen .
Stellen Sie sich ein Szenario vor, in dem Sie einen Benutzer als privilegierten Benutzer hinzugefügt haben. Der Benutzer beginnt, Dateien und Ordner übermäßig zu löschen, und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, den Risikoindikator mit den Informationen auf der Seite Benutzer zu vergleichen. Wenn Sie die Informationen vergleichen, können Sie feststellen, ob der Risikoindikator ausgelöst wurde, nachdem der Benutzer als ausführender Benutzer markiert wurde. Wenn ja, können Sie geeignete Maßnahmen im Profil des Benutzers ergreifen.
Klicken Sie auf der Registerkarte Alle Benutzer auf den Link Mehr anzeigen, um die Seite Benutzer aufzurufen, auf der Details zu privilegierten Benutzern angezeigt werden. Nachdem Sie zur Seite “Benutzer” navigiert sind, können Sie die Facetten verwenden, um bei Bedarf weitere Details abzurufen. Beispielsweise können Sie einen Benutzer zusammen mit der aktuellen Risikobewertung als Admins oder Führungskräfte auswählen. Privilegierte Benutzer werden durch ein Symbol in der Spalte USER dargestellt.
Hinweis
Im Benutzer-Dashboard und auf der Seite Benutzer wird unabhängig vom ausgewählten Zeitraum die Anzahl der privilegierten Benutzer für die letzten 13 Monate angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.
Als privilegierter Benutzer hinzufügen
-
Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer hinzufügen möchten.
-
Klicken Sie auf Privilegiert markieren.
Als privilegierter Benutzer entfernen
-
Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer entfernen möchten.
-
Klicken Sie auf Aus Privilegiert entfernen.
Nutzer der Watchlist
Liste der Benutzer, die genau auf potenzielle Bedrohungen überwacht werden. Sie können beispielsweise Benutzer überwachen, die keine Vollzeitmitarbeiter in Ihrem Unternehmen sind, indem Sie diese Benutzer zur Watchlist hinzufügen. Sie können auch Benutzer überwachen, die häufig einen bestimmten Risikoindikator auslösen. Sie fügen entweder manuell einen Benutzer zur Watchlist hinzu oder definieren Richtlinien, um Benutzer zur Watchlist hinzuzufügen.
Wenn Sie Benutzer zur Watchlist hinzugefügt haben, können Sie sich die fünf besten Benutzer auf der Watchlist anhand der höchsten Punktzahl anzeigen lassen.
Klicken Sie im Bereich Alle Benutzer auf den Link Mehr anzeigen, um die Seite Benutzer aufzurufen. Auf der Seite wird die Liste aller Benutzer in der Watchlist angezeigt.
Hinweis
Im Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der Benutzer in der Watchlist unabhängig vom ausgewählten Zeitraum für die letzten 13 Monate angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.
Mehr erfahren: Watchlist
Risiko-Kategorien
Das Ringdiagramm “Risikokategorien “ fasst die Anzahl der Indikatorvorkommen nach Risikokategorien im ausgewählten Zeitraum zusammen. Einzelne Benutzerzahlen werden angezeigt, wenn Sie den Mauszeiger über jedes Diagrammsegment bewegen, was wiederum zur entsprechenden Übersichtsseite der Risikoindikator-Kategorie führt. Die Risikokategorisierung wird anhand von Standard- und benutzerdefinierten Risikoindikatoren unterstützt.
Der Zweck des Dashboards für Risikokategorien besteht darin, Citrix Virtual Apps and Desktops und Citrix DaaS-Administratoren in die Lage zu versetzen, Benutzerrisiken zu managen und vereinfachte Diskussionen mit ihren Sicherheitskollegen zu führen, ohne über Sicherheitskenntnisse auf Expertenebene verfügen zu müssen. Es ermöglicht die Umsetzung der Sicherheitsdurchsetzung auf organisatorischer Ebene und ist nicht nur auf Sicherheitsadministratoren beschränkt.
Anwendungsfall
Bedenken Sie, dass Sie ein Administrator für Citrix Virtual Apps and Desktops sind und die Anwendungszugriffsrechte von Mitarbeitern in Ihrem Unternehmen verwalten. Wenn Sie zum Abschnitt Risikokategorien > Kompromittierte Benutzer > Übermäßige Authentifizierungsfehler - Citrix Gateway-Risikoindikator gehen, können Sie beurteilen, ob die Mitarbeiter, denen Sie Zugriff gewährt haben, kompromittiert wurden. Wenn Sie weiter navigieren, können Sie genauere Einblicke in diesen Risikoindikator erhalten, z. B. die Fehlergründe, Anmeldeorte, Timeline-Details und Benutzerzusammenfassung. Wenn Sie Abweichungen zwischen den Benutzern, denen Zugriff gewährt wurde, und kompromittierten Benutzern feststellen, können Sie den Sicherheitsadministrator darüber informieren. Diese rechtzeitige Benachrichtigung des Sicherheitsadministrators trägt zur Durchsetzung der Sicherheit auf organisatorischer Ebene bei.
Wie analysiert man das Dashboard Risikokategorien?
Wenn Sie im Dashboard Risikokategorien die Option Mehr anzeigen auswählen, werden Sie auf die Seite weitergeleitet, auf der Details zu den Risikokategorien zusammengefasst sind. Diese Seite enthält die folgenden Details:
-
Risikokategoriebericht: Stellt die Gesamtrisikoindikatorvorkommen jeder Kategorie für einen ausgewählten Zeitraum dar.
-
Details zur Zeitleiste: Bietet eine grafische Darstellung des Gesamtrisikoindikators jeder Risikokategorie für einen ausgewählten Zeitraum. Wenn Sie zum Ende dieses Abschnitts navigieren, können Sie nach Risikokategorien sortieren, um genauere Einblicke in die Risikoindikatoren zu erhalten.
-
Zusammenfassung der Risikokategorie: Dieser Abschnitt enthält Details wie die Auswirkungen, das Auftreten und den Schweregrad der mit jeder Kategorie verbundenen Risikoindikatoren. Wählen Sie eine beliebige Risikokategorie aus, um Details zu den mit dieser Kategorie verbundenen Risikoindikatoren anzuzeigen. Wenn Sie beispielsweise die Kategorie Kompromittierte Benutzer auswählen, werden Sie zur Seite Kompromittierte Benutzer weitergeleitet.
Auf der Seite Kompromittierte Benutzer werden die folgenden Details angezeigt:
-
Risikoindikatorbericht: Zeigt die Risikoindikatoren an, die für einen ausgewählten Zeitraum zur Kategorie Kompromittierte Benutzer gehören. Es zeigt auch die Gesamtereignisse der Risikoindikatoren an, die während des ausgewählten Zeitraums ausgelöst wurden.
-
Timeline-Details: Bietet eine grafische Darstellung des Risikoindikators für einen ausgewählten Zeitraum.
-
Zusammenfassung des Risikoindikators: Zeigt eine Zusammenfassung der Risikoindikatoren an, die unter der Kategorie Kompromittierte Benutzer generiert wurden. In diesem Abschnitt werden auch der Schweregrad, die Datenquelle, der Risikoindikatortyp, das Auftreten und das letzte Auftreten angezeigt.
Wenn Sie einen Risikoindikator auswählen, werden Sie auf die Seite weitergeleitet, auf der die Details dieses Indikators zusammengefasst sind. Wenn Sie beispielsweise den Risikoindikator Erster Zugriff über ein neues Gerät auswählen, werden Sie auf die Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst sind. Die Zusammenfassung enthält Timeline-Details zu den Ereignissen dieses Ereignisses und eine Benutzerübersicht, in der die Benutzer aufgeführt sind, die diesen Risikoindikator ausgelöst haben, das Auftreten von Risikoindikatoren und den Zeitpunkt des Ereignisses. Wenn Sie einen Benutzer auswählen, werden Sie zur Risikozeitleiste des Benutzers weitergeleitet.
Hinweis
Citrix Analytics gruppiert Standardrisikoindikatoren unter der entsprechenden Risikokategorie. Für benutzerdefinierte Risikoindikatoren müssen Sie auf der Seite Indikator erstellen eine Risikokategorie auswählen. Weitere Informationen finden Sie unter Benutzerdefinierte Risikoindikatoren.
Arten von Risikokategorien
Exfiltration von Daten
Diese Kategorie gruppiert Risikoindikatoren, die durch Malware oder von Mitarbeitern ausgelöst werden, die unbefugte Datenübertragungen oder Datendiebstähle zu oder von einem Gerät in einer Organisation durchführen. Sie können Einblicke in alle Datenexfiltrationsaktivitäten erhalten, die während eines bestimmten Zeitraums stattgefunden haben, und die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.
Die Risikokategorie Datenexfiltration fasst die folgenden Risikoindikatoren zusammen:
Datenquellen | Indikatoren für Benutzerrisiken |
---|---|
Citrix Content Collaboration | Übermäßiger Zugriff auf vertrauliche Dateien |
Citrix Content Collaboration | Übermäßige Dateidownloads |
Citrix Content Collaboration | Übermäßige Dateifreigabe |
Citrix Virtual Apps and Desktops von Citrix und Citrix DaaS | Potenzielle Datenexfiltration |
Insider-Bedrohungen
Diese Kategorie gruppiert Risikoindikatoren, die von Mitarbeitern innerhalb einer Organisation ausgelöst werden. Da Mitarbeiter einen höheren Zugriff auf unternehmensspezifische Anwendungen haben, haben Unternehmen ein höheres Risiko für Sicherheitsrisiken. Riskante Aktivitäten können absichtlich von einem böswilligen Insider verursacht werden oder auf ein menschliches Versagen zurückzuführen sein. In beiden Szenarien sind die Auswirkungen auf die Sicherheit auf das Unternehmen schädlich. Diese Kategorie bietet Einblicke in alle Aktivitäten von Insider-Bedrohungen, die in einem bestimmten Zeitraum stattgefunden haben. Mithilfe dieser Erkenntnisse können Sie die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.
Die Risikokategorie Insider-Bedrohungen fasst die folgenden Risikoindikatoren zusammen:
Datenquellen | Indikatoren für Benutzerrisiken |
---|---|
Citrix Content Collaboration | Übermäßiges Löschen von Dateien oder Ordnern |
Citrix Content Collaboration | Übermäßige Dateiuploads |
Citrix Content Collaboration | Malware-Dateien wurden erkannt |
Citrix Secure Private Access | Versuch, auf eine URL auf der Sperrliste zuzugreifen |
Citrix Secure Private Access | Übermäßiger Datendownload |
Citrix Secure Private Access | Zugriff auf riskante Website |
Citrix Secure Private Access | Ungewöhnliches Uploadvolumen |
Kompromittierte Benutzer
Diese Kategorie gruppiert Risikoindikatoren, bei denen Benutzer ungewöhnliche Verhaltensmuster wie verdächtige Anmeldungen und Anmeldefehler aufweisen. Alternativ können die ungewöhnlichen Muster darauf zurückzuführen sein, dass die Benutzerkonten kompromittiert wurden. Sie können Einblicke in alle kompromittierten Benutzerereignisse erhalten, die während eines bestimmten Zeitraums stattgefunden haben, und die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.
Die Risikokategorie Kompromittierte Nutzer fasst die folgenden Risikoindikatoren zusammen:
Datenquellen | Indikatoren für Benutzerrisiken |
---|---|
Citrix Content Collaboration | Unmögliche Reisen |
Citrix Content Collaboration | Ransomware-Aktivität verdächtigt |
Citrix Content Collaboration | Ungewöhnliche Authentifizierungsfehler |
Citrix Gateway | Fehler beim Scannen der Endpunktanalyse |
Citrix Gateway | Übermäßige Authentifizierungsfehler |
Citrix Gateway | Unmögliche Reisen |
Citrix Gateway | Anmeldung von verdächtiger IP |
Citrix Gateway | Ungewöhnlicher Authentifizierungsfehler |
Citrix Virtual Apps and Desktops von Citrix und Citrix DaaS | Verdächtige Anmeldung |
{page.cvad-and-daas-product-name}} | Unmögliche Reisen |
Microsoft Graph Security | Azure AD-Identitätsschutz-Risikoindikatoren |
Microsoft Graph Security | Microsoft Defender for Endpoint Risikoindikatoren |
Kompromittierte Endpunkte
Diese Kategorie gruppiert Risikoindikatoren, die ausgelöst werden, wenn Geräte unsicheres Verhalten aufweisen, das auf einen Kompromiss hindeuten könnte.
Die Risikokategorie Kompromittierte Endpunkte fasst die folgenden Risikoindikatoren zusammen:
Datenquellen | Indikatoren für Benutzerrisiken |
---|---|
Citrix Endpoint Management | Nicht verwaltetes Gerät erkannt |
Citrix Endpoint Management | Jailbreak oder gerootetes Gerät erkannt |
Citrix Endpoint Management | Gerät mit Apps auf der Sperrliste erkannt |
Risikoindikatoren und Maßnahmen
Sie können die ausgelösten Risikoindikatoren und die angewandten Aktionen für Ihre Benutzer für den ausgewählten Zeitraum einsehen. Das neue Balkendiagramm für Risikoindikatoren und Maßnahmen zeigt detailliert die Anzahl der Indikatoren, Aktionen und Ereignisse im Zeitverlauf, wobei der Gesamtzeitbereich und das Balkenintervall aus dem ausgewählten Zeitraum abgeleitet werden.
Wenn Sie auf ein Balkensegment für Indikatoren oder Aktionen klicken, erhalten Sie eine detaillierte Darstellung der Anzahl pro Indikator bzw. Aktion.
Wenn Sie in der Indikator-Drilldown-Liste auf eine einzelne Indikatorleiste klicken, wird die entsprechende Seite mit den Risikoindikatoren für den ausgewählten Zeitraum aufgerufen.
Access-Zusammenfassung
Dieses Dashboard fasst alle Gateway-Zugriffsereignisse für einen ausgewählten Zeitraum zusammen. Es zeigt die Anzahl des Gesamtzugriffs, des erfolgreichen Zugriffs und des fehlgeschlagenen Zugriffs über Citrix Gateway.
Klicken Sie auf die Zeiger in der Grafik, um die Seite Self-Service-Suche nach Gateway anzuzeigen. Für erfolgreiche Anmeldeszenarien werden Gateway-Zugriffsereignisse nach dem Statuscode auf der Seite sortiert.
Richtlinien und Aktionen
Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die für einen ausgewählten Zeitraum auf Benutzerprofile angewendet wurden. Klicken Sie im BereichRichtlinien und Aktionenauf den Link Weitere Informationen, um detaillierte Informationen zu den Richtlinien und Aktionen zu erhalten.
Top-Richtlinien
Die fünf wichtigsten konfigurierten Richtlinien werden basierend auf der Anzahl der Vorkommen bestimmt. Wenn Sie sich im Abschnitt “ Top-Richtlinien “ des Dashboards befinden und Mehr anzeigenauswählen, werden Sie zur Seite Alle Richtlinien weitergeleitet.
Alle Richtlinien
Diese Seite enthält ausführliche Informationen zu allen konfigurierten Richtlinien. Wenn Sie eine Richtlinie auswählen, werden Sie zur Seite Self-Service-Suche nach Richtlinien weitergeleitet. Im linken Bereich können Sie basierend auf den angewendeten Aktionen filtern.
Wenn Sie einen Benutzernamen auswählen, werden Sie zur Risikozeitleiste weitergeleitet. Die richtlinienbasierte Aktion wird zur Risikozeitleiste des Benutzers hinzugefügt. Wenn Sie die Aktion auswählen, werden ihre Details im rechten Bereich des Risikozeitplans angezeigt.
Top Aktionen
Die fünf wichtigsten Aktionen, die mit den Richtlinien verknüpft sind, die auf die Benutzerprofile angewendet wurden. In diesem Abschnitt werden die Aktionen nicht angezeigt, die Sie manuell auf die Benutzerprofile angewendet haben. Die Top-Aktionen werden durch die Anzahl der Vorkommen bestimmt.
Klicken Sie auf Mehr anzeigen, um alle richtlinienbasierten Aktionen auf der Seite Aktionen anzuzeigen.
Aktionen
Die Seite enthält eine Liste aller richtlinienbasierten Aktionen, die für den ausgewählten Zeitraum auf Ihre Benutzer angewendet wurden. Sie sehen die folgenden Informationen an:
-
Name der Aktion, die gemäß der Richtlinie angewendet wird
-
Anzahl der Benutzer, auf die die Aktion angewendet wurde
-
Anzahl der Vorkommen der Aktion
-
Anzahl der mit der Aktion verknüpften Richtlinien
-
Datum und Uhrzeit der angewendeten Aktion
Klicken Sie auf eine Aktion, um alle zugehörigen Richtlinien anzuzeigen. Diese Richtlinien werden basierend auf der Anzahl der Vorkommen sortiert. Klicken Sie beispielsweise auf der Seite Aktionen auf Endbenutzerantwort anfordern . Auf der Seite Alle Richtlinien werden alle Richtlinien angezeigt, die mit der Aktion Endbenutzer-Antwort anfordern verknüpft sind.
Klicken Sie auf der Seite Alle Richtlinien auf eine Richtlinie, um die Benutzerereignisse anzuzeigen, auf die die Aktion angewendet wurde.
Risikoindikatoren
Fasst die fünf wichtigsten Risikoindikatoren für einen ausgewählten Zeitraum zusammen. Die Risikoindikatoren können Standard oder benutzerdefiniertsein. Für Standardrisikoindikatoren sammelt Citrix Analytics Daten aus den erkannten Datenquellen, auf denen die Datenverarbeitung aktiviert ist.
Für benutzerdefinierte Risikoindikatoren sammelt Citrix Analytics Daten aus den folgenden Datenquellen basierend auf den generierten riskanten Ereignissen:
- Citrix Content Collaboration
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops
- Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)
Im Bereich Risikoindikatoren können Sie die fünf wichtigsten Risikoindikatoren anzeigen und nach Gesamtvorkommen oder Schweregrad sortieren.
Klicken Sie im Bereich Risikoindikatoren auf Mehr anzeigen, um die Seite Risikoindikatorübersicht anzuzeigen.