Benutzer-Dashboard

Das Benutzer-Dashboard ist der Ausgangspunkt für die Analyse von Benutzerverhalten und Bedrohungsschutz.

Dieses Dashboard bietet Einblick in Benutzerverhaltensmuster in einer Organisation. Mithilfe dieser Daten können Sie proaktiv Verhalten überwachen, erkennen und kennzeichnen, die außerhalb der Norm liegen, wie Phishing- oder Ransomware-Angriffe. Standardmäßig werden in diesem Dashboard die Risikoprofile des Benutzers für den letzten Monat angezeigt.

Das Dashboard Benutzer enthält die folgenden Abschnitte:

  • Entdeckte Benutzer. Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben. Klicken Sie auf den Link im Dashboard, um die vollständige Liste der von Citrix Analytics erkannten Benutzer anzuzeigen.

  • Riskante Benutzer. Benutzer, die riskant gehandelt haben oder riskantes Verhalten dargestellt haben. Liste der riskanten Benutzer mit der höchsten Risikobewertung, der höchsten Risikobewertung, der höchsten Risikobewertung, der Risikoindikatoren, der Vorkommen von Risikoindikatoren und der Änderung des Ereignisses der Risikoindikatoren. Klicken Sie oben auf den Link Riskante Benutzer oder auf den Link Weitere anzeigen im Bereich Riskante Benutzer. Sie können die Liste aller riskanten Benutzer und die Risikoindikatoren anzeigen.

  • Benutzer mit hohem Risiko. Benutzer, die eine unmittelbare Bedrohung für die Organisation darstellen. Klicken Sie auf den Link, um die Liste aller Benutzer mit hohem Risiko und die von ihnen ausgelösten Risikoindikatoren anzuzeigen.

  • Benutzer mit mittlerem Risiko. Benutzer, die möglicherweise mehrere schwerwiegende Verstöße auf ihrem Konto haben und genau überwacht werden müssen. Klicken Sie auf den Link, um die Liste aller Benutzer mit mittlerem Risiko und die von ihnen ausgelösten Risikoindikatoren anzuzeigen.

  • Benutzer mit geringem Risiko. Benutzer, die einige Verstöße auf ihrem Konto erkannt haben, aber potenziell keine Bedrohung. Klicken Sie auf den Link, um die Liste aller Benutzer mit geringem Risiko und die von ihnen ausgelösten Risikoindikatoren anzuzeigen.

  • Benutzer in Watchlist. Benutzer, die von Administratoren genau überwacht werden. Klicken Sie auf das Feld Benutzer in Watchlist oder auf den Link Weitere anzeigen im Bereich Benutzer in Watchlist, um die Liste der Benutzer anzuzeigen, die der Watchlist hinzugefügt werden.

  • Privilegierte Benutzer. Benutzer, die vertrauliche Daten anzeigen und kritische Systemeinstellungen in einer Organisation ändern können. Klicken Sie auf den Link Privilegierte Benutzer oder auf den Link Weitere anzeigen im Bereich Privilegierte Benutzer, um die Liste aller privilegierten Benutzer anzuzeigen.

  • Risikoindikatoren. Zeigt die obersten fünf Standard- und die benutzerdefinierten Risikoindikatoren an. Klicken Sie unten im Bereich auf Weitere Informationen, um die Seite Übersicht über Risikoindikatoren anzuzeigen.

  • Zugriffsübersicht. Fasst die Gesamtzahl der Versuche zusammen, die Benutzer unternommen haben, auf die Ressourcen in Ihrer Organisation zuzugreifen.

  • Richtlinien und Aktionen. Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die auf Benutzerprofile angewendet werden. Klicken Sie im Bereich **Richtlinien und Aktionen auf den Link Weitere** anzeigen, um die Liste der angewendeten Richtlinien und Aktionen anzuzeigen.

  • Risiko-Kategorien. Zeigt die von Citrix Analytics unterstützten Risikokategorien an. Risikoindikatoren mit ähnlichen Verhaltensmustern werden in die Kategorien gruppiert. Klicken Sie im Bereich Risikokategorien auf Mehr anzeigen, um die Details der einzelnen Kategorien anzuzeigen.

Entdeckte Benutzer

Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben. Sie haben möglicherweise eine Risikobewertung mit ihrem Konto verknüpft. Es ist möglich, dass die Anzahl der erkannten Benutzer im Dashboard Benutzer größer ist als die Anzahl der riskanten Benutzer.

Klicken Sie auf den Link im Dashboard, um die vollständige Liste der von Citrix Analytics erkannten Benutzer anzuzeigen.

Entdeckte Benutzer

Auf der Seite Ermittelte Benutzer wird die Liste aller Benutzer angezeigt, die über einen Zeitraum entdeckt wurden. Sie können Daten für die letzten 1 Stunde, 12 Stunden, 1 Tag, 1 Woche oder 1 Monat anzeigen.

Verwenden Sie die folgende Schnittstellenzuordnung, um zu erfahren, wie Sie mit der Seite Ermittelte Benutzer interagieren.

Abschnitt "Ermittelte Benutzer"

Sehen Sie sich die folgenden Informationen an:

Benutzer

Liste aller von Analytics entdeckten Benutzer. Klicken Sie auf einen Benutzernamen, um die Benutzerinformationen und die Risikozeitachse für den Benutzer anzuzeigen. Möglicherweise hat der Benutzer einen Risikoindikator ausgelöst. Wenn diesem Benutzer keine riskanten Ereignisse zugeordnet sind, wird die folgende Meldung angezeigt.

Kein riskantes Ereignis

Wenn mit einem Benutzer riskante Ereignisse verbunden sind, wird die Risikozeitleiste mit den Details zu den Risikoindikatoren angezeigt.

Weitere Informationen finden Sie unter Risiko-Timeline.

Geräte

Anzahl der Geräte, die vom Benutzer für den Zugriff auf die Datenquellen verwendet werden. Citrix Analytics sammelt diese Daten aus Citrix Endpoint Management und Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Geräte anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Geräteverlaufs des Benutzers für einen bestimmten Zeitraum.

Benutzer-Info-Geräte

Standorte

Die Orte, von denen sich der Benutzer möglicherweise an den Datenquellen angemeldet hat. Citrix Analytics sammelt die Daten aus Citrix Content Collaboration und Citrix Gateway. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der Standorte anzuzeigen, von denen der Benutzer auf die Daten zugegriffen hat. Der Link Kartenansicht in der oberen rechten Ecke enthält den Anmeldestandort des Benutzers für einen bestimmten Zeitraum.

Speicherorte für Benutzerinformationen

Datennutzung

Das Volumen der vom Benutzer verbrauchten Daten kann hochgeladene oder heruntergeladene Daten, hochgeladene oder heruntergeladene Dateien sowie freigegebene oder gelöschte Dateien umfassen. Citrix Analytics sammelt diese Daten aus der Citrix Content Collaboration. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um die Details der Datenverwendung für den Benutzer anzuzeigen. Der Link Trend View bietet eine grafische Darstellung des Datenverwendungsverlaufs eines Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Verwendete Apps

Anzahl der Anwendungen, auf die der Benutzer in diesem Zeitraum zugreifen kann. Citrix Analytics sammelt diese Daten von Citrix Virtual Apps and Desktops. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um den Namen und die Anzahl der vom Benutzer verwendeten Anwendungen anzuzeigen. Der Link Trend View in der oberen rechten Ecke bietet eine grafische Darstellung des Anwendungsverlaufs des Benutzers für einen bestimmten Zeitraum.

Verwendung von Benutzerinformationen

Zugänge

Gesamtzahl der Zugriffe, die der Benutzer von verschiedenen Standorten aus auf Daten zugegriffen hat. Klicken Sie auf einen Benutzernamen, und navigieren Sie dann zu Benutzerinformationen, um anzuzeigen, wie oft der Benutzer auf die Daten zugegriffen hat.

In der folgenden Abbildung können Sie beispielsweise sehen, dass der Benutzer “ShareFileUser” “24” Zugriffe hat.

Produktübergreifende Schwerbeanspruchung

Klicken Sie nun auf den Benutzernamen, und navigieren Sie zum Bereich Benutzerinformationen auf der Seite Risikozeitleiste . Sie können sehen, dass dieser Benutzer 24 Zugriffe von zwei verschiedenen Standorten hat.

Zugriff auf Benutzerinformationen

Riskante Benutzer

Riskante Benutzer sind entdeckte Benutzer, die riskante Ereignisse zugeordnet haben und mindestens einen Risikoindikator ausgelöst haben. Das Risiko, das ein Benutzer für einen bestimmten Zeitraum für das Netzwerk darstellt, wird durch die dem Benutzer zugeordnete Risikobewertung bestimmt. Der Risiko-Score-Wert ist dynamisch und basiert auf der Analyse des Nutzerverhaltens. Basierend auf der Risikobewertung kann ein riskant Benutzer in eine der drei Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko oder Benutzer mit geringem Risiko.

Im Dashboard Benutzer können Sie die fünf wichtigsten riskanten Benutzer anzeigen, die auf der Grundlage der höchsten Punktzahl oder der höchsten Risikoindikatorvorkommen sortiert sind.

  • Klicken Sie auf Höchste Punktzahl ändern, um die fünf größten riskanten Benutzer auf der Grundlage der höchsten Punktzahl über einen Zeitraum anzuzeigen.

Riskante Benutzerverknüpfung

  • Klicken Sie auf Risikoindikatoren, um die fünf wichtigsten Risikoindikatoren mit maximalen Vorkommen anzuzeigen.

  • Klicken Sie auf Risikoindikatoren ändern, um die fünf wichtigsten Risikoindikatoren mit maximaler Änderung der Vorkommen anzuzeigen.

Riskantes Benutzer-Dashboard

Klicken Sie oben auf den Link Riskante Benutzer oder auf den Link Weitere anzeigen im Bereich Riskante Benutzer, um die Liste aller riskanten Benutzer und die Risikoindikatoren anzuzeigen.

Auf der Seite Riskante Benutzer wird die Liste aller riskanten Benutzer über einen bestimmten Zeitraum angezeigt. Sie können Daten für die letzten 1 Stunde, 12 Stunden, 1 Tag, 1 Woche oder 1 Monat anzeigen.

Verwenden Sie die folgende Schnittstellenübersicht, um zu erfahren, wie Sie mit der Seite Riskante Benutzer interagieren.

Riskante Benutzer

Sehen Sie sich die folgenden Informationen an:

Ergebnis

Die Bewertung oder Risikobewertung bestimmt das Risiko, das ein Benutzer für einen bestimmten Zeitraum für das Netzwerk darstellt. Der Risiko-Score-Wert ist dynamisch und basiert auf der Analyse des Nutzerverhaltens. Basierend auf der Risikobewertung kann ein riskant Benutzer in eine der drei Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko oder Benutzer mit geringem Risiko.

Änderung

Änderung ist die Änderung des Risikopunkts über einen Zeitraum. Eine Änderung der Risikobewertung kann positiv oder negativ sein. Eine Änderung der positiven Risikobewertung wird mit einem Minuszeichen (-) dargestellt, was bedeutet, dass die Risikobewertung eines Benutzers über einen bestimmten Zeitraum zurückgegangen ist. Eine Änderung der negativen Risikobewertung, die mit einem Pluszeichen (+) dargestellt wird, was bedeutet, dass sich die Risikobewertung eines Benutzers über einen bestimmten Zeitraum erhöht hat. Beispiel: Wenn die Risikobewertung eines Benutzers am Vortag 72 betrug und die aktuelle Risikobewertung 92 ist, ist die Risikobewertung negativ und wird mit +20 berechnet.

Änderung der Risikobewertung

Zugriff, Daten, Anwendung

Arten von Risikoindikatoren, die für einen Benutzer ausgelöst werden. Die Spalten zeigen die Anzahl der verschiedenen Arten von Risikoindikatoren, die für einen Benutzer über einen bestimmten Zeitraum erhoben wurden.

Benutzer

Liste aller riskanten Benutzer, die durch maschinelle Lernalgorithmen von Citrix Analytics identifiziert werden. Klicken Sie auf einen Benutzernamen, um die Benutzerinformationen und die Risikozeitachse für den Benutzer anzuzeigen.

Die mit einem Benutzer verknüpften Risikoindikatoren und der Zeitpunkt, zu dem ein Risikoindikator ausgelöst wurde, werden in der Risikozeitleiste angezeigt. Klicken Sie auf die einzelnen Risikoindikatoren, um Details anzuzeigen. Klicken Sie auf Benutzerinformationen, um detaillierte Benutzerinformationen wie Geräte, Standorte, Datennutzung und Anwendung anzuzeigen.

Weitere Informationen: Risiko-Timeline

Risikotimeline des Benutzers erkannt

Risikotimeline des Benutzers erkannt

Hinweis Derzeit sind die Authentifizierungs- und Domänen Daten im Benutzerinformationsprofil nicht verfügbar.

Gruppen

Zeigt die aus dem Active Directory importierten Gruppen an. Die Benutzergruppennamen werden angezeigt, wenn Sie Citrix Analytics in Active Directory integriert haben. Der Gruppenname N/A gibt an, dass Sie Citrix Analytics nicht mit Active Directory integriert haben.

Vorkommen und Vorkommen ändern

  • Vorkommen: Gesamte Vorkommen von Standard- und benutzerdefinierten Risikoindikatoren für einen ausgewählten Zeitraum.

  • Vorkommen Änderung: Änderung der Vorkommen der Standard- und benutzerdefinierten Risikoindikatoren für einen ausgewählten Zeitraum.

    Eine positive Änderung des Vorkommens wird mit einem Minuszeichen (-) dargestellt, was bedeutet, dass die Gesamtereignisse eines Risikoindikators über einen Zeitraum zurückgegangen sind. Eine Änderung der negativen Vorkommnisse, die mit einem Pluszeichen (+) dargestellt wird, bedeutet, dass sich die Gesamtereignisse des Risikoindikators über einen Zeitraum hinweg erhöht haben.Wenn z. B. 4 Vorkommen eines Risikoindikators in der aktuellen Stunde oder am Tag vorhanden sind und es 6 Vorkommen desselben Risikoindikators in der vorherigen Stunde oder am letzten Tag gab, wird die Änderung der Risikoindikatorvorkommen zwischen diesen beiden als 4-6 berechnet und die Vorkommensänderung ist angezeigt als -2.

Riskante Benutzervorkommen und -vorkommen ändern sich

Wie navigiere ich auf der Seite “Datenquellen” zu Benutzerinformationen?

  1. Gehen Sie zu Einstellungen > Datenquellen .
  2. Wählen Sie auf der Sitekarte einer beliebigen Datenquelle die Anzahl der Benutzer aus.
  3. Wählen Sie auf der Seite Benutzer einen Benutzer aus, und klicken Sie dann auf Benutzerinformationen . Das Benutzerinformationsprofil basierend auf Anwendung, Geräten, Standort und Datennutzung wird angezeigt.

Benutzer mit hohem Risiko

Benutzer mit Risikobewertung zwischen 91 und 100. Diese Benutzer stellen unmittelbare Bedrohungen für die Organisation dar.

Auf dem Dashboard Benutzer können Sie die Zusammenfassung der Anzahl der Benutzer mit hohem Risiko für eine bestimmte Zeit anzeigen. Dies zeigt die Gesamtzahl der Benutzer mit hohem Risiko und die Zunahme der Benutzer mit hohem Risiko.

Die folgende Abbildung zeigt beispielsweise Daten für die letzten 12 Stunden. Derzeit gibt es fünf Benutzer mit hohem Risiko, von denen zwei in den letzten 12 Stunden als Benutzer mit hohem Risiko identifiziert wurden.

Benutzer mit hohem Risiko

Klicken Sie auf das Kontrollkästchen, um Details zu den Benutzern mit hohem Risiko anzuzeigen, z. B. Risikobewertung, Score-Änderung, Trend der Score-Änderung, zuletzt ausgelöste Risikoindikator und die Arten von Risikoindikatoren.

Weitere Informationen: Riskante Benutzer

Benutzerinformationen mit hohem Risiko

Benutzer mit mittlerem Risiko

Benutzer mit Risikobewertung zwischen 71 und 90. Diese Benutzer haben möglicherweise mehrere schwerwiegende Verstöße auf ihrem Konto und müssen genau überwacht werden.

Im Dashboard Benutzer können Sie die Zusammenfassung der Anzahl der Benutzer mit mittlerem Risiko für eine bestimmte Zeit anzeigen. Sie können die Gesamtzahl der Benutzer mit mittlerem Risiko und die Erhöhung der Anzahl der Benutzer mit mittlerem Risiko sehen.

Die folgende Abbildung zeigt beispielsweise Daten für die letzten 12 Stunden. Derzeit gibt es acht Benutzer mit mittlerem Risiko, von denen sieben in den letzten 12 Stunden als Benutzer mit mittlerem Risiko identifiziert wurden.

Benutzer mit mittlerem Risiko

Klicken Sie auf das Kontrollkästchen, um Details zu den Benutzern mit mittlerem Risiko anzuzeigen, z. B. Risikobewertung, Score-Änderung, Trend der Score-Änderung, zuletzt ausgelöste Risikoindikator und die Arten von Risikoindikatoren.

Weitere Informationen: Riskante Benutzer

Benutzerinformationen mit mittlerem Risiko

Benutzer mit geringem Risiko

Benutzer mit Risikobewertung zwischen 0 und 70. Diese Benutzer können einige Verstöße auf ihrem Konto erkennen. Sie können auch Benutzer umfassen, die zuvor Benutzer mit hohem oder mittlerem Risiko waren, die über einen vorher festgelegten Zeitraum neu bewertet wurden.

Im Dashboard Benutzer können Sie die Zusammenfassung der Anzahl der Benutzer mit geringem Risiko für eine bestimmte Zeit anzeigen. Sie können die Gesamtzahl der Benutzer mit geringem Risiko und die Anzahl der Benutzer mit geringem Risiko sehen.

Die folgende Abbildung zeigt beispielsweise Daten für die letzten 12 Stunden. Derzeit gibt es 147 Benutzer mit geringem Risiko, von denen 61 in den letzten 12 Stunden als Benutzer mit geringem Risiko identifiziert wurden.

Benutzer mit geringem Risiko

Klicken Sie auf das Kontrollkästchen, um Details zu den Benutzern mit geringem Risiko anzuzeigen, z. B. Risikobewertung, Score-Änderung, Trend der Score-Änderung, zuletzt ausgelöste Risikoindikator und die Arten von Risikoindikatoren.

Weitere Informationen: Riskante Benutzer

Benutzerdetails mit geringem Risiko

Benutzer in Watchlist

Liste der Benutzer, die genau auf potenzielle Bedrohungen überwacht werden. Beispielsweise können Sie Benutzer überwachen, die keine Vollzeitmitarbeiter in Ihrer Organisation sind, indem Sie diese Benutzer zur Beobachtungsliste hinzufügen, oder Sie können Benutzer überwachen, die häufig einen bestimmten Risikoindikator auslösen.

Sie können entweder einen Benutzer manuell zur Watchlist hinzufügen oder Richtlinien definieren, die beim Auslösen einen Benutzer zur Watchlist hinzufügen. Wenn der Watchlist keine Benutzer hinzugefügt wurden, wird der folgende Bildschirm im Dashboard Benutzer angezeigt.

Keine Benutzer in Watchlists

Wenn Sie der Watchlist Benutzer hinzugefügt haben, können Sie im Dashboard Benutzer die fünf besten Benutzer in der Watchlist nach der höchsten Punktzahl sortiert anzeigen. Sie können auch die Score-Änderungsdaten und den Trend der Score-Änderung anzeigen.

Klicken Sie auf das Feld Benutzer in Watchlist oder auf den Link Mehr anzeigen im Bereich Benutzer in Watchlist, um die Liste aller Benutzer anzuzeigen, die zur Beobachtungsliste hinzugefügt wurden.

Weitere Informationen: Beobachtungsliste

Benutzer Dashboard-Benutzer in Watchlist

Privilegierte Benutzer

Angesichts des legitimen Zugriffs auf sensible Daten und Systemeinstellungen sind bösartige Aktionen privilegierter Benutzer oft nicht von ihrer täglichen Aktivität zu unterscheiden. Daher bleiben die Aktionen privilegierter Benutzer für eine lange Zeit unentdeckt. Solche Maßnahmen setzen Organisationen einer Vielzahl von Risiken aus. Um diese Herausforderung zu bewältigen, führt Citrix Analytics die privilegierte Benutzerüberwachungsfunktion ein. Diese Funktion ermöglicht es Ihnen, die Verhaltensanomalien von privilegierten Benutzern genau zu überwachen.

Im Dashboard Benutzer können Sie die fünf besten privilegierten Benutzer anzeigen, die auf der Grundlage der höchsten Punktzahl sortiert sind.

Benutzer-Dashboard privilegierte Benutzer

Klicken Sie oben auf den Link Privilegierte Benutzer oder im Bereich Privilegierte Benutzer auf den Link Weitere anzeigen. Sie können die Seite Benutzer anzeigen, auf der privilegierte Benutzer angezeigt werden, deren Administratoren und Führungskräfte im Bereich Filter ausgewählt sind, sowie die neuesten Risikoindikatordetails enthalten. Privilegierte Benutzer werden mit einem Symbol in der Spalte USER dargestellt. Sie können Daten für die letzten 1 Stunde, 12 Stunden, 1 Tag, 1 Woche oder 1 Monat anzeigen.

Benutzer-Dashboard privilegierte Benutzer

Citrix Analytics unterstützt die folgenden Typen von privilegierten Benutzern:

  • Administratoren. Benutzer, die über Administratorrechte für ein Produkt oder eine Dienstleistung verfügen. Wenn die Berechtigung eines Benutzers im Content Collaboration Service auf Admin erhöht wird, werden diese Informationen auf der Seite Benutzer zur Verfügung gestellt. Citrix Analytics hilft Ihnen, die Aktivitäten seiner Benutzer als Administratoren zu überwachen.

    Betrachten Sie den Benutzer Maria Brown, dem Administratorrechte im Content Collaboration Service zugewiesen wurden. Maria beginnt, Dateien und Ordner zu löschen und löst den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannt hat. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, diesen Risikoindikator mit Informationen zu vergleichen, die auf der Seite Benutzer verfügbar sind. Sie können feststellen, ob der Risikoindikator ausgelöst wurde, nachdem dem Benutzer Administratorrechte in der Content Collaboration zugewiesen wurden. In diesem Fall können Sie geeignete Aktionen für das Profil des privilegierten Benutzers ergreifen.

  • Führungskräfte. Benutzer, vorzugsweise von der obersten Verwaltung in Ihrer Organisation. Wenn Sie eine Active Directory Benutzergruppe (AD) als Führungsgruppe markieren, werden alle Benutzer in dieser Gruppe von Citrix Analytics als privilegierte Benutzer verwendet. Es überwacht sogar die Aktivitäten dieser Benutzer als Führungskräfte. Weitere Informationen finden Sie unter Eine AD-Gruppe als Führungsgruppe markieren und Entfernen einer AD-Gruppe als Führungsgruppe.

    Betrachten Sie die AD-Benutzergruppe Domänen-Admins, die als Führungsgruppe markiert ist. Ein Benutzer beginnt mit dem Löschen von Dateien und Ordnern übermäßig und löst den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannt hat. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, den Risikoindikator mit Informationen zu vergleichen, die auf der Seite Benutzer oder Benutzergruppen verfügbar sind. Nachdem Sie die Informationen verglichen haben, können Sie feststellen, ob der Risikoindikator ausgelöst wurde, nachdem die AD-Gruppe als Führungsgruppe markiert wurde. In diesem Fall können Sie geeignete Aktionen für das Profil des privilegierten Benutzers ergreifen.

    Benutzer Dashboard-Benutzer in Watchlist

Die Seite mit privilegierten Benutzergruppen enthält eine Liste der privilegierten Mitglieder, des Arbeitsorts und der Organisation.

Benutzer Dashboard-Benutzer in Watchlist

Eine AD-Gruppe als Führungsgruppe markieren

  1. Navigieren Sie zu Einstellungen > Benutzergruppen.

  2. Wählen Sie den Namen der Benutzergruppe aus, die als Führungsgruppe markiert werden soll.

  3. Wählen Sie unter Aktionen die Option Als Führungsgruppe markieren aus.

Entfernen einer AD-Gruppe als Führungsgruppe

  1. Navigieren Sie zu Einstellungen > Benutzergruppen.

  2. Wählen Sie den Namen der Benutzergruppe aus, die als Führungsgruppe entfernt werden soll.

  3. Wählen Sie unter Aktionen die Option Als Führungsgruppe entfernen aus.

Risikoindikatoren

Fasst die fünf wichtigsten Standard- und benutzerdefinierten Risikoindikatoren für einen Benutzer zusammen. Bei Standardrisikoindikatoren sammelt Citrix Analytics Daten aus aktivierten Datenquellen.

Bei benutzerdefinierten Risikoindikatoren sammelt Citrix Analytics Daten aus den folgenden Datenquellen auf der Grundlage der generierten risikoreichen Ereignisse:

  • Citrix Zugriffssteuerung
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

Sie können die fünf wichtigsten Risikoindikatoren anzeigen und sie sogar anhand von Gesamtvorkommen, Änderungen von Vorkommen oder Schweregrad sortieren.

Risikoindikatoren Dashboard

Wenn Sie im Dashboard Risikoindikatoren auf Mehr sehen klicken, werden Sie zur Seite Übersicht über Risikoindikatoren weitergeleitet.

Die Seite Risikoindikatorübersicht enthält Einblicke in die Standard- und die benutzerdefinierten Risikoindikatoren für die entsprechende Datenquelle. Im oberen Bereich werden die Vorkommen des Risikoindikators basierend auf dem Schweregrad zusammengefasst. Die Tabelle bietet eine detaillierte Ansicht aller Standard- und benutzerdefinierten Risikoindikatoren für einen ausgewählten Zeitraum. Wenn Sie einen Risikoindikator auswählen, werden Sie zur Seite Risikoindikatordetails weitergeleitet. Alternativ können Sie im Dashboard Risikoindikatoren einen Risikoindikator auswählen, um die Seite Details zu Risikoindikatoren anzuzeigen.

Risikoindikator Übersicht

Auf der Seite Risikoindikator-Details werden die Gesamtereignisse eines Risikoindikators zusammengefasst. Es enthält auch Details zum Zeitpunkt des Ereignisses, Benutzernamen und Ereignisdetails.

Um die Details des Risikoindikators anzuzeigen, klicken Sie in der Spalte EVENT DETAILS auf Anzeigen . Sie werden zu diesem Risikoindikator in der Risikozeitleiste des Benutzers umgeleitet. In der Zeitleiste des Nutzerrisikos werden die für einen ausgewählten Zeitraum generierten Risikoindikatoren angezeigt.

Risikoindikator Übersicht

Hinweise zu den standardmäßigen Benutzerrisikoindikatoren finden Sie unterCitrix Benutzerrisikoindikatoren. Hinweise zu benutzerdefinierten Risikoindikatoren finden Sie unter Benutzerdefinierte Risikoindikatoren.

Zugriffsübersicht

Dieses Dashboard fasst alle Gateway-Zugriffsereignisse zusammen. Die Grafik zeigt die Anzahl der Zugriffsereignisse für einen ausgewählten Zeitraum an.

Wenn Sie die Zeiger im Diagramm auswählen, werden Sie auf dieSelf-Service-Suche nach GatewaySeite umgeleitet. Bei erfolgreichen Anmeldeszenarien werden die Daten nach dem Statuscode auf der Seite Self-Service-Suche nach Gateway sortiert.

Zugriffszusammenfassungsdashboard

Richtlinien und Aktionen

Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die auf Benutzerprofile angewendet werden. Klicken Sie im Bereich **Richtlinien und Aktionen auf den Link Weitere** Informationen zu den Richtlinien und Aktionen.

Richtlinien- und Aktionen-Dashboard

Top Richtlinien

Die fünf besten konfigurierten Richtlinien, die basierend auf der Anzahl der Vorkommen bestimmt werden. Wenn Sie sich im Abschnitt Top Richtlinien des Dashboards befinden und Mehr anzeigen auswählen, werden Sie zur Seite Alle Richtlinien weitergeleitet.

Richtlinien- und Aktionen-Dashboard

Alle Richtlinien

Diese Seite enthält detaillierte Informationen zu allen konfigurierten Richtlinien. Wenn Sie eine Richtlinie auswählen, werden Sie zurSelf-Service-Suche nach RichtlinienSeite weitergeleitet. Im linken Bereich können Sie anhand der angewendeten Aktionen filtern.

Wenn Sie einen Benutzernamen auswählen, werden Sie zur Risikozeitleiste umgeleitet. Die richtlinienbasierte Aktion wird der Risikozeitleiste des Benutzers hinzugefügt. Wenn Sie die Aktion auswählen, werden die Details im rechten Fensterbereich des Risikozeitplans angezeigt.

Top Aktionen

Die fünf wichtigsten Aktionen, die auf Benutzerprofilen ausgeführt wurden. Die obersten Aktionen werden anhand der Anzahl der Vorkommen ermittelt. Wenn Sie sich im Abschnitt Top Aktionen des Dashboards befinden und Mehr anzeigen auswählen, werden Sie zur Seite Aktionen weitergeleitet.

Richtlinien- und Aktionen-Dashboard

Aktionen

Diese Seite enthält detaillierte Informationen zu jeder angewendeten Aktion, betroffenen Benutzer, Vorkommen, Richtlinien und zum Zeitpunkt des Aktionsereignisses. Wenn Sie eine Aktion auswählen, werden Sie zur Seite Alle Richtlinien umgeleitet, wobei die Daten basierend auf der angegebenen Aktion im linken Fensterbereich sortiert werden. Wenn Sie beispielsweise auf der Seite Aktionen die Option Benutzerantwort anfordern auswählen, werden Sie zur Seite Alle Richtlinien umgeleitet, auf der alle konfigurierten Richtlinien angezeigt werden, die mit der Aktion Benutzerantwort anfordern verknüpft sind.

Richtlinien- und Aktionen-Dashboard

Risiko-Kategorien

Dieses Dashboard bietet eine aggregierte Ansicht des Risikorisikos einer Organisation. Risikoindikatoren werden auf der Grundlage der ähnlichen Risiken in bekannte Kategorien gruppiert. Die Risikokategorisierung wird für Standard- und benutzerdefinierte Risikoindikatoren unterstützt.

Dashboard für Risikokategorien

Mit dem Dashboard Risikokategorien können Citrix Virtual Apps and Desktops s-Administratoren Benutzerrisiken verwalten und Gespräche mit ihren Sicherheitspartnern vereinfachen, ohne dass Sie über ein Expertenwissen verfügen müssen. Die Sicherheitsdurchsetzung kann auf organisatorischer Ebene wirksam werden und ist nicht nur auf Sicherheitsadministratoren beschränkt.

Anwendungsfall

Bedenken Sie, dass Sie Citrix Virtual Apps and Desktops s-Administrator sind und die Anwendungszugriffsrechte von Mitarbeitern in Ihrer Organisation verwalten. Wenn Sie zum Abschnitt Risikokategorien > Gefährdete Benutzer > Übermäßige Authentifizierungsfehler — Citrix Gateway Risikoindikator wechseln, können Sie beurteilen, ob die Mitarbeiter, denen Sie Zugriff gewährt haben, gefährdet wurden. Wenn Sie weiter navigieren, erhalten Sie genauere Einblicke in diesen Risikoindikator, z. B. die Fehlergründe, die Anmeldestandorte, die Zeitachsendetails und die Benutzerzusammenfassung. Wenn Sie Abweichungen zwischen den Benutzern, denen der Zugriff gewährt wurde, und den Benutzern, die kompromittiert wurden, feststellen, können Sie den Sicherheitsadministrator darüber informieren. Diese rechtzeitige Benachrichtigung an den Sicherheitsadministrator trägt zur Durchsetzung der Sicherheit auf organisatorischer Ebene bei.

Anwendungsfall Risikokategorien

Wie analysiert man das Dashboard “Risikokategorien”?

Wenn Sie im Dashboard Risikokategorien die Option Mehr anzeigen auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu den Risikokategorien zusammengefasst werden. Diese Seite enthält folgende Details:

  • Risikokategorienbericht: Stellt die Gesamtrisikoindikatorvorkommen jeder Kategorie für einen ausgewählten Zeitraum dar.

    Seite "Risikokategorien"

  • Zeitleistendetails: Bietet eine grafische Darstellung der Gesamtrisikoindikatorvorkommen jeder Risikokategorie für einen ausgewählten Zeitraum. Wenn Sie zum Ende dieses Abschnitts navigieren, können Sie nach Risikokategorien sortieren, um genauere Einblicke in die Risikoindikatoren zu erhalten.

    Seite "Risikokategorien"

  • Zusammenfassung der Risikokategorie: Dieser Abschnitt enthält Details wie Auswirkungen, Vorkommen und Schweregrad der Risikoindikatoren, die jeder Kategorie zugeordnet sind. Wählen Sie eine beliebige Risikokategorie aus, um Details zu den Risikoindikatoren anzuzeigen, die mit dieser Kategorie verknüpft sind. Wenn Sie beispielsweise die Kategorie Kompromittierte Benutzer auswählen, werden Sie zur Seite Kompromittierte Benutzer weitergeleitet.

    Seite "Risikokategorien"

Auf der Seite Gefährdete Benutzer werden die folgenden Details angezeigt:

  • Risikoindikatorbericht: Zeigt die Risikoindikatoren an, die für einen ausgewählten Zeitraum zur Kategorie “Gefährdete Benutzer” gehören. Außerdem werden die Gesamtereignisse der Risikoindikatoren angezeigt, die während des ausgewählten Zeitraums ausgelöst wurden.

    Seite "Gefährdete Benutzer"

  • Zeitleistendetails: Bietet eine grafische Darstellung der Risikoindikatorvorkommen für einen ausgewählten Zeitraum.

    Seite "Gefährdete Benutzer"

  • Übersicht über Risikoindikatoren: Zeigt eine Zusammenfassung der Risikoindikatoren an, die unter der Kategorie “gefährdete Benutzer” generiert wurden. In diesem Abschnitt werden außerdem der Schweregrad, die Datenquelle, der Risikoindikatortyp, die Vorkommen und das letzte Vorkommen angezeigt.

    Seite "Gefährdete Benutzer"

Wenn Sie einen Risikoindikator auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst werden. Wenn Sie beispielsweise die Anzeige Erster Zugriff von neuem Geräterisiko auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst werden. Die Zusammenfassung enthält Zeitachsendetails zu den Vorkommen dieses Ereignisses und eine Benutzerzusammenfassung, in der die Benutzer aufgelistet sind, die diesen Risikoindikator ausgelöst haben, Risikoindikatorvorkommen und die Uhrzeit des Ereignisses. Wenn Sie einen Benutzer auswählen, werden Sie zur Risikozeitleiste des Benutzers weitergeleitet.

Seite "Gefährdete Benutzer"

Hinweis:

Citrix Analytics gruppiert Standardrisikoindikatoren unter der entsprechenden Risikokategorie. Für benutzerdefinierte Risikoindikatoren müssen Sie auf der Seite Indikator erstellen eine Risikokategorie auswählen. Weitere Informationen finden Sie unter Benutzerdefinierte Risikoindikatoren.

Arten von Risikokategorien

Datenexfiltration

In dieser Kategorie werden Risikoindikatoren gruppiert, die von Malware oder Mitarbeitern ausgelöst werden, die nicht autorisierte Datenübertragungen oder Datendiebstähle an oder von einem Gerät in einer Organisation durchführen. Sie können Einblicke in alle Datenexfiltrationsaktivitäten erhalten, die während eines bestimmten Zeitraums durchgeführt wurden, und Risiken, die mit dieser Kategorie verbunden sind, minimieren, indem Sie Aktionen proaktiv auf Benutzerprofile anwenden.

In der Kategorie Datenexfiltrationsrisiko werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Potenzielle Datenexfiltration
Citrix Content Collaboration Übermäßiger Zugriff auf vertrauliche Dateien
Citrix Content Collaboration Übermäßige Dateifreigabe
Citrix Zugriffssteuerung Ungewöhnliches Upload-Volumen

Insider-Bedrohungen

Diese Kategorie gruppiert Risikoindikatoren, die von Mitarbeitern innerhalb einer Organisation ausgelöst werden. Da Mitarbeiter einen höheren Zugriff auf unternehmensspezifische Anwendungen haben, haben Unternehmen höhere Chancen auf Sicherheitsrisiken. Riskante Aktivitäten können absichtlich von einem böswilligen Insider verursacht werden oder das Ergebnis eines menschlichen Fehlers sein. In einem der Szenarien sind die Auswirkungen auf die Sicherheit auf die Organisation schädlich. Diese Kategorie bietet Einblicke in alle Insider-Bedrohungsaktivitäten, die während eines bestimmten Zeitraums stattgefunden haben. Mit Hilfe dieser Erkenntnisse können Sie Risiken im Zusammenhang mit dieser Kategorie mindern, indem Sie Aktionen proaktiv auf Benutzerprofile anwenden.

In der Risikokategorie Insider-Bedrohungen werden folgende Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Ungewöhnliche Zeit des Anwendungszugriffs (virtuell)
Citrix Virtual Apps and Desktops Ungewöhnliche Zeit des Anwendungszugriffs (SaaS)
Citrix Content Collaboration Übermäßige Datei- oder Ordnerlöschung
Citrix Content Collaboration Übermäßige Datei-Uploads
Citrix Zugriffssteuerung Übermäßiger Datendownload
Citrix Zugriffssteuerung Versuch, auf die URL der schwarzen Liste zuzugreifen
Citrix Zugriffssteuerung Riskante Website-Zugriff

Kompromittierte Benutzer

In dieser Kategorie werden Risikoindikatoren gruppiert, in denen Benutzer ungewöhnliche Verhaltensmuster wie verdächtige Anmeldungen oder Anmeldefehler anzeigen. Alternativ können die ungewöhnlichen Muster dazu führen, dass die Benutzerkonten kompromittiert werden. Sie erhalten Einblicke in alle kompromittierten Benutzerereignisse, die während eines bestimmten Zeitraums stattgefunden haben, und minimieren die mit dieser Kategorie verbundenen Risiken, indem Sie Aktionen proaktiv auf Benutzerprofile anwenden.

In der Risikokategorie “Gefährdete Benutzer” werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Erster Zugriff von neuem Gerät
Citrix Content Collaboration Erster Zugriff von neuem Standort
Citrix Content Collaboration Übermäßige Authentifizierungsfehler
Citrix Content Collaboration Ransomware-Aktivität verdächtigt
Citrix Content Collaboration Übermäßige Dateidownloads
Citrix Gateway Anmeldung von verdächtiger IP
Citrix Gateway Übermäßige Authentifizierungsfehler
Citrix Gateway Übermäßige Autorisierungsfehler
Citrix Gateway Erster Zugriff von neuem Standort
Microsoft Graph Security Risikoindikatoren für Azure AD Identitätsschutz
Microsoft Graph Security Windows Defender ATP-Risikoindikatoren

Beeinträchtigte Endpunkte

In dieser Kategorie werden Risikoindikatoren gruppiert, die ausgelöst werden, wenn Geräte unsicheres Verhalten aufweisen, das auf einen Kompromiss hindeutet.

In der Risikokategorie “Gefährdete Endpunkte” werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Zugriff von Gerät mit nicht unterstütztem Betriebssystem
Citrix Gateway Endpunktanalyse (EPA) -Scanfehler
Citrix Endpoint Management Nicht verwaltetes Gerät erkannt
Citrix Endpoint Management Mit Jailbreak oder Rooting Gerät erkannt
Citrix Endpoint Management Gerät mit Apps auf der schwarzen Liste erkannt