Citrix Analytics für Sicherheit

Benutzer-Dashboard

Das Benutzer-Dashboard ist der Ausgangspunkt für die Analyse von Benutzerverhalten und Bedrohungsschutz.

Dieses Dashboard bietet Einblick in Benutzerverhaltensmuster in einer Organisation. Mithilfe dieser Daten können Sie proaktiv Verhalten überwachen, erkennen und kennzeichnen, die außerhalb der Norm liegen, wie Phishing- oder Ransomware-Angriffe.

Das Dashboard Benutzer enthält die folgenden Abschnitte:

  • Entdeckte Benutzer. Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben.

  • Riskante Benutzer. Benutzer, die riskant gehandelt haben oder riskantes Verhalten dargestellt haben. Liste der riskanten Benutzer, die die höchste Risikobewertung und Risikoindikatorvorkommen haben, die mit ihrem Konto verbunden sind.

  • Benutzer mit hohem Risiko. Benutzer, die eine unmittelbare Bedrohung für das Unternehmen darstellen.

  • Benutzer mit mittlerem Risiko. Benutzer, die möglicherweise mehrere schwerwiegende Verstöße auf ihrem Konto haben und genau überwacht werden müssen.

  • Benutzer mit geringem Risiko. Benutzer, die einige Verstöße auf ihrem Konto erkannt haben, aber potenziell keine Bedrohung.

  • Benutzer in Watchlist. Benutzer, die von Administratoren genau überwacht werden.

  • Privilegierte Benutzer. Benutzer, die vertrauliche Daten anzeigen und kritische Systemeinstellungen in einer Organisation ändern können.

  • Risikoindikatoren. Zeigt die fünf wichtigsten Risikoindikatoren in Ihrem Unternehmen an.

  • Zugriffsübersicht. Fasst die Gesamtzahl der Versuche zusammen, die Benutzer unternommen haben, auf die Ressourcen in Ihrer Organisation zuzugreifen.

  • Richtlinien und Aktionen. Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die auf Benutzerprofile angewendet werden.

  • Risiko-Kategorien. Zeigt die von Citrix Analytics unterstützten Risikokategorien an. Risikoindikatoren mit ähnlichen Verhaltensmustern werden in die Kategorien gruppiert.

Entdeckte Benutzer

Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben. Sie haben möglicherweise eine Risikobewertung mit ihrem Konto verknüpft. Es ist möglich, dass die Anzahl der erkannten Benutzer im Dashboard Benutzer größer ist als die Anzahl der riskanten Benutzer.

Klicken Sie im Dashboard auf den Link Entdeckte Benutzer, um die Seite “ Benutzer “ anzuzeigen, auf der eine vollständige Liste der von Citrix Analytics erkannten Benutzer angezeigt wird. Auf der Seite “ Benutzer “ werden auch die Datenquellen, die Risikobewertungen und die Anzahl der Risikoindikatorvorkommen angezeigt, die mit den erkannten Benutzern verknüpft sind.

Entdeckte Benutzer

Hinweis

Auf dem Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der erkannten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Wenn Sie einen Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Verwenden Sie die folgende Schnittstellenkarte, um zu erfahren, wie Sie mit der Seite “ Benutzer “ interagieren

Abschnitt "Ermittelte Benutzer"

Sehen Sie sich die folgenden Informationen an:

Facetten

Filtern Sie die Benutzerereignisse anhand der folgenden Kategorien:

  • Risikobewertung: Benutzerereignisse basierend auf hohen Risiko-, mittleren Risikon- und niedrigen Risikobewertungen.

  • Benutzer: Benutzerereignisse basierend auf Administratorrechten, Executive-Privilegien und Watchlist-Benutzern.

  • Erkannte Datenquellen: Benutzerereignisse basierend auf der Datenquelle, die Sie einbezogen haben.

Suchfeld

Verwenden Sie das Suchfeld, um nach Ereignissen für die Benutzer zu suchen. Sie können Operatoren in Ihrer Abfrage verwenden, um den Fokus Ihrer Suche einzuschränken. Informationen zu den gültigen Operatoren, die Sie in Ihrer Abfrage verwenden können, finden Sie unter Self-Service-Suche.

Ergebnis

Die Risikobewertung bestimmt das Risiko, das ein Benutzer für einen bestimmten Zeitraum für eine Organisation darstellt. Der Risikobewertung ist dynamisch und variiert je nach Analyse des Benutzerverhaltens. Basierend auf der Risikobewertung kann ein Benutzer in eine der drei Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko oder Benutzer mit geringem Risiko.

Benutzer

Liste aller von Analytics entdeckten Benutzer. Wählen Sie einen Benutzernamen aus, um die Benutzerinformationen und die Risikozeitleiste für den Benutzer anzuzeigen. Möglicherweise hat der Benutzer einen Risikoindikator ausgelöst. Wenn diesem Benutzer keine riskanten Ereignisse zugeordnet sind, wird die folgende Meldung angezeigt.

Kein riskantes Ereignis

Wenn mit einem Benutzer gefährliche Ereignisse verbunden sind, sehen Sie die Risikoindikatoren auf seiner Risikozeitleiste. Wählen Sie den Benutzer aus, der Sie anzeigen möchten Zeitplan für Risiken.

Ein Benutzer kann als gekennzeichnet privilegierte und dem hinzugefügt werden watchlist.

Auftreten von Risikoindikatoren

Die Häufigkeit, mit der ein Risikoindikator für einen Benutzer ausgelöst wird. Ein Risikoindikator kann Standard oder sein Benutzerdefiniert. Wenn Sie den Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Entdeckte Datenquelle

Die mit einem Benutzer verknüpfte Datenquelle. Wenn ein Benutzer die Datenquelle aktiv nutzt, erhält Analytics die Benutzerereignisse aus dieser Datenquelle. Um Benutzerereignisse zu erhalten, müssen Sie die Datenverarbeitung auf der Datenquellen-Sitekarte aktivieren, die auf der Seite Datenquellen verfügbar ist.

Riskante Benutzer

Riskante Benutzer sind entdeckte Benutzer, die riskante Ereignisse zugeordnet haben und mindestens einen Risikoindikator ausgelöst haben. Das Risiko, das ein Benutzer für einen bestimmten Zeitraum für das Netzwerk darstellt, wird durch die dem Benutzer zugeordnete Risikobewertung bestimmt. Der Risiko-Score-Wert ist dynamisch und basiert auf der Analyse des Nutzerverhaltens. Basierend auf der Risikobewertung kann ein riskant Benutzer in eine der drei Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko oder Benutzer mit geringem Risiko.

Im Bereich “ Riskante Benutzer “ können Sie die fünf wichtigsten riskanten Benutzer basierend auf der höchsten Punktzahl oder dem höchsten Risikoindikator sortieren.

  • Wählen Sie Höchster Punktestand aus, um die fünf riskanten Benutzer basierend auf dem höchsten Risikowert anzuzeigen.

  • Wählen Sie Risikoindikator aus, um die fünf wichtigsten Risikoindikatoren mit den maximalen Vorkommen anzuzeigen.

Riskante Benutzerverknüpfung

Klicken Sie oben auf den Link Riskante Benutzer oder im Bereich Riskante Benutzer auf den Link Mehr anzeigen, um die Seite Benutzer anzuzeigen. Auf dieser Seite werden alle riskanten Benutzer und ihre Risikoindikatoren angezeigt. Sie können die Facetten und die Suchleiste verwenden, um die Ereignisse nach Ihren Anforderungen zu filtern.

Hinweis

Auf dem Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der riskanten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Wenn Sie einen Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Riskantes Benutzer-Dashboard

Benutzer mit hohem Risiko

Benutzer mit Risikobewertung zwischen 90 und 100. Diese Benutzer stellen unmittelbare Bedrohungen für die Organisation dar.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit hohem Risiko für die letzten 13 Monate anzeigen. Das folgende Bild zeigt beispielsweise fünf Benutzer mit hohem Risiko in den letzten 13 Monaten.

Benutzer mit hohem Risiko

Klicken Sie auf das Feld, um die Seite “ Benutzer “ anzuzeigen, auf der die Details zu den Benutzern mit hohem Risiko angezeigt werden, z. B. die Risikobewertung, das Auftreten von Risikoindikatoren und ihren Datenquellen. Wenn Sie den Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Weitere Informationen: Riskante Benutzer

Benutzer mit mittlerem Risiko

Benutzer mit Risikobewertung zwischen 70 und 89. Diese Benutzer haben möglicherweise mehrere schwerwiegende Verstöße auf ihrem Konto und müssen genau überwacht werden.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit mittlerem Risiko für die letzten 13 Monate anzeigen. Das folgende Bild zeigt beispielsweise acht Benutzer mit mittlerem Risiko in den letzten 13 Monaten.

Benutzer mit mittlerem Risiko

Klicken Sie auf das Feld, um die Seite Benutzer anzuzeigen, auf der die Details zu den Benutzern mit mittlerem Risiko wie Risikobewertung, Vorkommen von Risikoindikatoren und ihren Datenquellen angezeigt werden. Wenn Sie den Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Weitere Informationen: Riskante Benutzer

Benutzer mit geringem Risiko

Benutzer mit Risikobewertung zwischen 1 und 69. Diese Benutzer können einige Verstöße auf ihrem Konto erkennen. Sie können auch Benutzer einschließen, die zuvor Benutzer mit hohem oder mittlerem Risiko waren. Diese Benutzer wurden über einen vorher festgelegten Zeitraum neu bewertet.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit geringem Risiko für die letzten 13 Monate anzeigen. Das folgende Bild zeigt beispielsweise 147 Benutzer mit geringem Risiko in den letzten 13 Monaten.

Benutzer mit geringem Risiko

Klicken Sie auf das Feld, um die Seite “ Benutzer “ anzuzeigen, auf der die Benutzer mit geringem Risiko angezeigt werden, z. B. die Risikobewertung, das Auftreten von Risikoindikatoren und deren Datenquellen. Wenn Sie den Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Weitere Informationen: Riskante Benutzer

Benutzer in Watchlist

Liste der Benutzer, die genau auf potenzielle Bedrohungen überwacht werden. Sie können beispielsweise Benutzer überwachen, die keine Vollzeitmitarbeiter in Ihrem Unternehmen sind, indem Sie diese Benutzer zur Beobachtungsliste hinzufügen. Sie können auch Benutzer überwachen, die häufig einen bestimmten Risikoindikator auslösen. Sie fügen entweder einen Benutzer manuell zur Watchlist hinzu oder definieren Richtlinien, dass Benutzer zur Beobachtungsliste hinzugefügt werden sollen.

Wenn der Watchlist keine Benutzer hinzugefügt wurden, wird der folgende Bildschirm im Dashboard Benutzer angezeigt.

Keine Benutzer in Watchlists

Wenn Sie Benutzer zur Beobachtungsliste hinzugefügt haben, können Sie im Dashboard “ Benutzer “ die fünf besten Benutzer in der Beobachtungsliste basierend auf der höchsten Punktzahl anzeigen.

Benutzer Dashboard-Benutzer in Watchlist

Klicken Sie auf das Feld Benutzer in Watchlist oder den Link Mehr anzeigen im Bereich Benutzer in Watchlist, um die Seite Benutzer anzuzeigen, auf der die Liste aller Benutzer in der Watchlist angezeigt wird.

Hinweis

Auf dem Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der Benutzer in der Beobachtungsliste unabhängig vom ausgewählten Zeitraum für die letzten 13 Monate angezeigt. Wenn Sie einen Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Weitere Informationen: Beobachtungsliste

Privilegierte Benutzer

Privilegierte Benutzer sind die Mitarbeiter, die legitimen Zugriff auf sensible Daten und Systemeinstellungen in einer Organisation haben. Aufgrund ihrer privilegierten Rechte sind die böswilligen Handlungen privilegierter Benutzer oft nicht von ihren alltäglichen Aktivitäten zu unterscheiden. Daher bleiben die Aktionen privilegierter Benutzer lange Zeit unentdeckt. Solche Maßnahmen setzen Organisationen einer Vielzahl von Risiken aus. Um diese Herausforderung zu meistern, bietet Citrix Analytics die privilegierte Benutzerüberwachung. Mit dieser Funktion können Sie die Verhaltensanomalien privilegierter Benutzer in Ihrem Unternehmen genau überwachen.

Im Benutzer-Dashboard können Sie die fünf privilegierten Benutzer basierend auf der höchsten Risikobewertung anzeigen. Die privilegierten Benutzer werden als Administratoren und Führungskräfte eingestuft.

  • Administratoren. Benutzer, die über Administratorrechte für ein Produkt oder eine Dienstleistung verfügen. Wenn beispielsweise die Berechtigung eines Benutzers im Content Collaboration Service auf den Administrator erhöht wird, werden diese Informationen auf der Seite Benutzer angezeigt. Sie können dann die Aktivitäten der Administratorbenutzer überwachen.

    Betrachten Sie den Benutzer Maria Brown, dem Administratorrechte im Content Collaboration Service zugewiesen wurden. Maria beginnt, Dateien und Ordner zu löschen und löst den maschinellen Lernalgorithmus aus, der ungewöhnliches Verhalten erkannt hat. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, diesen Risikoindikator mit Informationen zu vergleichen, die auf der Seite Benutzer verfügbar sind. Sie können entscheiden, ob der Risikoindikator ausgelöst wurde, nachdem dem Benutzer Administratorrechte in Content Collaboration zugewiesen wurden. Wenn ja, können Sie geeignete Maßnahmen für das Profil des privilegierten Nutzers ergreifen.

  • Führungskräfte. Benutzer, vorzugsweise von der obersten Verwaltung in Ihrer Organisation. Auf der Seite “ Benutzer “ können Sie Benutzer als Executive-Benutzer hinzufügen oder entfernen. Anweisungen finden Sie in den Abschnitten Als privilegierten Benutzer hinzufügen und Als privilegierten Benutzer entfernen.

    Stellen Sie sich ein Szenario vor, in dem Sie einen Benutzer als privilegierten Benutzer hinzugefügt haben. Der Benutzer beginnt mit dem Löschen von Dateien und Ordnern und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risiko-Indikator für Übermäßige Datei- oder Ordnerlöschung wird der Risiko-Zeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, den Risikoindikator mit Informationen auf der Seite Benutzer zu vergleichen. Wenn Sie die Informationen vergleichen, können Sie feststellen, ob der Risikoindikator ausgelöst wurde, nachdem der Benutzer als Executive User markiert wurde. Wenn ja, können Sie entsprechende Maßnahmen für das Benutzerprofil ergreifen.

Benutzer-Dashboard privilegierte Benutzer

Klicken Sie oben auf den Link Privilegierte Benutzer oder den Link Mehr anzeigen im Bereich “ Privilegierte Benutzer “, um die Seite “ Benutzer “ anzuzeigen, auf der privilegierte Benutzer mit Administratoren und Führungskräften zusammen mit den neuesten Risikoindikatordetails angezeigt werden. Privilegierte Benutzer werden mit einem Symbol in der Spalte USER dargestellt.

Hinweis

Auf dem Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der privilegierten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Wenn Sie einen Zeitraum auswählen, ändert sich das Vorkommen des Risikoindikators basierend auf der Zeitauswahl.

Als privilegierter Benutzer hinzufügen

  1. Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer hinzufügen möchten.

  2. Klicken Sie auf Privilegiert mark

Privilegierte Benutzer

Als privilegierter Benutzer entfernen

  1. Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer entfernen möchten.

  2. Klicken Sie auf Von Privileged entfernen.

Privilegierte Benutzer

Risikoindikatoren

Fasst die fünf wichtigsten Risikoindikatoren für einen ausgewählten Zeitraum zusammen. Die Risikoindikatoren können Standard oder sein Benutzerdefiniert. Für Standardrisikoindikatoren sammelt Citrix Analytics Daten aus den erkannten Datenquellen und auf denen die Datenverarbeitung aktiviert ist.

Bei benutzerdefinierten Risikoindikatoren sammelt Citrix Analytics Daten aus den folgenden Datenquellen auf der Grundlage der generierten risikoreichen Ereignisse:

  • Citrix Zugriffssteuerung
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Im Bereich Risikoindikatoren können Sie die fünf wichtigsten Risikoindikatoren anzeigen und sie nach Gesamtvorkommen oder Schweregrad sortieren.

Risikoindikatoren Dashboard

Klicken Sie im Bereich Risikoindikatoren auf Mehr anzeigen, um die Seite Risikoindikatorübersicht anzuzeigen.

Die Seite Risikoindikatorübersicht bietet Einblicke in den Standardwert und die benutzerdefinierten Risikoindikatoren. Wählen Sie den Zeitraum aus, in dem die Risikoindikatoren und deren Vorkommen angezeigt werden sollen.

Risikoindikator Übersicht

Klicken Sie auf einen Risikoindikator in der Spalte NAME, um Details zum Risikoindikator wie Zeitachsenansicht, Benutzer, Vorkommen und ausgelöste Zeit anzuzeigen. Alternativ können Sie auf einen Risikoindikator im Dashboard für Risikoindikatoren klicken, um dessen Details anzuzeigen. Die folgende Abbildung zeigt die Details für übermäßigen Zugriff auf sensible Dateien (DLP-Warnung).

Details DLP-Warnung

Zugriffsübersicht

Dieses Dashboard fasst alle Gateway-Zugriffsereignisse für einen ausgewählten Zeitraum zusammen. Es zeigt die Anzahl des Gesamtzugriffs, des erfolgreichen Zugriffs und des fehlgeschlagenen Zugriffs über Citrix Gateway

Klicken Sie auf die Zeiger im Diagramm, um die Self-Service-Suche nach Gateway Seite anzuzeigen. Für erfolgreiche Anmeldeszenarien werden Gateway-Zugriffsereignisse nach dem Statuscode auf der Seite sortiert.

Zugriffszusammenfassungsdashboard

Richtlinien und Aktionen

Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die für einen ausgewählten Zeitraum auf Benutzerprofile angewendet werden. Klicken Sie im Bereich Richtlinien und Aktionen auf den Link Weitere Informationen zu den Richtlinien und Aktionen.

Richtlinien- und Aktionen-Dashboard

Top Richtlinien

Die fünf am häufigsten konfigurierten Richtlinien werden basierend auf der Anzahl der Vorkommnisse festgelegt. Wenn Sie sich im Abschnitt Top Richtlinien des Dashboards befinden und Mehr anzeigen auswählen, werden Sie zur Seite Alle Richtlinien weitergeleitet.

Richtlinien- und Aktionen-Dashboard

Alle Richtlinien

Diese Seite enthält detaillierte Informationen zu allen konfigurierten Richtlinien. Wenn Sie eine Richtlinie auswählen, werden Sie zurSelf-Service-Suche nach RichtlinienSeite weitergeleitet. Im linken Bereich können Sie anhand der angewendeten Aktionen filtern.

Wenn Sie einen Benutzernamen auswählen, werden Sie zur Risikozeitleiste umgeleitet. Die richtlinienbasierte Aktion wird der Risikozeitleiste des Benutzers hinzugefügt. Wenn Sie die Aktion auswählen, werden die Details im rechten Fensterbereich des Risikozeitplans angezeigt.

Top Aktionen

Die fünf wichtigsten Aktionen, die mit den Richtlinien verknüpft sind, die auf die Benutzerprofile angewendet wurden. In diesem Abschnitt werden die Aktionen nicht angezeigt, die Sie manuell auf die Benutzerprofile angewendet haben. Die Top-Aktionen werden durch die Anzahl der Vorkommen bestimmt.

Klicken Sie auf Mehr anzeigen, um alle richtlinienbasierten Aktionen auf der Seite Aktionen anzuzeigen.

Aktionen

Die Seite enthält eine Liste aller richtlinienbasierten Aktionen, die für den ausgewählten Zeitraum auf Ihre Benutzer angewendet wurden. Sie sehen die folgenden Informationen an:

  • Name der Aktion, die gemäß der Richtlinie angewendet wird

  • Anzahl der Benutzer, auf die die Aktion angewendet wurde

  • Anzahl der Vorkommen der Aktion

  • Anzahl der mit der Aktion verknüpften Richtlinien

  • Datum und Uhrzeit der angewendeten Aktion

Richtlinien- und Aktionen-Dashboard

Klicken Sie auf eine Aktion, um alle zugehörigen Richtlinien anzuzeigen. Diese Richtlinien werden basierend auf der Anzahl der Vorkommen sortiert. Klicken Sie beispielsweise auf der Seite Aktionen auf Benutzerantwort anfordern . Auf der Seite Alle Richtlinien werden alle Richtlinien angezeigt, die mit der Aktion Benutzerantwort anfordern verknüpft sind.

Richtlinien- und Aktionen-Dashboard

Klicken Sie auf der Seite Alle Richtlinien auf eine Richtlinie, um die Benutzerereignisse anzuzeigen, auf die die Aktion angewendet wurde.

Risiko-Kategorien

Dieses Dashboard bietet eine aggregierte Ansicht des Ausgehens der Risikoexponierung einer Organisation für einen ausgewählten Zeitraum. Risikoindikatoren werden auf der Grundlage der ähnlichen Risiken in bekannte Kategorien gruppiert. Die Risikokategorisierung wird für Standard- und benutzerdefinierte Risikoindikatoren unterstützt.

Dashboard für Risikokategorien

Der Zweck des Dashboards “ Risikokategorien “ besteht darin, es Administratoren von Citrix Virtual Apps and Desktops zu ermöglichen, Benutzerrisiken zu verwalten und die Gespräche mit ihren Sicherheitsgegenstücken zu vereinfachen, ohne dass Sicherheitskenntnisse auf Expertenebene erforderlich sind. Die Sicherheitsdurchsetzung kann auf organisatorischer Ebene wirksam werden und ist nicht nur auf Sicherheitsadministratoren beschränkt.

Anwendungsfall

Bedenken Sie, dass Sie Citrix Virtual Apps and Desktops s-Administrator sind und die Anwendungszugriffsrechte von Mitarbeitern in Ihrer Organisation verwalten. Wenn Sie zum Abschnitt Risikokategorien > Gefährdete Benutzer > Übermäßige Authentifizierungsfehler — Citrix Gateway Risikoindikator wechseln, können Sie beurteilen, ob die Mitarbeiter, denen Sie Zugriff gewährt haben, gefährdet wurden. Wenn Sie weiter navigieren, erhalten Sie genauere Einblicke in diesen Risikoindikator, z. B. die Fehlergründe, die Anmeldestandorte, die Zeitachsendetails und die Benutzerzusammenfassung. Wenn Sie Abweichungen zwischen den Benutzern, denen der Zugriff gewährt wurde, und den Benutzern, die kompromittiert wurden, feststellen, können Sie den Sicherheitsadministrator darüber informieren. Diese rechtzeitige Benachrichtigung an den Sicherheitsadministrator trägt zur Durchsetzung der Sicherheit auf organisatorischer Ebene bei.

Anwendungsfall Risikokategorien

Wie analysiert man das Dashboard “Risikokategorien”?

Wenn Sie im Dashboard Risikokategorien die Option Mehr anzeigen auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu den Risikokategorien zusammengefasst werden. Diese Seite enthält folgende Details:

  • Risikokategorienbericht: Stellt die Gesamtrisikoindikatorvorkommen jeder Kategorie für einen ausgewählten Zeitraum dar.

    Seite "Risikokategorien"

  • Zeitleistendetails: Bietet eine grafische Darstellung der Gesamtrisikoindikatorvorkommen jeder Risikokategorie für einen ausgewählten Zeitraum. Wenn Sie zum Ende dieses Abschnitts navigieren, können Sie nach Risikokategorien sortieren, um genauere Einblicke in die Risikoindikatoren zu erhalten.

    Seite "Risikokategorien"

  • Zusammenfassung der Risikokategorie: Dieser Abschnitt enthält Details wie Auswirkungen, Vorkommen und Schweregrad der Risikoindikatoren, die jeder Kategorie zugeordnet sind. Wählen Sie eine beliebige Risikokategorie aus, um Details zu den Risikoindikatoren anzuzeigen, die mit dieser Kategorie verknüpft sind. Wenn Sie beispielsweise die Kategorie Kompromittierte Benutzer auswählen, werden Sie zur Seite Kompromittierte Benutzer weitergeleitet.

    Seite "Risikokategorien"

Auf der Seite Gefährdete Benutzer werden die folgenden Details angezeigt:

  • Risikoindikatorbericht: Zeigt die Risikoindikatoren an, die für einen ausgewählten Zeitraum zur Kategorie “Gefährdete Benutzer” gehören. Außerdem werden die Gesamtereignisse der Risikoindikatoren angezeigt, die während des ausgewählten Zeitraums ausgelöst wurden.

    Seite "Gefährdete Benutzer"

  • Zeitleistendetails: Bietet eine grafische Darstellung der Risikoindikatorvorkommen für einen ausgewählten Zeitraum.

    Seite "Gefährdete Benutzer"

  • Übersicht über Risikoindikatoren: Zeigt eine Zusammenfassung der Risikoindikatoren an, die unter der Kategorie “gefährdete Benutzer” generiert wurden. In diesem Abschnitt werden außerdem der Schweregrad, die Datenquelle, der Risikoindikatortyp, die Vorkommen und das letzte Vorkommen angezeigt.

    Seite "Gefährdete Benutzer"

Wenn Sie einen Risikoindikator auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst werden. Wenn Sie beispielsweise die Anzeige Erster Zugriff von neuem Geräterisiko auswählen, werden Sie zu der Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst werden. Die Zusammenfassung enthält Zeitachsendetails zu den Vorkommen dieses Ereignisses und eine Benutzerzusammenfassung, in der die Benutzer aufgelistet sind, die diesen Risikoindikator ausgelöst haben, Risikoindikatorvorkommen und die Uhrzeit des Ereignisses. Wenn Sie einen Benutzer auswählen, werden Sie zur Risikozeitleiste des Benutzers weitergeleitet.

Seite "Gefährdete Benutzer"

Hinweis

Citrix Analytics gruppiert Standardrisikoindikatoren unter der entsprechenden Risikokategorie. Für benutzerdefinierte Risikoindikatoren müssen Sie auf der Seite Indikator erstellen eine Risikokategorie auswählen. Weitere Informationen finden Sie unter Benutzerdefinierte Risikoindikatoren.

Arten von Risikokategorien

Datenexfiltration

In dieser Kategorie werden Risikoindikatoren gruppiert, die von Malware oder Mitarbeitern ausgelöst werden, die nicht autorisierte Datenübertragungen oder Datendiebstähle an oder von einem Gerät in einer Organisation durchführen. Sie können Einblicke in alle Datenexfiltrationsaktivitäten erhalten, die während eines bestimmten Zeitraums stattgefunden haben, und die mit dieser Kategorie verbundenen Risiken minimieren, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.

In der Kategorie Datenexfiltrationsrisiko werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Potenzielle Datenexfiltration
Citrix Content Collaboration Übermäßiger Zugriff auf vertrauliche Dateien
Citrix Content Collaboration Übermäßige Dateifreigabe
Citrix Zugriffssteuerung Ungewöhnliches Upload-Volumen

Insider-Bedrohungen

Diese Kategorie gruppiert Risikoindikatoren, die von Mitarbeitern innerhalb einer Organisation ausgelöst werden. Da Mitarbeiter einen höheren Zugriff auf unternehmensspezifische Anwendungen haben, haben Unternehmen höhere Chancen auf Sicherheitsrisiken. Riskante Aktivitäten können absichtlich von einem böswilligen Insider verursacht werden oder das Ergebnis eines menschlichen Fehlers sein. In einem der Szenarien sind die Auswirkungen auf die Sicherheit auf die Organisation schädlich. Diese Kategorie bietet Einblicke in alle Insider-Bedrohungsaktivitäten, die während eines bestimmten Zeitraums stattgefunden haben. Mithilfe dieser Erkenntnisse können Sie die mit dieser Kategorie verbundenen Risiken minimieren, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.

In der Risikokategorie Insider-Bedrohungen werden folgende Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Content Collaboration Übermäßige Datei- oder Ordnerlöschung
Citrix Content Collaboration Übermäßige Datei-Uploads
Citrix Zugriffssteuerung Übermäßiger Datendownload
Citrix Zugriffssteuerung Versuch, auf eine URL in der Sperrliste zuzugreifen
Citrix Zugriffssteuerung Riskante Website-Zugriff

Kompromittierte Benutzer

In dieser Kategorie werden Risikoindikatoren gruppiert, in denen Benutzer ungewöhnliche Verhaltensmuster wie verdächtige Anmeldungen oder Anmeldefehler anzeigen. Alternativ können die ungewöhnlichen Muster dazu führen, dass die Benutzerkonten kompromittiert werden. Sie erhalten Einblicke in alle kompromittierten Benutzerereignisse, die während eines bestimmten Zeitraums stattgefunden haben, und minimieren die mit dieser Kategorie verbundenen Risiken, indem Sie Aktionen proaktiv auf Benutzerprofile anwenden.

In der Risikokategorie “Gefährdete Benutzer” werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Erster Zugriff von neuem Gerät
Citrix Content Collaboration Erster Zugriff von neuem Standort
Citrix Content Collaboration Übermäßige Authentifizierungsfehler
Citrix Content Collaboration Ransomware-Aktivität verdächtigt
Citrix Content Collaboration Übermäßige Dateidownloads
Citrix Gateway Anmeldung von verdächtiger IP
Citrix Gateway Übermäßige Authentifizierungsfehler
Citrix Gateway Übermäßige Autorisierungsfehler
Citrix Gateway Zugang von einem ungewöhnlichen Ort
Microsoft Graph Security Risikoindikatoren für Azure AD Identitätsschutz
Microsoft Graph Security Risikoindikatoren für Microsoft Defender für Endpoint

Beeinträchtigte Endpunkte

In dieser Kategorie werden Risikoindikatoren gruppiert, die ausgelöst werden, wenn Geräte unsicheres Verhalten aufweisen, das auf einen Kompromiss hindeutet.

In der Risikokategorie “Gefährdete Endpunkte” werden die folgenden Risikoindikatoren zusammengefasst:

Datenquellen Benutzerrisikoindikatoren
Citrix Virtual Apps and Desktops Zugriff von Gerät mit nicht unterstütztem Betriebssystem
Citrix Gateway Endpunktanalyse (EPA) -Scanfehler
Citrix Endpoint Management Nicht verwaltetes Gerät erkannt
Citrix Endpoint Management Mit Jailbreak oder Rooting Gerät erkannt
Citrix Endpoint Management Gerät mit Apps auf der Sperrliste erkannt
Benutzer-Dashboard