Citrix Analytics für Sicherheit

Benutzerdashboard

Das Benutzer-Dashboard ist der Ausgangspunkt für die Analyse des Benutzerverhaltens und die Bedrohungsprävention.

Dieses Dashboard bietet Einblick in Verhaltensmuster von Benutzern in einer Organisation. Mithilfe dieser Daten können Sie proaktiv Verhaltensweisen überwachen, erkennen und kennzeichnen, die außerhalb der Norm liegen, wie Phishing- oder Ransomware-Angriffe.

Das Benutzer-Dashboard enthält die folgenden Abschnitte:

  • Benutzer entdeckt. Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben.

  • Riskante Nutzer. Benutzer, die riskant gehandelt oder riskantes Verhalten gezeigt haben. Liste der riskanten Benutzer mit dem höchsten Risikowert und dem höchsten Risikoindikator, die mit ihrem Konto verknüpft sind.

  • Benutzer mit hohem Risiko. Benutzer, die eine unmittelbare Bedrohung für das Unternehmen darstellen.

  • Benutzer mit mittlerem Risiko. Benutzer, die möglicherweise mehrere schwerwiegende Verstöße in ihrem Konto haben und genau überwacht werden müssen.

  • Benutzer mit geringem Risiko. Benutzer, bei denen einige Verstöße in ihrem Konto festgestellt wurden, aber möglicherweise keine Bedrohung darstellen.

  • Nicht riskante Benutzer. Benutzer, bei denen in ihrem Konto keine aktiven Verstöße festgestellt wurden. Diese Benutzer werden für den ausgewählten Zeitraum nicht als Bedrohung angesehen.

  • Benutzer in der Watchlist. Benutzer werden von Administratoren genau überwacht.

  • Privilegierte Benutzer. Benutzer, die sensible Daten anzeigen und kritische Systemeinstellungen in einer Organisation ändern können.

  • Risikoindikatoren. Zeigt die fünf wichtigsten Risikoindikatoren in Ihrem Unternehmen an.

  • Zugriff auf Zusammenfassung. Fasst die Gesamtzahl der Versuche zusammen, die Benutzer unternommen haben, auf die Ressourcen in Ihrer Organisation zuzugreifen.

  • Richtlinien und Aktionen. Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die auf Benutzerprofile angewendet werden.

  • Risikokategorien. Zeigt die Risikokategorien an, die Citrix Analytics unterstützt. Risikoindikatoren mit ähnlichen Verhaltensmustern werden in die Kategorien eingeteilt.

Entdeckte Benutzer

Gesamtzahl der Benutzer in Ihrer Organisation, die die Datenquellen verwenden, für die Sie Analytics aktiviert haben. Sie haben möglicherweise eine Risikobewertung, die mit ihrem Konto verknüpft ist oder auch nicht. Es ist möglich, dass die Anzahl der erkannten Benutzer im Benutzer-Dashboard höher ist als die Anzahl der riskanten Benutzer.

Klicken Sie im Dashboard auf den Link Ermittelte Benutzer, um die Seite Benutzer anzuzeigen, auf der eine vollständige Liste der von Citrix Analytics erkannten Benutzer angezeigt wird. Auf der Seite Benutzer werden auch die Datenquellen, die Risikobewertungen und die Anzahl der mit den erkannten Benutzern verbundenen Risikoindikatorvorkommen angezeigt.

Entdeckte Benutzer

Hinweis

Im Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der erkannten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Abschnitt "Entdeckte Benutzer"

Zeigen Sie die folgenden Informationen an:

Facetten

Filtern Sie die Benutzerereignisse basierend auf den folgenden Kategorien:

  • Risikobewertung: Benutzerereignisse basierend auf hohem Risiko, mittlerem Risiko, geringem Risiko und Null-Risiko-Scores.

  • Benutzer: Benutzerereignisse basierend auf Administratorrechten, Executive-Rechten und Watchlist-Benutzern.

  • Ermittelte Datenquellen: Benutzerereignisse basierend auf der Datenquelle, die Sie eingebunden haben.

  • Workspace-App-Status: Unterstützbarkeitsstatus der Citrix Workspace-App-Versionen, die auf dem Benutzergerät verwendet werden.

    Hinweis

    Der Status der Workspace-App wird aus den Benutzerereignissen bestimmt, die von Citrix Director empfangen wurden. Um den Status anzuzeigen, müssen Sie Citrix Analytics mit Citrix Director verbinden. Andernfalls wird der Status aller Benutzer von Citrix Virtual Apps and Desktops als Inaktivangezeigt.

    Verwenden Sie die folgenden Beschriftungen, um den Status zu identifizieren:

    • Unterstützt: Die Citrix Workspace-App-Version wird von Citrix Analytics unterstützt und die Benutzerereignisse werden von der App empfangen.

    • Teilweise unterstützt: Die Citrix Workspace-App-Version wird unterstützt, es werden jedoch keine Benutzerereignisse von der App empfangen. Informationen zur Identifizierung und Behebung der Probleme finden Sie in der Anleitung zur Fehlerbehebung.

    • Nicht unterstützt: Die Citrix Workspace-App-Version wird nicht unterstützt und es werden keine Benutzerereignisse von der App empfangen. Der Benutzer muss die Citrix Workspace-App auf eine unterstützte Version aktualisieren. Die Liste der unterstützten Versionen finden Sie in den unterstützten Clients.

    • Nicht verfügbar (NA): Der Benutzer verwendet die Datenquelle Citrix Virtual Apps and Desktops nicht. Sie verwenden möglicherweise eine andere Datenquelle, wie Content Collaboration, Access Control und Gateway.

    • Inaktiv: Der Benutzer hat in der letzten Woche keine aktiven Sitzungen in seinen Citrix Virtual Apps and Desktops. Es werden also keine Ereignisse vom Benutzer empfangen.

    Wenn der Benutzer in der letzten Woche die Citrix Workspace-App auf vier verschiedene Versionen aktualisiert (z. B. xx, xy, yx und yy), zeigt der Tooltip die vier verschiedenen Versionen an. Der Status ändert sich gemäß dem folgenden Szenario.

    Szenario Arbeitsbereich-App-Status
    Wenn alle vier Versionen (xx, xy, yx und yy) unterstützt werden. Unterstützt
    Unter den vier Versionen wird mindestens eine Version (xx) nicht unterstützt und die verbleibenden Versionen (xy, yx und yy) werden unterstützt. Nicht unterstützt
    Unter den vier Versionen wird mindestens eine Version (xx) teilweise unterstützt und die verbleibenden Versionen (xy, yx und yy) werden unterstützt. Teilweise unterstützt
    Unter den vier Versionen wird die (xx) Version nicht unterstützt, die (yx) Version wird teilweise unterstützt und die verbleibenden zwei Versionen (yx, yy) werden unterstützt. Nicht unterstützt

    Hinweis

    Der Status Nicht unterstützt hat Vorrang vor dem Status Unterstützt und dem Status Teilweise unterstützt.

Suchfeld

Verwenden Sie das Suchfeld, um nach Ereignissen für die Benutzer zu suchen. Sie können Operatoren in Ihrer Abfrage verwenden, um den Fokus Ihrer Suche einzugrenzen. Informationen zu den gültigen Operatoren, die Sie in Ihrer Abfrage verwenden können, finden Sie unter Self-Service-Suche.

Ergebnis

Der Risiko-Score bestimmt das Risiko, das ein Benutzer für eine Organisation für einen bestimmten Zeitraum darstellt. Der Risiko-Score-Wert ist dynamisch und variiert basierend auf der Analyse des Benutzerverhaltens. Basierend auf dem Risiko-Score kann ein Benutzer unter eine der folgenden Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko, Benutzer mit geringem Risiko und Benutzer ohne Risikobewertung.

Benutzer

Liste aller von Analytics entdeckten Benutzer. Wählen Sie einen Benutzernamen aus, um die Benutzerinformationen und die Risikozeitleiste für den Benutzer anzuzeigen. Möglicherweise hat der Benutzer einen Risikoindikator ausgelöst. Wenn mit diesem Benutzer keine riskanten Ereignisse verbunden sind, wird die folgende Meldung angezeigt.

Kein riskantes Ereignis

Wenn mit einem Benutzer gefährliche Ereignisse verbunden sind, sehen Sie die Risikoindikatoren auf seiner Risikozeitleiste. Wählen Sie den Benutzer aus, um seinen Risikozeitplananzuzeigen.

Ein Benutzer kann als privilegiert markiert und zur Watchlisthinzugefügt werden.

Auftreten von Risikoindikatoren

Die Häufigkeit, mit der ein Risikoindikator für einen Benutzer ausgelöst wird. Ein Risikoindikator kann Standard oder benutzerdefiniertsein. Wenn Sie den Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Datenquelle entdeckt

Die einem Benutzer zugeordnete Datenquelle. Wenn ein Benutzer die Datenquelle aktiv verwendet, erhält Analytics die Benutzerereignisse von dieser Datenquelle. Um Benutzerereignisse zu empfangen, müssen Sie die Datenverarbeitung auf der Datenquell-Sitekarte aktivieren, die auf der Seite Datenquellen verfügbar ist.

Riskante Benutzer

Riskante Benutzer sind entdeckte Benutzer, mit denen riskante Ereignisse verbunden sind und die mindestens einen Risikoindikator ausgelöst haben. Das Risiko, das ein Benutzer für einen bestimmten Zeitraum für das Netzwerk darstellt, wird durch die mit dem Benutzer verbundene Risikobewertung bestimmt. Der Risiko-Score-Wert ist dynamisch und basiert auf Analysen des Benutzerverhaltens. Basierend auf dem Risiko-Score kann ein riskanter Benutzer in eine der drei Kategorien fallen: Benutzer mit hohem Risiko, Benutzer mit mittlerem Risiko oder Benutzer mit geringem Risiko.

Im Bereich “ Riskante Benutzer “ können Sie die fünf wichtigsten riskanten Benutzer basierend auf der höchsten Punktzahl oder dem höchsten Risikoindikator sortieren.

  • Wählen Sie Höchster Punktestand aus, um die fünf riskanten Benutzer basierend auf dem höchsten Risikowert anzuzeigen.

  • Wählen Sie Risikoindikator aus, um die fünf wichtigsten Risikoindikatoren mit den maximalen Vorkommen anzuzeigen.

Riskante Benutzerverknüpfung

Klicken Sie oben auf den Link Riskante Benutzer oder auf den Link Weitere anzeigen im Bereich Riskante Benutzer, um die Seite Benutzer anzuzeigen. Auf dieser Seite werden alle riskanten Benutzer und ihre Risikoindikatoren angezeigt. Sie können die Facetten und die Suchleiste verwenden, um die Ereignisse nach Ihren Anforderungen zu filtern.

Hinweis

Im Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der riskanten Benutzer für die letzten 13 Monate unabhängig vom ausgewählten Zeitraum angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Riskantes Benutzer-Dashboard

Benutzer mit hohem Risiko

Benutzer mit einem Risikowert zwischen 90 und 100. Diese Benutzer stellen unmittelbare Bedrohungen für das Unternehmen dar.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit hohem Risiko in den letzten 13 Monaten anzeigen. Die folgende Abbildung zeigt beispielsweise fünf Benutzer mit hohem Risiko in den letzten 13 Monaten.

Benutzer mit hohem Risiko

Klicken Sie auf die Kachel Benutzer mit hohem Risiko, um die Seite Benutzer anzuzeigen. Auf der Seite werden die Details zu den Benutzern mit hohem Risiko angezeigt, z. B. die Risikobewertung, das Auftreten von Risikoindikatoren und ihre Datenquellen. Wenn Sie den Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Erfahren Sie mehr: Riskante Benutzer

Benutzer mit mittlerem Risiko

Benutzer mit einem Risikowert zwischen 70 und 89. Diese Benutzer haben möglicherweise mehrere schwerwiegende Verstöße in ihrem Konto und müssen genau überwacht werden.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit mittlerem Risiko für die letzten 13 Monate anzeigen. Die folgende Abbildung zeigt beispielsweise acht Benutzer mit mittlerem Risiko in den letzten 13 Monaten.

Benutzer mit mittlerem Risiko

Klicken Sie auf die Kachel Benutzer mit mittlerem Risiko, um die Seite Benutzer anzuzeigen. Auf der Seite werden die Details zu den Benutzern mit mittlerem Risiko angezeigt, z. B. die Risikobewertung, das Auftreten von Risikoindikatoren und ihre Datenquellen. Wenn Sie den Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Erfahren Sie mehr: Riskante Benutzer

Benutzer mit geringem Risiko

Benutzer mit einem Risikowert zwischen 1 und 69. Bei diesen Benutzern wurden möglicherweise einige Verstöße in ihrem Konto festgestellt. Sie können auch Benutzer einschließen, die zuvor Benutzer mit hohem oder mittlerem Risiko waren. Diese Benutzer wurden über einen festgelegten Zeitraum neu bewertet.

Im Benutzer-Dashboard können Sie die Anzahl der Benutzer mit geringem Risiko in den letzten 13 Monaten anzeigen. Die folgende Abbildung zeigt beispielsweise 147 Benutzer mit geringem Risiko in den letzten 13 Monaten.

Benutzer mit geringem Risiko

Klicken Sie auf die Kachel Benutzer mit geringem Risiko, um die Seite Benutzer anzuzeigen. Auf der Seite werden die Details zu den Benutzern mit geringem Risiko angezeigt, z. B. die Risikobewertung, das Auftreten von Risikoindikatoren und ihre Datenquellen. Wenn Sie den Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Erfahren Sie mehr: Riskante Benutzer

Nicht-riskante Nutzer

Benutzer mit Null-Risiko-Score. Diese Benutzer haben für den ausgewählten Zeitraum keine aktiven Verstöße in ihrem Konto festgestellt.

Nicht-riskante Nutzer

Klicken Sie auf die Kachel Nicht riskante Benutzer, um die Seite Benutzer anzuzeigen. Auf der Seite werden die Benutzer mit einem ausgewählten Null-Risiko-Score und ihre Datenquellen angezeigt. Für einen ausgewählten Zeitraum können diese nicht riskanten Benutzer mit Risikoindikatoren verknüpft sein, obwohl ihre Risikobewertung Null ist.

Benutzer in der Watchlist

Liste der Benutzer, die genau auf potenzielle Bedrohungen überwacht werden. Sie können beispielsweise Benutzer überwachen, die keine Vollzeitmitarbeiter in Ihrem Unternehmen sind, indem Sie diese Benutzer zur Watchlist hinzufügen. Sie können auch Benutzer überwachen, die häufig einen bestimmten Risikoindikator auslösen. Sie fügen entweder manuell einen Benutzer zur Watchlist hinzu oder definieren Richtlinien, um Benutzer zur Watchlist hinzuzufügen.

Wenn der Watchlist keine Benutzer hinzugefügt wurden, wird der folgende Bildschirm im Benutzer-Dashboard angezeigt.

Keine Benutzer in Watchlists

Wenn Sie Benutzer zur Watchlist hinzugefügt haben, können Sie im Benutzer-Dashboard die fünf besten Benutzer in der Watchlist basierend auf der höchsten Punktzahl anzeigen.

Benutzer Dashboard-Benutzer in der Watchlist

Klicken Sie auf die Kachel Benutzer in Watchlist oder auf den Link Weitere anzeigen im Bereich Benutzer in Watchlist, um die Seite Benutzer anzuzeigen. Auf der Seite wird die Liste aller Benutzer in der Watchlist angezeigt.

Hinweis

Im Benutzer-Dashboard und auf der Seite Benutzer wird die Anzahl der Benutzer in der Watchlist unabhängig vom ausgewählten Zeitraum für die letzten 13 Monate angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Mehr erfahren: Watchlist

Privilegierte Benutzer

Privilegierte Benutzer sind die Mitarbeiter, die berechtigten Zugriff auf sensible Daten und Systemeinstellungen in einer Organisation haben. Aufgrund ihrer privilegierten Rechte sind die böswilligen Aktionen privilegierter Benutzer oft nicht von ihren täglichen Aktivitäten zu unterscheiden. Daher bleiben die Aktionen privilegierter Benutzer für eine lange Zeit unentdeckt. Solche Maßnahmen setzen Unternehmen einer Vielzahl von Risiken aus. Um diese Herausforderung zu meistern, bietet Citrix Analytics die Funktion zur privilegierten Benutzerüberwachung. Mit dieser Funktion können Sie die Verhaltensanomalien privilegierter Benutzer in Ihrem Unternehmen genau überwachen.

Im Benutzer-Dashboard können Sie die fünf privilegierten Benutzer basierend auf der höchsten Risikobewertung anzeigen. Die privilegierten Benutzer werden als Administratoren und Führungskräfte eingestuft.

  • Admins. Benutzer, die Administratorrechte für ein Produkt oder eine Dienstleistung haben. Wenn beispielsweise die Berechtigung eines Benutzers im Content Collaboration Service auf den Administrator erhöht wird, werden diese Informationen auf der Seite Benutzer angezeigt. Sie können dann die Aktivitäten der Administratorbenutzer überwachen.

    Betrachten Sie den Benutzer Maria Brown, dem im Content Collaboration Service Administratorrechte zugewiesen wurden. Maria beginnt übermäßig mit dem Löschen von Dateien und Ordnern und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, diesen Risikoindikator mit den auf der Seite Benutzer verfügbaren Informationen zu vergleichen. Sie können entscheiden, ob der Risikoindikator ausgelöst wurde, nachdem dem Benutzer Administratorrechte in Content Collaboration zugewiesen wurden. Falls ja, können Sie geeignete Maßnahmen für das Profil des privilegierten Benutzers ergreifen.

  • Führungskräfte. Benutzer, vorzugsweise aus dem Top-Management in Ihrem Unternehmen. Auf der Seite Benutzer können Sie Benutzer als Executive-Benutzer hinzufügen oder entfernen. Anweisungen finden Sie in den Abschnitten Als privilegierter Benutzer hinzufügen und Als privilegierter Benutzer entfernen .

    Stellen Sie sich ein Szenario vor, in dem Sie einen Benutzer als privilegierten Benutzer hinzugefügt haben. Der Benutzer beginnt, Dateien und Ordner übermäßig zu löschen, und löst den Algorithmus für maschinelles Lernen aus, der ungewöhnliches Verhalten erkannt hat. Der Risikoindikator für übermäßiges Löschen von Dateien oder Ordnern wird der Risikozeitleiste des Benutzers hinzugefügt. Citrix Analytics hilft Ihnen, den Risikoindikator mit den Informationen auf der Seite Benutzer zu vergleichen. Wenn Sie die Informationen vergleichen, können Sie feststellen, ob der Risikoindikator ausgelöst wurde, nachdem der Benutzer als ausführender Benutzer markiert wurde. Wenn ja, können Sie geeignete Maßnahmen im Profil des Benutzers ergreifen.

Benutzer Dashboard privilegierte Benutzer

Klicken Sie oben auf den Link Privilegierte Benutzer oder auf den Link Weitere anzeigen im Bereich Privilegierte Benutzer, um die Seite Benutzer anzuzeigen, auf der privilegierte Benutzer mit Administratoren und Führungskräften zusammen mit den neuesten Risikoindikatordetails angezeigt werden. Privilegierte Benutzer werden durch ein Symbol in der Spalte USER dargestellt.

Hinweis

Im Benutzer-Dashboard und auf der Seite Benutzer wird unabhängig vom ausgewählten Zeitraum die Anzahl der privilegierten Benutzer für die letzten 13 Monate angezeigt. Wenn Sie einen Zeitraum auswählen, ändern sich die Vorkommnisse des Risikoindikators basierend auf der Zeitauswahl.

Als privilegierter Benutzer hinzufügen

  1. Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer hinzufügen möchten.

  2. Klicken Sie auf Privilegiert markieren.

Privilegierte Benutzer

Als privilegierter Benutzer entfernen

  1. Navigieren Sie auf der Seite Benutzer zur Tabelle Alle Benutzer und wählen Sie die Benutzer aus, die Sie als Executive-Benutzer entfernen möchten.

  2. Klicken Sie auf Aus Privilegiert entfernen.

Privilegierte Benutzer

Risikoindikatoren

Fasst die fünf wichtigsten Risikoindikatoren für einen ausgewählten Zeitraum zusammen. Die Risikoindikatoren können Standard oder benutzerdefiniertsein. Für Standardrisikoindikatoren sammelt Citrix Analytics Daten aus den erkannten Datenquellen, auf denen die Datenverarbeitung aktiviert ist.

Für benutzerdefinierte Risikoindikatoren sammelt Citrix Analytics Daten aus den folgenden Datenquellen basierend auf den generierten riskanten Ereignissen:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Im Bereich Risikoindikatoren können Sie die fünf wichtigsten Risikoindikatoren anzeigen und nach Gesamtvorkommen oder Schweregrad sortieren.

Risikoindikatoren Dashboard

Klicken Sie im BereichRisikoindikatorenauf Mehr anzeigen, um die Seite Risikoindikatorübersicht anzuzeigen.

Die Seite Risikoindikatorübersicht bietet Einblicke in die Standard- und die benutzerdefinierten Risikoindikatoren. Wählen Sie den Zeitraum aus, um die Risikoindikatoren und deren Auftreten anzuzeigen.

Überblick über Risikoindikatoren

Klicken Sie auf einen Risikoindikator in der Spalte NAME, um Details zum Risikoindikator wie Zeitleistenansicht, Benutzer, Vorkommen und ausgelöste Zeit anzuzeigen. Alternativ können Sie im Dashboard Risikoindikatoren auf einen Risikoindikator klicken, um dessen Details anzuzeigen. Die folgende Abbildung zeigt die Details für übermäßigen Zugriff auf vertrauliche Dateien (DLP-Warnung).

Details der DLP-Warnung

Access-Zusammenfassung

Dieses Dashboard fasst alle Gateway-Zugriffsereignisse für einen ausgewählten Zeitraum zusammen. Es zeigt die Anzahl des Gesamtzugriffs, des erfolgreichen Zugriffs und des fehlgeschlagenen Zugriffs über Citrix Gateway.

Klicken Sie auf die Zeiger in der Grafik, um die Seite Self-Service-Suche nach Gateway anzuzeigen. Für erfolgreiche Anmeldeszenarien werden Gateway-Zugriffsereignisse nach dem Statuscode auf der Seite sortiert.

Zugriff auf das Zusammenfassungs-Dashboard

Richtlinien und Aktionen

Zeigt die fünf wichtigsten Richtlinien und Aktionen an, die für einen ausgewählten Zeitraum auf Benutzerprofile angewendet wurden. Klicken Sie im BereichRichtlinien und Aktionenauf den Link Weitere Informationen, um detaillierte Informationen zu den Richtlinien und Aktionen zu erhalten.

Richtlinien- und Aktionen-Dashboard

Top-Richtlinien

Die fünf wichtigsten konfigurierten Richtlinien werden basierend auf der Anzahl der Vorkommen bestimmt. Wenn Sie sich im Abschnitt “ Top-Richtlinien “ des Dashboards befinden und Mehr anzeigenauswählen, werden Sie zur Seite Alle Richtlinien weitergeleitet.

Richtlinien- und Aktionen-Dashboard

Alle Richtlinien

Diese Seite enthält ausführliche Informationen zu allen konfigurierten Richtlinien. Wenn Sie eine Richtlinie auswählen, werden Sie zur Seite Self-Service-Suche nach Richtlinien weitergeleitet. Im linken Bereich können Sie basierend auf den angewendeten Aktionen filtern.

Wenn Sie einen Benutzernamen auswählen, werden Sie zur Risikozeitleiste weitergeleitet. Die richtlinienbasierte Aktion wird zur Risikozeitleiste des Benutzers hinzugefügt. Wenn Sie die Aktion auswählen, werden ihre Details im rechten Bereich des Risikozeitplans angezeigt.

Top Aktionen

Die fünf wichtigsten Aktionen, die mit den Richtlinien verknüpft sind, die auf die Benutzerprofile angewendet wurden. In diesem Abschnitt werden die Aktionen nicht angezeigt, die Sie manuell auf die Benutzerprofile angewendet haben. Die Top-Aktionen werden durch die Anzahl der Vorkommen bestimmt.

Klicken Sie auf Mehr anzeigen, um alle richtlinienbasierten Aktionen auf der Seite Aktionen anzuzeigen.

Aktionen

Die Seite enthält eine Liste aller richtlinienbasierten Aktionen, die für den ausgewählten Zeitraum auf Ihre Benutzer angewendet wurden. Sie sehen die folgenden Informationen an:

  • Name der Aktion, die gemäß der Richtlinie angewendet wird

  • Anzahl der Benutzer, auf die die Aktion angewendet wurde

  • Anzahl der Vorkommen der Aktion

  • Anzahl der mit der Aktion verknüpften Richtlinien

  • Datum und Uhrzeit der angewendeten Aktion

Richtlinien- und Aktionen-Dashboard

Klicken Sie auf eine Aktion, um alle zugehörigen Richtlinien anzuzeigen. Diese Richtlinien werden basierend auf der Anzahl der Vorkommen sortiert. Klicken Sie beispielsweise auf der Seite Aktionen auf Benutzerantwort anfordern . Auf der Seite Alle Richtlinien werden alle Richtlinien angezeigt, die mit der Aktion Benutzerantwort anfordern verknüpft sind.

Richtlinien- und Aktionen-Dashboard

Klicken Sie auf der Seite Alle Richtlinien auf eine Richtlinie, um die Benutzerereignisse anzuzeigen, auf die die Aktion angewendet wurde.

Risiko-Kategorien

Dieses Dashboard bietet eine aggregierte Ansicht des Risikogrades einer Organisation für einen ausgewählten Zeitraum. Risikoindikatoren werden basierend auf den ähnlichen Risiken in bekannte Kategorien eingeteilt. Die Risikokategorisierung wird anhand von Standard- und benutzerdefinierten Risikoindikatoren unterstützt.

Risikokategorien Dashboard

Der Zweck des Dashboards “ Risikokategorien “ besteht darin, Administratoren von Citrix Virtual Apps and Desktops in die Lage zu versetzen, Benutzerrisiken zu verwalten und Diskussionen mit ihren Sicherheitskollegen zu vereinfachen, ohne über Sicherheitskenntnisse auf Expertenebene verfügen zu müssen. Es ermöglicht die Umsetzung der Sicherheitsdurchsetzung auf organisatorischer Ebene und ist nicht nur auf Sicherheitsadministratoren beschränkt.

Anwendungsfall

Bedenken Sie, dass Sie ein Administrator für Citrix Virtual Apps and Desktops sind und die Anwendungszugriffsrechte von Mitarbeitern in Ihrem Unternehmen verwalten. Wenn Sie zum Abschnitt Risikokategorien > Kompromittierte Benutzer > Übermäßige Authentifizierungsfehler - Citrix Gateway-Risikoindikator gehen, können Sie beurteilen, ob die Mitarbeiter, denen Sie Zugriff gewährt haben, kompromittiert wurden. Wenn Sie weiter navigieren, können Sie genauere Einblicke in diesen Risikoindikator erhalten, z. B. die Fehlergründe, Anmeldeorte, Timeline-Details und Benutzerzusammenfassung. Wenn Sie Abweichungen zwischen den Benutzern, denen Zugriff gewährt wurde, und kompromittierten Benutzern feststellen, können Sie den Sicherheitsadministrator darüber informieren. Diese rechtzeitige Benachrichtigung des Sicherheitsadministrators trägt zur Durchsetzung der Sicherheit auf organisatorischer Ebene bei.

Anwendungsfall für Risikokategorien

Wie analysiert man das Dashboard Risikokategorien?

Wenn Sie im Dashboard Risikokategorien die Option Mehr anzeigen auswählen, werden Sie auf die Seite weitergeleitet, auf der Details zu den Risikokategorien zusammengefasst sind. Diese Seite enthält die folgenden Details:

  • Risikokategoriebericht: Stellt die Gesamtrisikoindikatorvorkommen jeder Kategorie für einen ausgewählten Zeitraum dar.

    Seite Risikokategorien

  • Details zur Zeitleiste: Bietet eine grafische Darstellung des Gesamtrisikoindikators jeder Risikokategorie für einen ausgewählten Zeitraum. Wenn Sie zum Ende dieses Abschnitts navigieren, können Sie nach Risikokategorien sortieren, um genauere Einblicke in die Risikoindikatoren zu erhalten.

    Seite Risikokategorien

  • Zusammenfassung der Risikokategorie: Dieser Abschnitt enthält Details wie die Auswirkungen, das Auftreten und den Schweregrad der mit jeder Kategorie verbundenen Risikoindikatoren. Wählen Sie eine beliebige Risikokategorie aus, um Details zu den mit dieser Kategorie verbundenen Risikoindikatoren anzuzeigen. Wenn Sie beispielsweise die Kategorie Kompromittierte Benutzer auswählen, werden Sie zur Seite Kompromittierte Benutzer weitergeleitet.

    Seite Risikokategorien

Auf der Seite Kompromittierte Benutzer werden die folgenden Details angezeigt:

  • Risikoindikatorbericht: Zeigt die Risikoindikatoren an, die für einen ausgewählten Zeitraum zur Kategorie Kompromittierte Benutzer gehören. Es zeigt auch die Gesamtereignisse der Risikoindikatoren an, die während des ausgewählten Zeitraums ausgelöst wurden.

    Seite "Gefährdete Benutzer"

  • Timeline-Details: Bietet eine grafische Darstellung des Risikoindikators für einen ausgewählten Zeitraum.

    Seite "Gefährdete Benutzer"

  • Zusammenfassung des Risikoindikators: Zeigt eine Zusammenfassung der Risikoindikatoren an, die unter der Kategorie Kompromittierte Benutzer generiert wurden. In diesem Abschnitt werden auch der Schweregrad, die Datenquelle, der Risikoindikatortyp, das Auftreten und das letzte Auftreten angezeigt.

    Seite "Gefährdete Benutzer"

Wenn Sie einen Risikoindikator auswählen, werden Sie auf die Seite weitergeleitet, auf der die Details dieses Indikators zusammengefasst sind. Wenn Sie beispielsweise den Risikoindikator Erster Zugriff über ein neues Gerät auswählen, werden Sie auf die Seite weitergeleitet, auf der Details zu diesem Indikator zusammengefasst sind. Die Zusammenfassung enthält Timeline-Details zu den Ereignissen dieses Ereignisses und eine Benutzerübersicht, in der die Benutzer aufgeführt sind, die diesen Risikoindikator ausgelöst haben, das Auftreten von Risikoindikatoren und den Zeitpunkt des Ereignisses. Wenn Sie einen Benutzer auswählen, werden Sie zur Risikozeitleiste des Benutzers weitergeleitet.

Seite "Gefährdete Benutzer"

Hinweis

Citrix Analytics gruppiert Standardrisikoindikatoren unter der entsprechenden Risikokategorie. Für benutzerdefinierte Risikoindikatoren müssen Sie auf der Seite Indikator erstellen eine Risikokategorie auswählen. Weitere Informationen finden Sie unter Benutzerdefinierte Risikoindikatoren.

Arten von Risikokategorien

Exfiltration von Daten

Diese Kategorie gruppiert Risikoindikatoren, die durch Malware oder von Mitarbeitern ausgelöst werden, die unbefugte Datenübertragungen oder Datendiebstähle zu oder von einem Gerät in einer Organisation durchführen. Sie können Einblicke in alle Datenexfiltrationsaktivitäten erhalten, die während eines bestimmten Zeitraums stattgefunden haben, und die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.

Die Risikokategorie Datenexfiltration fasst die folgenden Risikoindikatoren zusammen:

Datenquellen Indikatoren für Benutzerrisiken
Citrix Virtual Apps and Desktops Potenzielle Datenexfiltration
Citrix Content Collaboration Übermäßiger Zugriff auf vertrauliche Dateien
Citrix Content Collaboration Übermäßige Dateifreigabe
Citrix Access Control Ungewöhnliches Uploadvolumen

Insider-Bedrohungen

Diese Kategorie gruppiert Risikoindikatoren, die von Mitarbeitern innerhalb einer Organisation ausgelöst werden. Da Mitarbeiter einen höheren Zugriff auf unternehmensspezifische Anwendungen haben, haben Unternehmen ein höheres Risiko für Sicherheitsrisiken. Riskante Aktivitäten können absichtlich von einem böswilligen Insider verursacht werden oder auf ein menschliches Versagen zurückzuführen sein. In beiden Szenarien sind die Auswirkungen auf die Sicherheit auf das Unternehmen schädlich. Diese Kategorie bietet Einblicke in alle Aktivitäten von Insider-Bedrohungen, die in einem bestimmten Zeitraum stattgefunden haben. Mithilfe dieser Erkenntnisse können Sie die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.

Die Risikokategorie Insider-Bedrohungen fasst die folgenden Risikoindikatoren zusammen:

Datenquellen Indikatoren für Benutzerrisiken
Citrix Content Collaboration Übermäßiges Löschen von Dateien oder Ordnern
Citrix Content Collaboration Übermäßige Dateiuploads
Citrix Access Control Übermäßiger Datendownload
Citrix Access Control Versuch, auf eine URL auf der Sperrliste zuzugreifen
Citrix Access Control Zugriff auf riskante Website

Kompromittierte Benutzer

Diese Kategorie gruppiert Risikoindikatoren, bei denen Benutzer ungewöhnliche Verhaltensmuster wie verdächtige Anmeldungen und Anmeldefehler aufweisen. Alternativ können die ungewöhnlichen Muster darauf zurückzuführen sein, dass die Benutzerkonten kompromittiert wurden. Sie können Einblicke in alle kompromittierten Benutzerereignisse erhalten, die während eines bestimmten Zeitraums stattgefunden haben, und die mit dieser Kategorie verbundenen Risiken mindern, indem Sie proaktiv Aktionen auf Benutzerprofile anwenden.

Die Risikokategorie Kompromittierte Nutzer fasst die folgenden Risikoindikatoren zusammen:

Datenquellen Indikatoren für Benutzerrisiken
Citrix Content Collaboration Zugang von einem ungewöhnlichen Ort
Citrix Content Collaboration Ungewöhnliche Authentifizierungsfehler
Citrix Content Collaboration Ransomware-Aktivität verdächtigt
Citrix Content Collaboration Übermäßige Dateidownloads
Citrix Gateway Anmeldung von verdächtiger IP
Citrix Gateway Übermäßige Authentifizierungsfehler
Citrix Gateway Übermäßige Autorisierungsfehler
Citrix Gateway Zugang von einem ungewöhnlichen Ort
Microsoft Graph Security Azure AD-Identitätsschutz-Risikoindikatoren
Microsoft Graph Security Microsoft Defender for Endpoint Risikoindikatoren

Kompromittierte Endpunkte

Diese Kategorie gruppiert Risikoindikatoren, die ausgelöst werden, wenn Geräte unsicheres Verhalten aufweisen, das auf einen Kompromiss hindeuten könnte.

Die Risikokategorie Kompromittierte Endpunkte fasst die folgenden Risikoindikatoren zusammen:

Datenquellen Indikatoren für Benutzerrisiken
Citrix Gateway Fehler beim Scannen der Endpunktanalyse (EPA)
Citrix Endpoint Management Nicht verwaltetes Gerät erkannt
Citrix Endpoint Management Jailbreak oder gerootetes Gerät erkannt
Citrix Endpoint Management Gerät mit Apps auf der Sperrliste erkannt