Tech Brief: Analytik

Die IT-Umgebungen von Unternehmen werden immer komplexer, wenn sie mit der Einführung von SaaS, Cloud- und mobilen Anwendungen beginnen. Administratoren benötigen Einblick in ihre Umgebung, um sie nicht nur vor böswilligen Benutzern zu schützen, sondern auch, um die Benutzererfahrung proaktiv zu verbessern. Citrix Analytics fasst das gesamte Citrix-Portfolio zusammen, um Einblick in den Status und Kontext einzelner Benutzer zu bieten. Im Gegensatz zu einigen anderen Überwachungstools, die Citrix bietet, bietet Citrix Analytics Ihnen proaktive und präskriptive Einblicke in Ihre Umgebung, um Probleme zu lösen, bevor sie zu einem Problem werden. Citrix Analytics wird durch maschinelles Lernen angetrieben, um Ihnen die notwendigen Erkenntnisse ohne Informationsüberlastung zu liefern.

Übersicht

Citrix Analytics generiert umsetzbare Erkenntnisse, die es Administratoren ermöglichen, proaktiv mit Bedrohungen der Benutzer- und Anwendungssicherheit umzugehen, die App-Leistung zu verbessern und den kontinuierlichen Betrieb zu unterstützen. Citrix Analytics ist als Clouddienst verfügbar, der über Citrix Cloud bereitgestellt wird. Citrix Analytics kann in drei Kategorien unterteilt werden: Sicherheit, Leistung und Nutzung. Citrix Analytics for Security ermöglicht es Ihnen, inkonsistente oder verdächtige Aktivitäten in Ihrer Umgebung zu überwachen und zu identifizieren. Mit Usage Analytics erhalten Sie Einblicke, wie Benutzer mit verschiedenen Citrix Produkten interagieren. Citrix Analytics for Performance bietet nutzerzentrierte Erfahrungswerte, Leistungsbewertungen für Anwendungen und Infrastrukturen durch erweiterte Analysen.

Citrix Analytics für Sicherheit

Citrix Analytics for Security sammelt Daten über Citrix und Produkte von Drittanbietern hinweg und generiert umsetzbare Erkenntnisse. Es unterstützt die Integration mit den folgenden:

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops (on-premises)
  • Citrix DaaS (Citrix Cloud Service)
  • Citrix Secure Browser Service
  • Microsoft Graph Security API
  • Microsoft Active Directory (on-premises)

Citrix Analytics for Security erkennt anomales Benutzerverhalten durch seinen μ-Service für maschinelles Lernen. Es weist Benutzern einen Risiko-Score zu, einen Wert, der das Gesamtrisiko angibt, das ein Benutzer durch seine Risikobewertung μ-Service darstellt. Diese Bewertung ist ein dynamischer Wert, der auf User Behavior Analytics (UBA) basiert. Administratoren können Richtlinien erstellen, um Prozesse zu automatisieren und auf Risikoindikatoren basierende Aktionen anzuwenden. Citrix Analytics for Security speichert Daten für 13 Monate. Wenn der Administrator die Datenverarbeitung für eine bestimmte Datenquelle deaktiviert, bleiben die bereits erfassten Daten 13 Monate lang gespeichert. Weitere Informationen darüber, welche spezifischen Protokolle pro Datenquelle gesammelt werden, finden Sie hier.

Citrix Analytics for Security erhält die Informationen auf folgende Weise. Für den Dienst Citrix Secure Private Access, Citrix Content Collaboration, Citrix Endpoint Management und Citrix Gateway Service (Cloud) erhält er seine Informationen direkt von der Steuerungsebene der spezifischen Datenquelle. Für Citrix Gateway On-Prem empfängt es die Daten vom Application Delivery Management-Agent. Für Citrix Virtual Apps and Desktop (Cloud und lokal) erhält es seine Informationen über die Citrix Workspace-App. Um Active Directory-Daten abzurufen, kommuniziert Citrix Analytics mit den Cloud Connectors. Für die Sicherheit von Microsoft Graph können wir Informationen aus Azure AD Identitätsschutz und Windows Defender ATP über Diagramm-APIs abrufen.

Um zu beginnen, müssen Sie ein Citrix Cloud-Konto haben. Sobald Sie Zugriff auf Citrix Cloud haben, können Sie Zugriff auf eine Testversion von Citrix Analytics for Security beantragen. Dann haben Sie die Möglichkeit, die Datenverarbeitung zu aktivieren und Informationen zu erhalten. Eine ausführliche Anleitung für die ersten Schritte finden Sie hier.

Architektur auf hohem Niveau

Benutzerdashboard

Das Benutzer-Dashboard ermöglicht es Ihnen, eine ganzheitliche Sicht auf alle Benutzer zu erhalten, die in Ihrem Unternehmen als riskant eingestuft werden. Die Benutzer werden zwischen Benutzern mit hohem, mittlerem und niedrigem Risiko kategorisiert. Administratoren können Ansichten von Benutzern mit den höchsten Punktzahlen, Benutzern mit der höchsten Punktzahl, Benutzern mit Risikoindikatoren oder einer Änderung der Risikoindikatoren ändern. Außerdem werden die Risikokategorien angezeigt, die Ihnen im Wesentlichen eine umfassende Liste der Risikoexposition geben und was sofortige Aufmerksamkeit erfordert. Weitere Informationen zum Benutzer-Dashboard finden Sie hier.

Benutzer-Dashboard

Mit all diesen Dashboards können Sie klicken und detailliertere Informationen erhalten. Wenn Sie beispielsweise unter dem Dashboard Risikokategorien auf Mehr anzeigenklicken, erhalten Sie unter jeder Kategorie eine Zusammenfassung der Risikoindikatorvorkommen.

Risiko-Report

Wenn Sie unter dem Dashboard für riskante Benutzer auf einen bestimmten Benutzer klicken, werden Sie außerdem zur Zeitleiste für das Benutzerrisiko weitergeleitet. Diese Zeitleiste ermöglicht es Ihnen, tiefere Einblicke zu erhalten, welche riskanten Aktionen der Benutzer durchgeführt hat. Sie werden auch sehen, ob automatisierte Maßnahmen gegen diesen bestimmten Benutzer ergriffen wurden. Wenn Sie auf jedes Ereignis klicken, erhalten Sie zusätzliche Informationen darüber, wann ein Ereignis stattgefunden hat und wo die Quelle dieses Ereignisses liegt. Im Dashboard für Benutzerrisiken finden Sie Benutzerinformationen wie AD-Informationen (Telefon, E-Mail, Titel) und Informationen darüber, welche Anwendung, Geräte und Standorte sie verwenden. Weitere Informationen zur Risikozeitleiste finden Sie hier.

Risiko-Timeline

Die Risikobewertungen werden durch richtlinienbasierte Verstöße (von Administratoren), die Modellierung des Benutzerverhaltens im Zeitverlauf, die Erkennung des Verhaltens von KI/ML-Anomalien und die Normalisierung von Peer-Gruppen berechnet. Die Risikobewertungen sind Werte, die das Gesamtrisiko angeben, das ein Benutzer darstellt. Die Risikoindikatoren sind Benutzeraktivitäten, die verdächtig aussehen oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Es gibt Standardrisikoindikatoren, die vom System verwendet werden, aber der Administrator kann auch benutzerdefinierte Risikoindikatoren erstellen.

Risikobewertung

Richtlinien und Aktionen

Richtlinien werden so definiert, dass die Aktion ausgeführt wird, sobald eine Bedingung erfüllt ist. Eine Richtlinie enthält eine oder mehrere Bedingungen und eine einzige Aktion. Es stehen Standardrichtlinien zur Verfügung — diese Richtlinien haben vordefinierte Bedingungen und haben eine entsprechende Aktion. Diese Standardrichtlinien können entsprechend Ihren Anforderungen verwendet oder geändert werden. Die Standardrichtlinien sind die folgenden:

  • Erfolgreicher Berechtigungs-Exploit
  • Potenzielle Datenexfiltration
  • Ungewöhnlicher Zugriff von einer verdächtigen IP
  • Ungewöhnlicher App-Zugriff von einem ungewöhnlichen Ort
  • Benutzer mit geringem Risiko — erstmaliger Zugriff von einer neuen IP
  • Erster Zugriff vom Gerät

Aktionen sind die Reaktionen auf verdächtige Ereignisse, die das Auftreten zukünftiger anomaler Ereignisse verhindern. Aktionen können nach Belieben vom Citrix Analytics-Administrator oder automatisch vom System basierend auf vom Administrator definierten Regeln aufgerufen werden. Derzeit sind die folgenden Aktionen verfügbar:

  • Global
    • Antwort des Endbenutzers anfordern
    • Zur Watchlist hinzufügen
    • Administrator (en) benachrichtigen
    • Von der Beobachtungsliste entfernen
  • Citrix Content Collaboration
    • Nutzer deaktivieren
    • Läuft alle Links ab
  • Citrix Virtual Apps and Desktops
    • Benutzer abmelden
    • Starten Sie die Aufzeichnung
    • Sitzungsaufzeichnung beenden
  • Citrix Endpoint Management
    • Gerät sperren
    • Admin benachrichtigen
    • Benutzer benachrichtigen

Derzeit sind beim Erstellen einer Richtlinie die folgenden Bedingungen verfügbar:

  • Risiko-Score
    • Risikobewertung (entspricht, ist größer als, ist kleiner als)
  • Citrix Gateway
    • Übermäßige Autorisierungsfehler
    • EPA-Scanfehler
    • Anmeldung von verdächtiger IP
    • Erstmalige Zugriff von einer neuen IP
    • Unmögliche Reisen
    • Verdächtige Anmeldung
    • Ungewöhnliches Authentifizierungs
    • Geofence-Kreuzung
  • Citrix Daas/Virtuelle Apps und Desktops
    • Potenzielle Datenexfiltration
    • Unmögliche Reisen
    • Verdächtige Anmeldung
    • Nutzungstracker für die
    • Erstmaliger Zugriff von neuen Geräten
    • Sitzung wurde außerhalb von USA Geo-Fence gestartet
    • Überwachen Sie bestimmte Prozess-mstsc
    • Potenzieller Denial-of-Service für DaaS
    • Potenziell defekter
  • Citrix Content Collaboration
    • Übermäßige Dateidownloads
    • Übermäßige Löschung von Dateien/Ordnern
    • Übermäßige Dateifreigabe
    • Übermäßige Dateiuploads
    • Übermäßige Authentifizierungsfehler
    • Unmögliche Reisen
    • Ungewöhnliches Authentifizierungs
    • Malware-Datei (en) entdeckt
    • Verdacht auf Ransomware-Aktivität (Dateien wurden ersetzt)
    • Übermäßiger Zugriff auf sensible Dateien (DLP-Warnung)
    • Anonyme Downloads sensibler Freigabelinks
    • Übermäßige Link-Downloads
    • Verdächtige Anmeldung
    • Verdacht auf Ransomware-Aktivität (Dateiupload)
    • Geofencing
  • Citrix Secure Private Access
    • Versuch, auf eine URL auf der Sperrliste zuzugreifen
    • Zugriff auf riskante Website
    • Übermäßiger Datendownload
    • Potenzieller Datendiebstahl
  • Citrix Endpoint Management
    • Gerät mit Apps auf der Sperrliste erkannt
    • Jailbroken/verwurzeltes Gerät erkannt
    • Nicht verwaltetes Gerät erkannt

Richtlinie

Weitere Informationen zum Einrichten von Richtlinien und Aktionen finden Sie hier.

Dashboard für den

Das Benutzerzugriffs-Dashboard fasst die Anzahl der riskanten Domänen zusammen, auf die zugegriffen wird, und das Datenvolumen, das von den Benutzern in Ihrem Netzwerk hochgeladen und heruntergeladen wurde. Es enthält die folgenden Metriken:

  • Anzahl der bösartigen Domänen, auf die die Benutzer zugreifen
  • Anzahl der gefährlichen Domains, auf die die Benutzer zugreifen
  • Anzahl der unbekannten Domains, auf die die Benutzer zugreifen
  • Anzahl der sauberen Domains, auf die die Benutzer zugreifen
  • Anzahl der blockierten URLs, auf die die Benutzer zugreifen

Benutzerzugriff

Dashboard für den

Das App Access-Dashboard fasst die Details der Domains, URLs und Apps zusammen, auf die die Benutzer in Ihrem Netzwerk zugreifen. Der Abschnitt App-Zugriffszusammenfassung bietet einen Überblick über die folgenden Metriken in Ihrem Netzwerk:

  • Anzahl der bösartigen Domänen, auf die Benutzer zugreifen
  • Anzahl gefährlicher Domains, auf die Benutzer zugreifen
  • Anzahl unbekannter Domains, auf die Benutzer zugreifen
  • Anzahl der sauberen Domains, auf die Benutzer zugreifen
  • Datenmenge, die von den riskanten Domänen hochgeladen oder heruntergeladen wurde

App-Zugriff

Access Assurance Location Dashboard

Das Access Assurance Location Dashboard bietet einen Überblick über die Standorte, von denen aus Ihre Benutzer auf virtuelle Apps oder virtuelle Desktops zugreifen. Citrix Analytics for Security empfängt diese Benutzeranmeldeereignisse von der Citrix Workspace-App, die auf den Geräten der Benutzer installiert ist. Die Standortinformationen werden auf Stadt- und Landesebene bereitgestellt und stellen keine genaue Geolocation dar. Die Seite Benutzeranmeldeübersicht enthält die folgenden Informationen für einen ausgewählten Zeitraum:

  • Gesamtzahl der Benutzeranmeldungen an den Standorten (weltweit)
  • Gesamtzahl der eindeutigen Benutzeranmeldungen über die Standorte hinweg (weltweit)
  • Gesamtzahl der Länder, aus denen sich die Benutzer angemeldet haben
  • Gesamtzahl der Länder und eindeutige Benutzeranmeldungen in den Geofencing-Gebieten
  • Top 10 Standorte mit eindeutigen Benutzeranmeldungen

Access Assurance-Standort

Das Dashboard Links teilen ist der Ausgangspunkt für Share-Ereignisanalyse und Bedrohungsprävention. Es zeigt den Einblick in die Muster der Freigabelinks in einer Organisation.

Links teilen

Berichterstellung

Administratoren können aus den in Ihren Datenquellen empfangenen Ereignissen benutzerdefinierte Berichte erstellen. Derzeit umfassen die unterstützten Datenquellen für benutzerdefinierte Berichte Secure Private Access, Content Collaboration und Virtual Apps and Desktops. Weitere Informationen zum Erstellen benutzerdefinierter Berichte finden Sie hier.

Melden

Citrix Analytics für Leistung

Citrix Analytics for Performance quantifiziert die Benutzererfahrung und gibt Kunden durchgängige Transparenz darüber, was die Ursache für die Endbenutzererfahrung ist. Es bietet auch Aggregation und Berichterstellung an mehreren Standorten, sodass Kunden mit mehreren Standorten Daten von einer einzigen Oberfläche aus nutzen können, anstatt sich bei mehreren Director-Konsolen anmelden zu müssen. Schließlich liefert es den Wert der Infrastrukturleistung, um Administratoren einen zusammenhängenden Überblick über den Zustand ihrer Infrastruktur zu geben.

Der User Experience Score wird unter Berücksichtigung verschiedener Faktoren berechnet, die sich auf die Endbenutzererfahrung auswirken, wie z. B.: Ausfallsicherheit bei der Sitzungsverfügbarkeit, Sitzungsverfügbarkeit, Dauer der Sitzungsanmeldung und Reaktionsfähigkeit von Sitzungen. Administratoren können dann tiefer einteilen und Unterfaktoren betrachten, um die genaue Ursache des Problems zu ermitteln. Zu den Unterfaktoren für die Dauer der Sitzungsanmeldung gehören beispielsweise Gruppenrichtlinienobjekte, Profilbelastung, Interaktive Sitzung, Vermittlung, VM-Start, HDX-Verbindung, Authentifizierung und Anmeldeskripts. Dynamische Schwellenwerte werden verwendet, um die Dauer der Sitzungsanmeldung sowie die Faktoren und Unterfaktoren und Unterfaktoren für die Sitzungsreaktionsfähigkeit zu vergleichen. Diese Berechnungen werden auf Kundenbasis durchgeführt und auf der Grundlage der letzten 30 Tage berechnet. Die Schwellenwerte werden alle sieben Tage neu kalibriert, um Veränderungen in der Umwelt widerzuspiegeln. Weitere Informationen zur Berechnung des User Experience Score finden Sie hier.

UX-Punktzahl

Citrix Analytics for Performance kann sowohl für On-Prem- als auch für Cloud-Kunden verwendet werden und erfordert nicht, dass Kunden auf Citrix Workspace sind. Citrix Analytics erhält Daten direkt aus der Überwachungsdatenbank des Directors. Die Daten werden sicher von Director über den HTTPS-Port 443 an Citrix Analytics übertragen. Citrix Analytics for Performance erfasst außerdem HDX-Daten von Citrix Gateway. Für ein lokal befindliches Gateway muss ein Kunde den ADM-Dienst nutzen. Für den Gateway-Dienst werden HDX-Daten direkt an Citrix Analytics gesendet. Es werden keine Daten von Citrix Cloud in Ihre lokale Umgebung übertragen. Die Datenkommunikation erfolgt ausgehend, was bedeutet, dass keine Ports geöffnet oder eingehender Verkehr erlaubt sein müssen. Für den Kunden auf Citrix DaaS ruft Citrix Analytics Daten direkt von der Director-Plattform ab, die alle in der Citrix Cloud gehostet werden.

CASP-Architektur

Dashboard zur Bewertung der Benutzer

Das Dashboard User Experience Score bietet eine ganzheitliche Sicht, welche Benutzer “ausgezeichnete”, “faire” oder “schlechte” Erfahrungen machen. Citrix Analytics for Performance verfügt über eine Aggregation an mehreren Standorten, um Ihnen einen ganzheitlichen Überblick über alle Ihre Umgebungen (Cloud oder On-Prem) zu geben. Die Aggregation an mehreren Standorten gibt dem Administrator die Flexibilität, seine Umgebung ganzheitlich zu betrachten oder nach einer bestimmten Site herauszufiltern.

UX Dashboard

Citrix Analytics-Administratoren können einen Drilldown ausführen, um zu sehen, welche Faktoren dazu führen, dass der Benutzer diese spezifische Bewertung der Endbenutzererfahrung erhält. Citrix Analytics for Performance bietet Administratoren Einblicke in mögliche Ursachen dafür, was das Problem mit der Benutzererfahrung verursachen kann. Weitere Informationen zu den Unterfaktoren der Benutzererfahrung finden Sie hier.

Unterfaktoren

In diesem Dashboard zur Benutzererfahrung können die Administratoren außerdem die Trends der Benutzersitzung sehen, die die gesamten Sitzungen im Vergleich zu den gesamten eindeutigen Benutzern und die Anzahl der Sitzungsfehler anzeigen. Die Gesamtzahl der Sitzungen gibt die Gesamtzahl der Benutzersitzungen an, wenn eine App oder ein Desktop von Workspace App aus gestartet wird. Die gesamten eindeutigen Benutzer sind die Anzahl der eindeutigen Benutzer, die während des angegebenen Zeitraums eine Sitzung gestartet haben oder eine aktive Sitzung haben.

Benutzer-Sessions

Infrastruktur-Dashboard

Das Infrastruktur-Dashboard bietet Administratoren einen Überblick über den Infrastrukturzustand ihrer Umgebung. Das Dashboard bietet die VDA-Informationen auf allen Standorten. Bei VDAs mit mehreren Sitzungsbetriebssystemen können Administratoren basierend auf dem Lastauswertungsprogrammindex feststellen, welche VDAs sich im unbrauchbaren Zustand befinden. Bei VDAs mit einem Sitzungsbetriebssystem können Administratoren die Anzahl der verwendeten und verfügbaren VDAs anzeigen. Weitere Informationen zu den im Infrastruktur-Dashboard verfügbaren Metriken finden Sie hier.

Infrastruktur

Nutzungsanalysen

Usage Analytics bietet Einblicke in die Interaktion von Benutzern mit verschiedenen Citrix Produkten, um die Akzeptanz und das Engagement der Benutzer zu verstehen. Die Nutzungsanalyse unterstützt derzeit den Secure Private Access Service, den Content Collaboration Service und den Microapps Service.

Dashboard Content Collaboration

Das Content Collaboration Dashboard enthält die folgenden Informationen:

  • Anzahl der eindeutigen Benutzer, die den Content Collaboration Service nutzen
  • Top Content Collaboration Nutzer
  • Menge der in den Content Collaboration Service hochgeladenen Daten
  • Menge der in den Content Collaboration Service heruntergeladenen Daten
  • Anzahl der in den Content Collaboration Service hochgeladenen Dateien
  • Anzahl der Dateien, die in den Content Collaboration Service heruntergeladen wurden
  • Anzahl der Aktionen, die von Benutzern für die Dateien ausgeführt wurden
  • Anzahl der vom Benutzer erstellten Freigabeereignisse

Verwendung

Mikroapps Dashboard

Das Microapp-Dashboard bietet Einblicke darüber, wie Benutzer mit dem Microapp-Dienst interagieren. Die folgenden Informationen finden Sie im Dashboard:

  • Anzahl der eindeutigen Benutzer, die die Mikroapps verwenden
  • Die besten Mikroapp-Nutzer
  • Meist verwendete Mikroapps
  • Anzahl der Aktionen, die von den Benutzern mit den Mikroapps initiiert wurden
  • Anzahl der Aktionen, die von den Benutzern für die von den Microapps übermittelten Benachrichtigungen ergriffen wurden

Microapps

SaaS und Web-Apps Dashboard

Das SaaS- und Web-Apps-Dashboard bietet Citrix Analytics-Administratoren Einblicke in SaaS und in Citrix Workspace veröffentlichte Webanwendungen. Die folgenden Informationen finden Sie im SaaS- und Web-Apps-Dashboard:

  • Anzahl der einzelnen Benutzer, die SaaS und Webanwendungen verwenden
  • Top SaaS- und Webanwendungsbenutzer
  • Anzahl der gestarteten SaaS- und Webanwendungen
  • Top SaaS und Webanwendungen
  • Top-Domains, auf die Benutzer zugreifen
  • Gesamtmenge der Daten, die über Benutzer, Anwendungen und Domains hochgeladen und heruntergeladen wurden.

SaaS

Architektur und Prozessablauf

Nachfolgend finden Sie die konzeptionelle Architektur und den Prozessablauf von Citrix Analytics.

Analytics-Prozessablauf

Tech Brief: Analytik