Citrix Analytics

Die IT-Umgebungen von Unternehmen werden immer komplexer, wenn sie mit der Einführung von SaaS, Cloud- und mobilen Anwendungen beginnen. Administratoren benötigen die Transparenz in ihre Umgebung nicht nur, um sie vor böswilligen Benutzern zu schützen, sondern auch, um die Benutzererfahrung proaktiv zu verbessern. Citrix Analytics zieht das gesamte Citrix Portfolio zusammen, um einen Überblick über Status und Kontext einzelner Benutzer zu erhalten. Im Gegensatz zu einigen anderen Überwachungstools, die Citrix bietet, bietet Citrix Analytics Ihnen proaktive und präskriptive Einblicke in Ihre Umgebung, um Probleme zu lösen, bevor sie zu einem Problem werden. Citrix Analytics wird durch maschinelles Lernen angetrieben, um Ihnen die notwendigen Erkenntnisse ohne Informationsüberlastung zu liefern.

Übersicht

Citrix Analytics generiert umsetzbare Erkenntnisse, die Administratoren in die Lage versetzen, Sicherheitsbedrohungen von Benutzern und Anwendungen proaktiv zu behandeln, die App-Performance zu verbessern und den kontinuierlichen Betrieb zu unterstützen. Citrix Analytics ist als Cloud-Service verfügbar, der über Citrix Cloud bereitgestellt wird. Citrix Analytics kann in drei Kategorien unterteilt werden: Sicherheit, Leistung und Nutzung. Citrix Analytics for Security ermöglicht es Ihnen, inkonsistente oder verdächtige Aktivitäten in Ihrer Umgebung zu überwachen und zu identifizieren. Mit Usage Analytics erhalten Sie Einblicke, wie Benutzer mit verschiedenen Citrix Produkten interagieren. Citrix Analytics for Performance bietet nutzerzentrierte Erfahrungswerte, Leistungsbewertungen für Anwendungen und Infrastrukturen durch erweiterte Analysen.

Citrix Analytics für Sicherheit

Citrix Analytics for Security sammelt Daten über Citrix und Produkte von Drittanbietern hinweg und generiert umsetzbare Erkenntnisse. Es unterstützt die Integration mit den folgenden:

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops (sowohl on-premises als auch als Service)
  • Citrix Secure Browserdienst
  • Microsoft Graph-Sicherheits-API
  • Microsoft Active Directory (on-prem)

Citrix Analytics for Security erkennt anomales Benutzerverhalten durch seinen μ-Service für maschinelles Lernen. Es weist den Benutzern eine Risikobewertung zu, ein Wert, der das aggregierte Risiko angibt, das ein Benutzer durch seine Risikobewertung μ-Service darstellt. Diese Bewertung ist ein dynamischer Wert, der auf User Behavior Analytics (UBA) basiert. Administratoren können Richtlinien erstellen, um Prozesse zu automatisieren und auf Risikoindikatoren basierende Aktionen anzuwenden. Citrix Analytics for Security speichert Daten für 13 Monate. Wenn der Administrator die Datenverarbeitung für eine bestimmte Datenquelle deaktiviert, bleiben die bereits erfassten Daten 13 Monate lang gespeichert. Weitere Informationen darüber, welche spezifischen Protokolle pro Datenquelle gesammelt werden hier.

Citrix Analytics for Security erhält die Informationen auf folgende Weise. Für den Citrix Secure Workspace Access-Dienst, Citrix Content Collaboration, Citrix Endpoint Management und Citrix Gateway Service (Cloud) erhält er seine Informationen direkt von der Steuerungsebene der spezifischen Datenquelle. Für Citrix Gateway On-Prem empfängt es die Daten vom Application Delivery Management-Agent. Für Citrix Virtual Apps and Desktops (Cloud & On-Prem) erhält er seine Informationen über die Citrix Workspace App. Um Active Directory-Daten abrufen zu können, kommuniziert Citrix Analytics mit den Cloud-Connectors. Für Microsoft Graph -Sicherheit können wir Informationen aus Azure AD Identitätsschutz und Windows Defender ATP über Graph-APIs abrufen.

Um zu beginnen, müssen Sie ein Citrix Cloud-Konto haben. Sobald Sie Zugriff auf Citrix Cloud haben, können Sie Zugriff auf eine Testversion von Citrix Analytics for Security beantragen. Dann haben Sie die Möglichkeit, die Datenverarbeitung zu aktivieren und Informationen zu erhalten. Eine ausführliche Anleitung zum Einstieg finden Sie hier.

Architektur auf hohem Niveau

Benutzerdashboard

Das Benutzer-Dashboard ermöglicht es Ihnen, eine ganzheitliche Sicht auf alle Benutzer zu erhalten, die in Ihrem Unternehmen als riskant eingestuft werden. Die Benutzer werden zwischen Benutzern mit hohem, mittlerem und niedrigem Risiko kategorisiert. Administratoren können Ansichten von Benutzern mit den höchsten Punktzahlen, Benutzern mit der höchsten Punktzahl, Benutzern mit Risikoindikatoren oder einer Änderung der Risikoindikatoren ändern. Außerdem werden die Risikokategorien angezeigt, die Ihnen im Wesentlichen eine umfassende Liste der Risikoexposition geben und was sofortige Aufmerksamkeit erfordert. Weitere Informationen zum Benutzer-Dashboard finden Sie hier.

Benutzer-Dashboard

Mit all diesen Dashboards können Sie klicken und detailliertere Informationen erhalten. Wenn Sie beispielsweise unter dem Dashboard Risikokategorien auf Mehr anzeigenklicken, erhalten Sie unter jeder Kategorie eine Zusammenfassung der Risikoindikatorvorkommen.

Risikobericht

Wenn Sie unter dem Dashboard für riskante Benutzer auf einen bestimmten Benutzer klicken, werden Sie außerdem zur Zeitleiste für das Benutzerrisiko weitergeleitet. Diese Zeitleiste ermöglicht es Ihnen, tiefere Einblicke zu erhalten, welche riskanten Aktionen der Benutzer durchgeführt hat. Sie werden auch sehen, ob automatisierte Maßnahmen gegen diesen bestimmten Benutzer ergriffen wurden. Wenn Sie auf jedes Ereignis klicken, erhalten Sie zusätzliche Informationen darüber, wann ein Ereignis stattgefunden hat und wo die Quelle dieses Ereignisses liegt. Im Dashboard für Benutzerrisiken finden Sie Benutzerinformationen wie AD-Informationen (Telefon, E-Mail, Titel) und Informationen darüber, welche Anwendung, Geräte und Standorte sie verwenden. Weitere Informationen zum Risikozeitplan finden Sie hier.

Risiko-Timeline

Die Risikobewertungen werden durch richtlinienbasierte Verstöße (von Administratoren), die Modellierung des Benutzerverhaltens im Zeitverlauf, die Erkennung des Verhaltens von KI/ML-Anomalien und die Normalisierung von Peer-Gruppen berechnet. Die Risikobewertungen sind Werte, die das Gesamtrisiko angeben, das ein Benutzer darstellt. Die Risikoindikatoren sind Benutzeraktivitäten, die verdächtig aussehen oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Es gibt Standardrisikoindikatoren, die vom System verwendet werden, aber der Administrator kann auch benutzerdefinierte Risikoindikatoren erstellen.

Risikobewertung

Richtlinien und Aktionen

Richtlinien werden so definiert, dass die Aktion ausgeführt wird, sobald eine Bedingung erfüllt ist. Eine Richtlinie enthält eine oder mehrere Bedingungen und eine einzige Aktion. Es stehen Standardrichtlinien zur Verfügung — diese Richtlinien haben vordefinierte Bedingungen und haben eine entsprechende Aktion. Diese Standardrichtlinien können entsprechend Ihren Anforderungen verwendet oder geändert werden. Die Standardrichtlinien sind die folgenden:

  • Erfolgreiche Nutzung von Anmeldeinformationen
  • Potenzielle Datenexfiltration
  • Ungewöhnlicher Zugriff von einer verdächtigen IP
  • Ungewöhnlicher App-Zugriff von einem ungewöhnlichen Ort aus
  • Benutzer mit geringem Risiko — erstmaliger Zugriff von einer neuen IP
  • Erster Zugriff vom Gerät aus

Aktionen sind die Reaktionen auf verdächtige Ereignisse, die das Auftreten zukünftiger anomalisierender Ereignisse verhindern. Aktionen können nach Belieben vom Citrix Analytics-Administrator oder automatisch vom System basierend auf vom Administrator definierten Regeln aufgerufen werden. Derzeit sind die folgenden Aktionen verfügbar:

  • Global
    • Antwort des Endbenutzers anfordern
    • Zur Watchlist hinzufügen
    • Administrator (en) benachrichtigen
    • Von der Beobachtungsliste entfernen
  • Citrix Content Collaboration
    • Nutzer deaktivieren
    • Läuft alle Links ab
  • Citrix Virtual Apps and Desktops
    • Benutzer abmelden
    • Starten Sie die Aufzeichnung
    • Sitzungsaufzeichnung beenden
  • Citrix Endpoint Management
    • Gerät sperren
    • Admin benachrichtigen
    • Benutzer benachrichtigen

Derzeit sind beim Erstellen einer Richtlinie die folgenden Bedingungen verfügbar:

  • Risikobewertung
    • Risikobewertung (entspricht, ist größer als, ist kleiner als)
  • Citrix Gateway
    • Übermäßige Autorisierungsfehler
    • EPA-Scanfehler
    • Übermäßige Authentifizierungsfehler
    • Anmeldung von verdächtiger IP
    • Zugang von einem ungewöhnlichen Ort
    • Erstmalige Zugriff von einer neuen IP
  • Citrix Virtual Apps and Desktops
    • Erstmalige Zugriffsberechtigung von einem neuen Gerät
    • Potenzielle Datenexfiltration
    • Zugriff von Gerät mit nicht unterstütztem Betriebssystem
    • Ungewöhnliche Zeit der Anwendungsnutzung (SaaS)
    • Ungewöhnlicher Zeitpunkt der Anwendungsnutzung (virtuell)
  • Citrix Content Collaboration
    • Übermäßige Dateidownloads
    • Übermäßige Löschung von Dateien/Ordnern
    • Übermäßige Dateifreigabe
    • Übermäßige Datei-Uploads
    • Übermäßige Authentifizierungsfehler
    • Verdacht auf Ransomware-Aktivität (Dateien ersetzt)
    • Vermutete Ransomware-Aktivität (DLP-Alarm)
    • Übermäßige Downloads
    • Erstmalige Zugangsberechtigung von einem neuen Standort
    • Verdacht auf Ransomware-Aktivität (Dateien aktualisiert)
  • Citrix Secure Workspace Access
    • Versuch, auf eine URL auf der Sperrliste zuzugreifen
    • Zugriff auf riskante Website
    • Übermäßiger Datendownload
    • Ungewöhnliches Lautstärke
  • Citrix Endpoint Management
    • Gerät mit Apps auf der Sperrliste erkannt
    • Jailbroken/verwurzeltes Gerät erkannt
    • Nicht verwaltetes Gerät erkannt

Richtlinie

Weitere Informationen zum Einrichten von Richtlinien und Aktionen finden Sie hier.

Dashboard für den

Das Dashboard für den Benutzerzugriff fasst die Anzahl der riskanten Domänen zusammen, auf die zugegriffen wird, und die Menge der Daten, die von den Benutzern in Ihrem Netzwerk hochgeladen und heruntergeladen wurden. Es enthält die folgenden Metriken:

  • Anzahl der bösartigen Domains, auf die die Benutzer zugreifen
  • Anzahl der gefährlichen Domains, auf die die Benutzer zugreifen
  • Anzahl unbekannter Domains, auf die die Benutzer zugreifen
  • Anzahl der sauberen Domains, auf die die Benutzer zugreifen
  • Anzahl der blockierten URLs, auf die die Benutzer zugreifen

Benutzer-Zugriff auf

Dashboard für den

Das App Access-Dashboard fasst die Details der Domains, URLs und Apps zusammen, auf die die Benutzer in Ihrem Netzwerk zugreifen. Der Abschnitt App-Zugriffszusammenfassung bietet einen Überblick über die folgenden Metriken in Ihrem Netzwerk:

  • Anzahl der bösartigen Domains, auf die Benutzer zugreifen
  • Anzahl der gefährlichen Domains, auf die Benutzer zugreifen
  • Anzahl unbekannter Domains, auf die Benutzer zugreifen
  • Anzahl der sauberen Domains, auf die Benutzer zugreifen
  • Volumen der Daten, die von den riskanten Domänen hochgeladen oder heruntergeladen wurden

App-Zugriff auf

Das Dashboard “Links teilen” ist der Ausgangspunkt für die Analyse von Freigaben und die Prävention von Bedrohungen. Es zeigt den Einblick in die Muster der Freigabelinks in einer Organisation.

Teilen Links

Berichterstellung

Administratoren können aus den in Ihren Datenquellen empfangenen Ereignissen benutzerdefinierte Berichte erstellen. Derzeit umfassen die unterstützten Datenquellen für benutzerdefinierte Berichte Secure Workspace Access, Content Collaboration sowie Virtual Apps and Desktops. Weitere Informationen zum Erstellen benutzerdefinierter Berichte finden Sie hier.

Melde

Citrix Analytics für Leistung

Citrix Analytics for Performance quantifiziert die Benutzererfahrung und gibt Kunden durchgängige Transparenz darüber, was die Ursache für die Endbenutzererfahrung ist. Darüber hinaus bietet sie eine Aggregation und Berichterstellung an mehreren Standorten, sodass Kunden mit mehreren Standorten Daten aus einem einzigen Fensterbereich nutzen können, anstatt sich bei mehreren Director-Konsolen anmelden zu müssen. Schließlich liefert es den Wert der Infrastrukturleistung, um Administratoren einen zusammenhängenden Überblick über den Zustand ihrer Infrastruktur zu geben.

Der User Experience Score wird unter Berücksichtigung verschiedener Faktoren berechnet, die sich auf die Endbenutzererfahrung auswirken, wie z. B.: Ausfallsicherheit bei der Sitzungsverfügbarkeit, Sitzungsverfügbarkeit, Dauer der Sitzungsanmeldung und Reaktionsfähigkeit von Sitzungen. Administratoren können dann tiefer aufteilen und sich Unterfaktoren ansehen, um die genaue Ursache des Problems ermitteln zu können. Zu den Unterfaktoren für die Dauer der Sitzungsanmeldung gehören beispielsweise Gruppenrichtlinienobjekte, Profilbelastung, Interaktive Sitzung, Vermittlung, VM-Start, HDX-Verbindung, Authentifizierung und Anmeldeskripts. Dynamische Schwellenwerte werden verwendet, um die Dauer der Sitzungsanmeldung sowie die Faktoren und Unterfaktoren und Unterfaktoren für die Sitzungsreaktionsfähigkeit zu vergleichen. Diese Berechnungen werden auf Kundenbasis durchgeführt und auf der Grundlage der letzten 30 Tage berechnet. Die Schwellenwerte werden alle sieben Tage neu kalibriert, um Veränderungen in der Umwelt widerzuspiegeln. Weitere Informationen darüber, wie der User Experience Score berechnet wird, finden Sie hier.

UX Score

Citrix Analytics for Performance kann sowohl für On-Prem- als auch für Cloud-Kunden verwendet werden und erfordert nicht, dass Kunden auf Citrix Workspace sind. Citrix Analytics erhält Daten direkt aus der Überwachungsdatenbank des Directors. Die Daten werden über den https-Port 443 sicher von Director zu Citrix Analytics übertragen. Citrix Analytics for Performance erfasst außerdem HDX-Daten von Citrix Gateway. Für ein lokal befindliches Gateway muss ein Kunde den ADM-Dienst nutzen. Für den Gateway dienst werden HDX-Daten direkt an Citrix Analytics gesendet. Es werden keine Daten von Citrix Cloud in Ihre On-Prem-Umgebung übertragen. Die Datenkommunikation erfolgt ausgehend, was bedeutet, dass keine Ports geöffnet oder eingehender Datenverkehr erlaubt sein müssen. Für den Kunden von Citrix Virtual Apps & Desktop Service erhält Citrix Analytics Daten direkt von der Director-Plattform, die alle in der Citrix Cloud gehostet werden.

CASP-Architektur

Dashboard zur Bewertung der Benutzer

Das Dashboard User Experience Score bietet eine ganzheitliche Sicht, welche Benutzer “ausgezeichnete”, “faire” oder “schlechte” Erfahrungen machen. Citrix Analytics for Performance verfügt über eine Aggregation an mehreren Standorten, um Ihnen einen ganzheitlichen Überblick über alle Ihre Umgebungen (Cloud oder On-Prem) zu geben. Die Aggregation an mehreren Standorten gibt dem Administrator die Flexibilität, seine Umgebung ganzheitlich zu betrachten oder nach einer bestimmten Site herauszufiltern.

UX-Dashboard

Citrix Analytics-Administratoren können einen Drilldown ausführen, um zu sehen, welche Faktoren dazu führen, dass der Benutzer diese spezifische Bewertung der Endbenutzererfahrung erhält. Citrix Analytics for Performance bietet Administratoren Einblicke in mögliche Ursachen dafür, was das Problem mit der Benutzererfahrung verursachen kann. Weitere Informationen zu den Unterfaktoren der Benutzererfahrung finden Sie hier.

Subfactors

In diesem Dashboard zur Benutzererfahrung können die Administratoren außerdem die Trends der Benutzersitzung sehen, die die gesamten Sitzungen im Vergleich zu den gesamten eindeutigen Benutzern und die Anzahl der Sitzungsfehler anzeigen. Die Gesamtzahl der Sitzungen gibt die Gesamtzahl der Benutzersitzungen an, wenn eine App oder ein Desktop von Workspace App aus gestartet wird. Die gesamten eindeutigen Benutzer sind die Anzahl der eindeutigen Benutzer, die während des angegebenen Zeitraums eine Sitzung gestartet haben oder eine aktive Sitzung haben.

Benutzer-Sessions

Infrastruktur-Dashboard

Das Infrastruktur-Dashboard bietet Administratoren einen Überblick über den Infrastrukturzustand ihrer Umgebung. Das Dashboard bietet die VDA-Informationen auf allen Standorten. Bei VDAs mit mehreren Sitzungsbetriebssystemen können Administratoren basierend auf dem Lastauswertungsprogrammindex feststellen, welche VDAs sich im unbrauchbaren Zustand befinden. Bei VDAs mit einem Sitzungsbetriebssystem können Administratoren die Anzahl der verwendeten und verfügbaren VDAs anzeigen. Weitere Informationen zu den Metriken, die im Infrastruktur-Dashboard verfügbar sind, finden Sie hier.

Infrastruktur

Nutzungsanalysen

Usage Analytics bietet Einblicke in die Interaktion von Benutzern mit verschiedenen Citrix Produkten, um die Akzeptanz und das Engagement der Benutzer zu verstehen. Nutzungsanalysen unterstützen derzeit Secure Workspace Access Service, Content Collaboration Service und Microapps Service.

Dashboard Content Collaboration

Das Content Collaboration Dashboard enthält die folgenden Informationen:

  • Anzahl der eindeutigen Benutzer, die den Content Collaboration Service verwenden
  • Topbenutzer für Content Collaboration
  • Datenmenge, die in den Content Collaboration Service hochgeladen wurde
  • Menge der in den Content Collaboration Service heruntergeladenen Daten
  • Anzahl der Dateien, die in den Content Collaboration Service hochgeladen wurden
  • Anzahl der Dateien, die in den Content Collaboration Service heruntergeladen wurden
  • Anzahl der Aktionen, die von Benutzern für die Dateien ausgeführt werden
  • Anzahl der vom Benutzer erstellten Freigabeereignisse

Verwendung

Mikroapps Dashboard

Das Microapp-Dashboard bietet Einblicke darüber, wie Benutzer mit dem Microapp-Dienst interagieren. Die folgenden Informationen finden Sie im Dashboard:

  • Anzahl der eindeutigen Benutzer, die die Microapps verwenden
  • Die besten Mikroapp-Nutzer
  • Am häufigsten verwendete Microapps
  • Anzahl der Aktionen, die von den Benutzern mit den Microapps initiiert wurden
  • Anzahl der Aktionen, die von den Benutzern für die von den Microapps übermittelten Benachrichtigungen ergriffen wurden

Mikroapps

SaaS und Web-Apps Dashboard

Das SaaS- und Web-Apps-Dashboard bietet Citrix Analytics-Administratoren Einblicke in SaaS und in Citrix Workspace veröffentlichte Webanwendungen. Die folgenden Informationen finden Sie im SaaS- und Web-Apps-Dashboard:

  • Anzahl der eindeutigen Benutzer, die SaaS- und Webanwendungen verwenden
  • Die besten SaaS- und Webanwendungsbenutzer
  • Anzahl der gestarteten SaaS- und Webanwendungen
  • Top SaaS- und Webanwendungen
  • Top Domains, auf die die Benutzer zugreifen
  • Gesamtmenge der Daten, die über Benutzer, Anwendungen und Domains hochgeladen und heruntergeladen wurden.

SaaS

Architektur und Prozessablauf

Nachfolgend finden Sie die konzeptionelle Architektur und den Prozessablauf von Citrix Analytics.

Analytics-Prozessablauf

Citrix Analytics