Tech Brief: Analytik

Die IT-Umgebungen von Unternehmen werden immer komplexer, wenn sie mit der Einführung von SaaS, Cloud- und mobilen Anwendungen beginnen. Administratoren benötigen Einblick in ihre Umgebung, um sie nicht nur vor böswilligen Benutzern zu schützen, sondern auch, um die Benutzererfahrung proaktiv zu verbessern. Citrix Analytics fasst das gesamte Citrix-Portfolio zusammen, um Einblick in den Status und Kontext einzelner Benutzer zu bieten. Im Gegensatz zu einigen anderen Überwachungstools, die Citrix bietet, bietet Citrix Analytics Ihnen proaktive und präskriptive Einblicke in Ihre Umgebung, um Probleme zu lösen, bevor sie zu einem Problem werden. Citrix Analytics wird durch maschinelles Lernen angetrieben, um Ihnen die notwendigen Erkenntnisse ohne Informationsüberlastung zu liefern.

Überblick

Citrix Analytics generiert umsetzbare Erkenntnisse, die es Administratoren ermöglichen, proaktiv mit Bedrohungen der Benutzer- und Anwendungssicherheit umzugehen, die App-Leistung zu verbessern und den kontinuierlichen Betrieb zu unterstützen. Citrix Analytics ist als Clouddienst verfügbar, der über Citrix Cloud bereitgestellt wird. Citrix Analytics kann in drei Kategorien unterteilt werden: Sicherheit, Leistung und Nutzung. Citrix Analytics for Security ermöglicht es Ihnen, inkonsistente oder verdächtige Aktivitäten in Ihrer Umgebung zu überwachen und zu identifizieren. Mit Usage Analytics erhalten Sie Einblicke, wie Benutzer mit verschiedenen Citrix Produkten interagieren. Citrix Analytics for Performance bietet nutzerzentrierte Erfahrungswerte, Leistungsbewertungen für Anwendungen und Infrastrukturen durch erweiterte Analysen.

Citrix Analytics für Sicherheit

Citrix Analytics for Security sammelt Daten über Citrix und Produkte von Drittanbietern hinweg und generiert umsetzbare Erkenntnisse.

Citrix Datenquellen

In der folgenden Tabelle sind verschiedene Citrix Datenquellen aufgeführt, die von Citrix Analytics for Security unterstützt werden.

Datenquelle Bereitstellung-Typ Erforderliche Vertreter Produkt Komponente und Version
Citrix Endpoint Management Service Citrix Endpoint Management
Gateway On-Premises Application Delivery Management-Agent NetScaler Gateway 12.0.56.16 oder höher
Citrix Identitätsanbieter Service Citrix Identitäts- und Zugriffsmanagement
Citrix Secure Private Access Service Citrix Secure Private Access
Citrix Remote Browser Isolation Service Citrix Remote Browser Isolation
Citrix DaaS Service Citrix Workspace-App für Windows 1907 oder höher, Citrix Workspace-App für Mac 1910.2 oder höher, Citrix Workspace-App für HTML5 2007 oder höher, Citrix Workspace-App für Chrome — Aktuelle Version verfügbar im Chrome Web Store, Citrix Workspace-App für Android — Aktuelle Version verfügbar in Google Play, Citrix Workspace-App für iOS — neueste Version verfügbar im Apple App Store, Citrix Workspace-App für Linux 2006 oder höher.
Citrix Virtual Apps and Desktops On-Premises Agent für Virtual Apps and Desktops Citrix Virtual Apps and Desktops 7 1808, Citrix XenApp und XenDesktop 7.16 und höher
    Agent ist für erweiterte Funktionen wie Aktionen erforderlich. Citrix Workspace-App für Windows 1907 oder höher, Citrix Workspace-App für Mac 1910.2 oder höher, Citrix Workspace-App für HTML5 2007 oder höher, Citrix Workspace-App für Chrome-Neueste Version verfügbar im Chrome Web Store, Citrix Workspace-App für Android - neueste Version verfügbar in Google Play, Citrix Workspace-App für iOS — neueste Version verfügbar im Apple App Store, Citrix Workspace-App für Linux 2006 oder höher
      Citrix Director 7.16 oder höher
      Für Arbeitsbereichbenutzer: Virtual Apps and Desktops on-premises Sites müssen mithilfe der Site-Aggregation zum Workspace hinzugefügt werden.
      Für StoreFront-Benutzer: StoreFront Bereitstellungsversion muss StoreFront 1906 oder höher sein. Auf StoreFront muss mit einem der Clients zugegriffen werden: Citrix Receiver für Websites in HTML5-kompatiblen Browsern, Citrix Workspace-App 1907 für Windows oder höher, Citrix Workspace-App 2006 für Linux oder höher, Citrix Workspace-App 2006 für Mac oder höher.
      LTSR-Unterstützung: Für Citrix Virtual Apps and Desktops 7 1912 LTSR ist die unterstützte StoreFront-Version 1912.

Externe Datenquellen

In der folgenden Tabelle sind die externen Datenquellen (Produkte von Drittanbietern) aufgeführt, die von Citrix Analytics for Security unterstützt werden.

Datenquelle Bereitstellung-Typ Erforderliche Vertreter
Microsoft Graph Security Service
Microsoft Active Directory On-Premises Citrix Cloud Connector

Citrix Analytics for Security erkennt anomales Benutzerverhalten durch seinen μ-Service für maschinelles Lernen. Es weist Benutzern einen Risiko-Score zu, einen Wert, der das Gesamtrisiko angibt, das ein Benutzer durch seine Risikobewertung μ-Service darstellt. Diese Bewertung ist ein dynamischer Wert, der auf User Behavior Analytics (UBA) basiert. Administratoren können Richtlinien erstellen, um Prozesse zu automatisieren und auf Risikoindikatoren basierende Aktionen anzuwenden. Citrix Analytics for Security speichert Daten für 13 Monate. Wenn der Administrator die Datenverarbeitung für eine bestimmte Datenquelle deaktiviert, bleiben die bereits erfassten Daten 13 Monate lang gespeichert. Weitere Informationen darüber, welche spezifischen Protokolle pro Datenquelle gesammelt werden, finden Sie hier.

Citrix Analytics for Security erhält die Informationen auf folgende Weise. Für den Citrix Secure Private Access Service, Citrix Endpoint Management und den Citrix Gateway Service (Cloud) erhält er seine Informationen direkt von der Steuerungsebene der jeweiligen Datenquelle. Für NetScaler Gateway on-premises empfängt es die Daten vom Application Delivery Management Agent. Für Citrix DaaS und Citrix Virtual Apps and Desktops erhält es seine Informationen über die Citrix Workspace-App. Um Active Directory-Daten abzurufen, kommuniziert Citrix Analytics mit den Citrix Cloud Connectors. Für die Sicherheit von Microsoft Graph können wir Informationen aus Azure AD Identitätsschutz und Windows Defender ATP über Diagramm-APIs abrufen.

Um Citrix Analytics for Security verwenden zu können, müssen Sie über ein Citrix Cloud-Konto verfügen. Gehen Sie zu https://citrix.cloud.com und melden Sie sich mit Ihrem vorhandenen Citrix Cloud-Konto an. Eine ausführliche Anleitung für die ersten Schritte finden Sie hier.

Architektur auf hohem Niveau

Benutzerdashboard

Das Benutzer-Dashboard ermöglicht Ihnen einen ganzheitlichen Überblick über alle Benutzer, die in Ihrem Unternehmen als riskant eingestuft werden. Die Benutzer werden zwischen Benutzern mit hohem, mittlerem und niedrigem Risiko kategorisiert.

Benutzer-Dashboard

Administratoren können die Ansichten so ändern, dass die Benutzer mit der höchsten Punktzahl für alle Benutzer, privilegierte Benutzer und Watchlist-Benutzer angezeigt werden. Außerdem werden die Risikokategorien angezeigt, sodass Sie im Wesentlichen eine umfassende Liste der Risiken erhalten und erfahren, was sofortige Aufmerksamkeit erfordert. Weitere Informationen zum Benutzer-Dashboard finden Sie hier.

Benutzer-Dashboard

Mit all diesen Dashboards können Sie klicken und detailliertere Informationen abrufen. Wenn Sie beispielsweise unter den Risikokategorien auf Mehr anzeigen klicken, erhalten Sie unter jeder Kategorie eine Zusammenfassung der Risikoindikatorvorkommen.

Risiko-Report

Wenn Sie außerdem im Dashboard für riskante Benutzer auf einen bestimmten Benutzer klicken, werden Sie zur Zeitleiste für Benutzerrisiken weitergeleitet. Diese Zeitleiste ermöglicht es Ihnen, tiefere Einblicke zu erhalten, welche riskanten Aktionen der Benutzer durchgeführt hat. Sie werden auch sehen, ob automatisierte Maßnahmen gegen diesen bestimmten Benutzer ergriffen wurden. Wenn Sie auf jedes Ereignis klicken, erhalten Sie zusätzliche Informationen darüber, wann ein Ereignis stattgefunden hat und wo die Quelle dieses Ereignisses liegt. Im Dashboard für Benutzerrisiken finden Sie Benutzerinformationen wie AD-Informationen (Telefon, E-Mail, Titel) und Informationen darüber, welche Anwendung, Geräte und Standorte sie verwenden. Weitere Informationen zur Risikozeitleiste finden Sie hier.

Risiko-Timeline

Die Risikobewertungen werden durch richtlinienbasierte Verstöße (von Administratoren), die Modellierung des Benutzerverhaltens im Zeitverlauf, die Erkennung des Verhaltens von KI/ML-Anomalien und die Normalisierung von Peer-Gruppen berechnet. Die Risikobewertungen sind Werte, die das Gesamtrisiko angeben, das ein Benutzer darstellt. Die Risikoindikatoren sind Benutzeraktivitäten, die verdächtig aussehen oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Es gibt Standardrisikoindikatoren, die vom System verwendet werden, aber ein Administrator kann auch benutzerdefinierte Risikoindikatoren erstellen.

Risikobewertung

Richtlinien und Aktionen

Richtlinien werden so definiert, dass die Aktion ausgeführt wird, sobald eine Bedingung erfüllt ist. Eine Richtlinie enthält eine oder mehrere Bedingungen und eine einzige Aktion. Es stehen Standardrichtlinien zur Verfügung — diese Richtlinien haben vordefinierte Bedingungen und haben eine entsprechende Aktion. Diese Standardrichtlinien können entsprechend Ihren Anforderungen verwendet oder geändert werden. Die Standardrichtlinien sind die folgenden:

  • Sitzungsstart außerhalb von Geofence
  • Erster Zugriff vom Gerät
  • Potenzielle Datenexfiltration

-

Aktionen sind die Reaktionen auf verdächtige Ereignisse, die das Auftreten zukünftiger anomaler Ereignisse verhindern. Aktionen können nach Belieben vom Citrix Analytics-Administrator oder automatisch vom System basierend auf vom Administrator definierten Regeln aufgerufen werden. Derzeit sind die folgenden Aktionen verfügbar:

  • Global
    • Antwort des Endbenutzers anfordern
    • Zur Watchlist hinzufügen
    • Administrator (en) benachrichtigen
    • Endbenutzer benachrichtigen
    • Von der Beobachtungsliste entfernen
  • Gateway
    • Aktive Sitzungen abmelden
    • Benutzerkonto sperren
    • Benutzerkonto entsperren
  • Apps und Desktops
    • Aktive Sitzungen abmelden
    • Starten Sie die Aufzeichnung

Derzeit sind beim Erstellen einer Richtlinie die folgenden Bedingungen verfügbar:

  • Risiko-Score
    • Risiko-Score
  • Citrix Gateway
    • EPA-Scanfehler
    • Unmögliche Reisen
    • Übermäßige Autorisierungsfehler
    • Anmeldung von verdächtiger IP
    • Verdächtige Anmeldung
    • Ungewöhnlicher Authentifizierungsfehler
  • Citrix Secure Private Access
    • Versuch, auf eine URL auf der Sperrliste zuzugreifen
    • Übermäßiger Datendownload
    • Ungewöhnliches Uploadvolumen
  • Apps und Desktops
    • Potenzielle Datenexfiltration
    • Unmögliche Reisen
    • Verdächtige Anmeldung
  • Citrix Endpoint Management
    • Gerät mit Apps auf der Sperrliste erkannt
    • Gerät mit Jailbreak oder gerootetem Gerät erkannt
    • Nicht verwaltetes Gerät erkannt

Policy

Weitere Informationen zum Einrichten von Richtlinien und Aktionen finden Sie hier.

Access Assurance Location Dashboard

Das Access Assurance-Dashboard bietet einen Überblick über die Standorte und Netzwerke, von denen aus Ihre Benutzer auf virtuelle Apps oder virtuelle Desktops zugreifen. Citrix Analytics for Security empfängt diese Benutzeranmeldeereignisse von der Citrix Workspace-App, die auf den Geräten der Benutzer installiert ist.

Das Access Assurance-Standort-Dashboard bietet einen Überblick über die Standorte, von denen aus Ihre Benutzer auf virtuelle Apps oder virtuelle Desktops zugreifen. Citrix Analytics for Security empfängt diese Benutzeranmeldeereignisse von der Citrix Workspace-App, die auf den Geräten der Benutzer installiert ist. Die Standortinformationen werden auf Stadt- und Landesebene bereitgestellt und stellen keine genaue Geolocation dar. Das Dashboard mit der Zugriffsübersicht enthält die folgenden Informationen für einen ausgewählten Zeitraum:

  • Gesamtzahl der Benutzeranmeldungen an den Standorten (weltweit).
  • Gesamtzahl der eindeutigen Benutzeranmeldungen an den Standorten (weltweit).
  • Gesamtzahl der Städte, von denen aus sich die Benutzer angemeldet haben.
  • Gesamtzahl der Länder und die eindeutigen Benutzeranmeldungen in den Geofencing-Gebieten.
  • Top 10 Standorte mit eindeutigen Benutzeranmeldungen.

Access Assurance-Standort

Berichterstellung

Administratoren können aus den in Ihren Datenquellen empfangenen Ereignissen benutzerdefinierte Berichte erstellen. Derzeit umfassen die unterstützten Datenquellen für benutzerdefinierte Berichte Secure Private Access, Apps and Desktops, Gateway, Secure Browser, Policies, Risk Score und Risikoindikatoren. Weitere Informationen zum Erstellen benutzerdefinierter Berichte finden Sie hier.

Report

Citrix Analytics für Leistung

Citrix Analytics for Performance quantifiziert die Benutzererfahrung und gibt Kunden durchgängige Transparenz darüber, was die Ursache für die Endbenutzererfahrung ist. Es bietet auch Aggregation und Berichterstellung an mehreren Standorten, sodass Kunden mit mehreren Standorten Daten von einer einzigen Oberfläche aus nutzen können, anstatt sich bei mehreren Director-Konsolen anmelden zu müssen. Schließlich liefert es den Wert der Infrastrukturleistung, um Administratoren einen zusammenhängenden Überblick über den Zustand ihrer Infrastruktur zu geben.

Der User Experience Score wird unter Berücksichtigung verschiedener Faktoren berechnet, die sich auf die Endbenutzererfahrung auswirken, wie z. B.: Ausfallsicherheit bei der Sitzungsverfügbarkeit, Sitzungsverfügbarkeit, Dauer der Sitzungsanmeldung und Reaktionsfähigkeit von Sitzungen. Administratoren können dann tiefer einteilen und Unterfaktoren betrachten, um die genaue Ursache des Problems zu ermitteln. Zu den Unterfaktoren für die Sitzungsanmeldedauer gehören beispielsweise GPOs, Profile Load, Interactive Session, Brokering, VM-Start, HDX-Verbindung, Authentifizierung und Anmeldeskripts. Dynamische Schwellenwerte werden verwendet, um die Dauer der Sitzungsanmeldung sowie die Faktoren und Unterfaktoren und Unterfaktoren für die Sitzungsreaktionsfähigkeit zu vergleichen. Diese Berechnungen werden auf Kundenbasis durchgeführt und auf der Grundlage der letzten 30 Tage berechnet. Die Schwellenwerte werden alle sieben Tage neu kalibriert, um Veränderungen in der Umwelt widerzuspiegeln. Weitere Informationen zur Berechnung des User Experience Score finden Sie hier.

UX-Punktzahl

Citrix Analytics for Performance kann sowohl für on-premises als auch für Cloud-Kunden verwendet werden und erfordert nicht, dass Kunden Citrix Workspace verwenden. Citrix Analytics erhält Daten direkt aus der Überwachungsdatenbank des Citrix Directors. Die Daten werden über den HTTPS-Port 443 sicher von Citrix Director an Citrix Analytics übertragen. Citrix Analytics for Performance erfasst auch HDX-Daten vom Gateway. Für ein lokales NetScaler Gateway muss ein Kunde den ADM Service verwenden. Für den Citrix Gateway-Dienst werden HDX-Daten direkt an Citrix Analytics gesendet. Es werden keine Daten von Citrix Cloud in Ihre on-premises Umgebung übertragen. Die Datenkommunikation erfolgt ausgehend, was bedeutet, dass keine Ports geöffnet oder eingehender Verkehr erlaubt sein müssen. Für Kunden, die Citrix DaaS verwenden, erhält Citrix Analytics Daten direkt von der Director-Plattform, die alle in der Citrix Cloud gehostet werden.

CASP-Architektur

Dashboard zur Bewertung der Benutzer

Das Dashboard User Experience Score bietet eine ganzheitliche Sicht, welche Benutzer “ausgezeichnete”, “faire” oder “schlechte” Erfahrungen machen. Citrix Analytics for Performance verfügt über eine Aggregation mehrerer Standorte, um Ihnen einen ganzheitlichen Überblick über alle Ihre Umgebungen (Cloud oder on-premises) zu bieten. Die Aggregation an mehreren Standorten gibt dem Administrator die Flexibilität, seine Umgebung ganzheitlich zu betrachten oder nach einer bestimmten Site herauszufiltern.

UX Dashboard

Citrix Analytics-Administratoren können einen Drilldown ausführen, um zu sehen, welche Faktoren dazu führen, dass der Benutzer diese spezifische Bewertung der Endbenutzererfahrung erhält. Citrix Analytics for Performance bietet Administratoren Einblicke in mögliche Ursachen dafür, was das Problem mit der Benutzererfahrung verursachen kann. Weitere Informationen zu den Unterfaktoren der Benutzererfahrung finden Sie hier.

Subfactors

In diesem Benutzererlebnis-Dashboard können die Administratoren außerdem die Trends der Benutzersitzungen sehen, die die Gesamtzahl der HDX-Sitzungen im Vergleich zur Gesamtzahl der einzelnen Benutzer und die Anzahl der Sitzungsfehler anzeigen. Die Gesamtzahl der Sitzungen gibt die Gesamtzahl der Benutzersitzungen an, wenn eine App oder ein Desktop von der Workspace-App aus gestartet wird. Die Gesamtzahl der eindeutigen Benutzer ist die Anzahl der eindeutigen Benutzer, die während des angegebenen Zeitraums eine Sitzung gestartet haben oder eine aktive Sitzung hatten.

Benutzer-Sessions

Infrastruktur-Dashboard

Das Infrastruktur-Dashboard bietet Administratoren einen Überblick über den Infrastrukturzustand ihrer Umgebung. Das Dashboard bietet die VDA-Informationen auf allen Standorten. Bei Betriebssystem-VDAs mit mehreren Sitzungen können Administratoren anhand des Lastauswertungsprogramms erkennen, welche VDAs sich in einem unbrauchbaren Zustand befinden. Bei VDAs mit einem Sitzungsbetriebssystem können Administratoren die Anzahl der verwendeten und verfügbaren VDAs anzeigen. Weitere Informationen zu den im Infrastruktur-Dashboard verfügbaren Metriken finden Sie hier.

Infrastructure

Servicedashboard für sicheren privaten Zugriff

Das Secure Private Access Service Access-Dienst-Dashboard zeigt die Diagnose- und Nutzungsdaten der SaaS-, Web-, TCP- und UDP-Apps an. Das Dashboard bietet Administratoren einen vollständigen Überblick über ihre Apps, Benutzer, Konnektoren, den Gesundheitszustand und die Bandbreitennutzung an einem einzigen Ort für den Verbrauch.

Die Kennzahlen sind grob in die folgenden Kategorien unterteilt.

  • Protokollierung und Problembehandlung
    • Diagnoseprotokolle: Protokolle im Zusammenhang mit Authentifizierung, Anwendungsstart, App-Aufzählung und Gerätezustandsprüfungen.
  • Benutzer
    • Aktive Benutzer: Gesamtzahl der eindeutigen Benutzer, die für das ausgewählte Zeitintervall auf die Anwendungen (SaaS, Web und TCP) zugreifen.
    • Uploads: Das gesamte Datenvolumen, das über den Secure Private Access Service für das ausgewählte Zeitintervall hochgeladen wurde.
    • Downloads: Gesamtvolumen der Daten, die über den Secure Private Access Service für das ausgewählte Zeitintervall heruntergeladen wurden.
  • Anwendungen:
    • Anwendungen: Gesamtzahl der aktuell konfigurierten Anwendungen (unabhängig vom Zeitintervall).
    • Anzahl der Anwendungsstarts: Gesamtzahl der Anwendungen (App-Sitzungen), die von jedem Benutzer für das ausgewählte Zeitintervall gestartet wurden.
    • Konfigurierte Domänen: Gesamtzahl der für das ausgewählte Zeitintervall konfigurierten Domänen.
    • Entdeckte Anwendungen: Gesamtzahl der eindeutigen, individuellen Domänen, auf die zugegriffen wurde, die aber keiner App zugeordnet sind
  • Richtlinien für den Zugriff
    • Zugriffsrichtlinien: Gesamtzahl der aktuell konfigurierten Zugriffsrichtlinien (unabhängig vom Zeitintervall).

Weitere Informationen zu den im Secure Private Access Service-Dashboard verfügbaren Metriken finden Sie hier.

SaaS

Tech Brief: Analytik