Citrix Analytics for Security

Points de terminaison compromis

November 16, 2023

Contributeur:

Navigateur non autorisé

Cela se produit lorsqu’un utilisateur tente d’accéder à du contenu à partir d’un type ou d’une version de navigateur qui n’est pas autorisé par la stratégie informatique de l’entreprise ou en raison de failles de sécurité.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->

L’événement Session.Logon se déclenche lorsqu’un utilisateur saisit ses informations d’identification et se connecte à sa session d’application ou de bureau.

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
  condition: index_selection and selection and not filter
  filter:
  - browser_name|contains: '<Browser-Name>'
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
  - occurrence_event_type: Session.logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized browser
<!--NeedCopy-->

Systèmes d’exploitation non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à un appareil dont le type ou la version du système d’exploitation n’est pas autorisé par la stratégie informatique de votre entreprise ou en raison de failles de sécurité.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
  condition: index_selection and selection
  filter_null: []
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
    occurrence_event_type: Session.logon
    os_name|contains: '<OS-Name>'
    os_version: '<OS-Version>'
    os_extra_info: '<OS-Extra-Info>'
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->

Adresse IP ou sous-réseaux non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à partir d’une adresse ou d’une plage IP marquée comme non autorisée par la stratégie informatique de votre entreprise.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
  condition: selection and not filter_null and filter
  filter:
  - client_ip: '<IP>'
  filter_null:
  - client_ip: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized IP
<!--NeedCopy-->

Systèmes d’exploitation non autorisés en dehors de la liste des systèmes autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à des applications à partir de serveurs hébergeant des systèmes d’exploitation ne figurant pas dans la liste d’autorisation.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
  condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
  filter_os:
  - os_name|contains: '<OS INFO>'
  filter_os_version:
  - os_version: '<OS Version>'
  filter_os_extra:
  - os_extra_info: '<OS Extra Info>'
  filter_null:
  - os_name: null
  - os_version: null
  - os_extra_info: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->

Versions non autorisées de l’application Workspace

Cela se produit lorsqu’un utilisateur tente d’accéder à une version de l’application Workspace qui n’est pas une version cliente prise en charge. Dans ce cas, les utilisateurs doivent mettre à niveau leur client vers une version prise en charge. Pour plus d’informations, consultez la section Versions du client de support.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
  condition: selection and not filter_null and filter_product and not filter_product_version
  filter_product:
  - product: ['Windows', 'Mac', '<Other type>']
  filter_product_version:
  - product_version|contains: ['<Product Version1>', '<Product Version2>']
  filter_null:
  - product: null
  - product_version: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Points de terminaison compromis

November 16, 2023

Contributeur:

November 16, 2023

Contributeur:

Dans cet article

Navigateur non autorisé
Systèmes d’exploitation non autorisés
Adresse IP ou sous-réseaux non autorisés
Systèmes d’exploitation non autorisés en dehors de la liste des systèmes autorisés
Versions non autorisées de l’application Workspace

Cela vous a-t-il été utile ?