Documentation produit
Citrix Analytics for Security™
Voir PDF

Points de terminaison compromis

September 16, 2025
Contributeur: 
C C

Cela se produit lorsqu’un utilisateur tente d’accéder à du contenu à partir d’un type ou d’une version de navigateur non autorisé par la politique informatique de l’organisation ou en raison de vulnérabilités de sécurité.

Détails

Source de données: Applications et bureaux (application Workspace)

Requête CAS 

Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->

L’événement Session.Logon se déclenche lorsqu’un utilisateur saisit ses informations d’identification et se connecte à sa session d’application ou de bureau.

Signature Sigma 

author: Citrix®
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
  condition: index_selection and selection and not filter
  filter:
  -  browser_name|contains: '<Browser-Name>'
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
  -  occurrence_event_type: Session.logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized browser
<!--NeedCopy-->

Systèmes d’exploitation non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à un appareil avec un type ou une version de système d’exploitation non autorisé par la politique informatique de votre organisation ou en raison de vulnérabilités de sécurité.

Détails

Source de données: Applications et bureaux (application Workspace)

Requête CAS 

Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma 

author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
  condition: index_selection and selection
  filter_null: []
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
    occurrence_event_type: Session.logon
    os_name|contains: '<OS-Name>'
    os_version: '<OS-Version>'
    os_extra_info: '<OS-Extra-Info>'
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->

Adresse IP ou sous-réseaux non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à partir d’une adresse IP ou d’une plage d’adresses IP marquée comme non autorisée par la politique informatique de votre organisation.

Détails

Source de données: Applications et bureaux (application Workspace)

Requête CAS 

Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->

Signature Sigma 

author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
  condition: selection and not filter_null and filter
  filter:
  -  client_ip: '<IP>'
  filter_null:
  -  client_ip: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized IP
<!--NeedCopy-->

Systèmes d’exploitation non autorisés en dehors de la liste d’autorisation

Cela se produit lorsqu’un utilisateur tente d’accéder à des applications à partir de serveurs qui hébergent des systèmes d’exploitation ne figurant pas dans la liste d’autorisation.

Détails

Source de données: Applications et bureaux (application Workspace)

Requête CAS 

Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma 

author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
  condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
  filter_os:
  -  os_name|contains: '<OS INFO>'
  filter_os_version:
  -  os_version: '<OS Version>'
  filter_os_extra:
  -  os_extra_info: '<OS Extra Info>'
  filter_null:
  -  os_name: null
  -  os_version: null
  -  os_extra_info: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->

Versions non autorisées de l’application Workspace

Cela se produit lorsqu’un utilisateur tente d’accéder à une version de l’application Workspace qui n’est pas une version client prise en charge. Dans de tels cas, les utilisateurs doivent mettre à niveau leur client vers une version prise en charge. Pour plus d’informations, consultez Versions client prises en charge.

Détails

Source de données: Applications et bureaux (application Workspace)

Requête CAS 

Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->

Signature Sigma 

author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
  condition: selection and not filter_null and filter_product and not filter_product_version
  filter_product:
  -  product: ['Windows', 'Mac', '<Other type>']
  filter_product_version:
  -  product_version|contains: ['<Product Version1>', '<Product Version2>']
  filter_null:
  -  product: null
  -  product_version: null
  selection:
  -  occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->
Points de terminaison compromis
September 16, 2025
Contributeur: 
C C
September 16, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.