侵害されたエンドポイント

November 26, 2023

寄稿者:

認可されていないブラウザ

これは、ユーザーが組織のITポリシーまたはセキュリティの脆弱性により許可されていないブラウザの種類またはバージョンからコンテンツにアクセスしようとした場合に発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->

Session.Logon イベントは、ユーザーが資格情報を入力してアプリまたはデスクトップセッションにログオンしたときにトリガーされます。

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
  condition: index_selection and selection and not filter
  filter:
  - browser_name|contains: '<Browser-Name>'
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
  - occurrence_event_type: Session.logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized browser
<!--NeedCopy-->

認可されていないオペレーティングシステム

これは、組織の IT ポリシーまたはセキュリティの脆弱性により許可されていないオペレーティングシステムのタイプまたはバージョンのデバイスにユーザーがアクセスしようとした場合に発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
  condition: index_selection and selection
  filter_null: []
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
    occurrence_event_type: Session.logon
    os_name|contains: '<OS-Name>'
    os_version: '<OS-Version>'
    os_extra_info: '<OS-Extra-Info>'
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->

不正な IP アドレスまたはサブネット

これは、組織の IT ポリシーで許可されていないとマークされている IP アドレスまたは範囲からユーザーがアクセスを試みた場合に発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
  condition: selection and not filter_null and filter
  filter:
  - client_ip: '<IP>'
  filter_null:
  - client_ip: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized IP
<!--NeedCopy-->

許可リスト外の不正なオペレーティングシステム

これは、ユーザーが許可リストに含まれていないオペレーティングシステムをホストするサーバーからアプリケーションにアクセスしようとしたときに発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
  condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
  filter_os:
  - os_name|contains: '<OS INFO>'
  filter_os_version:
  - os_version: '<OS Version>'
  filter_os_extra:
  - os_extra_info: '<OS Extra Info>'
  filter_null:
  - os_name: null
  - os_version: null
  - os_extra_info: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->

未承認のWorkspaceアプリバージョン

これは、サポートされていないクライアントバージョンの Workspace アプリにユーザーがアクセスしようとしたときに発生します。このような場合、ユーザーはクライアントをサポートされているバージョンにアップグレードする必要があります。詳細については、「サポートクライアントバージョン」を参照してください。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
  condition: selection and not filter_null and filter_product and not filter_product_version
  filter_product:
  - product: ['Windows', 'Mac', '<Other type>']
  filter_product_version:
  - product_version|contains: ['<Product Version1>', '<Product Version2>']
  filter_null:
  - product: null
  - product_version: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

侵害されたエンドポイント

November 26, 2023

寄稿者:

November 26, 2023

寄稿者:

この情報は役に立ちましたか?