侵害されたエンドポイント
承認されていないブラウザ
これは、組織のITポリシーで許可されていない、またはセキュリティの脆弱性があるブラウザの種類やバージョンからユーザーがコンテンツにアクセスしようとした場合に発生します。
詳細
データソース: アプリとデスクトップ (Workspaceアプリ)
CASクエリ
Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->
Session.Logonイベントは、ユーザーが資格情報を入力し、アプリまたはデスクトップセッションにログオンしたときにトリガーされます。
Sigmaシグネチャ
author: Citrix®
date: 2023/01/31
description: ユーザーがインターネットを介して望ましくないイベントやアクションを引き起こす可能性のある、承認されたブラウザからコンテンツにアクセスした場合に発生します。
detection:
condition: index_selection and selection and not filter
filter:
- browser_name|contains: '<Browser-Name>'
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
- occurrence_event_type: Session.logon
logsource:
product: citrixanalytics
service: security
title: 承認されていないブラウザからのアクセス
<!--NeedCopy-->
承認されていないオペレーティングシステム
これは、組織のITポリシーで許可されていない、またはセキュリティの脆弱性があるオペレーティングシステムの種類やバージョンでデバイスにアクセスしようとした場合に発生します。
詳細
データソース: アプリとデスクトップ (Workspaceアプリ)
CASクエリ
Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->
Sigmaシグネチャ
author: Citrix
date: 2023/01/31
description: ユーザーがブロックリストに登録されているオペレーティングシステムを持つサーバーからアプリにアクセスしようとした場合に発生します。
detection:
condition: index_selection and selection
filter_null: []
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
occurrence_event_type: Session.logon
os_name|contains: '<OS-Name>'
os_version: '<OS-Version>'
os_extra_info: '<OS-Extra-Info>'
logsource:
product: citrixanalytics
service: security
title: ブロックリスト内の承認されていないオペレーティングシステム
<!--NeedCopy-->
承認されていないIPアドレスまたはサブネット
これは、組織のITポリシーによって承認されていないとマークされているIPアドレスまたは範囲からユーザーがアクセスしようとした場合に発生します。
詳細
データソース: アプリとデスクトップ (Workspaceアプリ)
CASクエリ
Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->
Sigmaシグネチャ
author: Citrix
date: 2023/01/31
description: ユーザーがインターネットを介して望ましくないイベントやアクションを引き起こす可能性のある、承認されていないIPからコンテンツにアクセスした場合に発生します。
detection:
condition: selection and not filter_null and filter
filter:
- client_ip: '<IP>'
filter_null:
- client_ip: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: 承認されていないIPからのアクセス
<!--NeedCopy-->
許可リスト外の承認されていないオペレーティングシステム
これは、許可リスト外のオペレーティングシステムをホストするサーバーからユーザーがアプリケーションにアクセスしようとした場合に発生します。
詳細
データソース: アプリとデスクトップ (Workspaceアプリ)
CASクエリ
Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->
Sigmaシグネチャ
author: Citrix
date: 2023/01/31
description: 許可リスト外の承認されていないオペレーティングシステム
detection:
condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
filter_os:
- os_name|contains: '<OS INFO>'
filter_os_version:
- os_version: '<OS Version>'
filter_os_extra:
- os_extra_info: '<OS Extra Info>'
filter_null:
- os_name: null
- os_version: null
- os_extra_info: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: 許可リスト外の承認されていないオペレーティングシステム
<!--NeedCopy-->
承認されていないWorkspaceアプリのバージョン
これは、ユーザーがサポートされていないクライアントバージョンのWorkspaceアプリにアクセスしようとした場合に発生します。このような場合、ユーザーはクライアントをサポートされているバージョンにアップグレードする必要があります。詳細については、サポートされているクライアントバージョンを参照してください。
詳細
データソース: アプリとデスクトップ (Workspaceアプリ)
CASクエリ
Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->
Sigmaシグネチャ
author: Citrix
date: 2023/01/31
description: サポートされていないWorkspaceアプリのバージョン
detection:
condition: selection and not filter_null and filter_product and not filter_product_version
filter_product:
- product: ['Windows', 'Mac', '<Other type>']
filter_product_version:
- product_version|contains: ['<Product Version1>', '<Product Version2>']
filter_null:
- product: null
- product_version: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: サポートされていないWorkspaceアプリのバージョン
<!--NeedCopy-->
コピー完了
コピー失敗