内幕威胁
不寻常的桌面名称
当用户尝试启动不正常的桌面时,就会发生这种情况。
详细信息
数据源:应用程序和桌面(Workspace 应用程序)
CAS 查询
Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
Sigma 签名
author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
condition: selection1 and selection2 and not filter_null and filter_app_name
filter_app_name:
- app_name|contains: '<App Name>'
filter_null:
- app_name: null
selection1:
- occurrence_event_type: Citrix.EventMonitor.AppStart
selection2:
- launch_type: 'desktop'
logsource:
product: citrixanalytics
service: security
title: Unusual desktop names
监视特定进程
当用户启动监视列表中的已发布应用程序时,就会发生这种情况。其目的可能是监视特定已发布应用程序的使用情况。
详细信息
数据源:应用程序和桌面 (Session Recording)
CAS 查询
Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
Sigma 签名
author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
condition: selection and not filter_null and filter_app_name
filter_app_name:
- app_name: ['<App-Name1>', '<App-Name2>']
filter_null:
- app_name: null
selection:
- occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
product: citrixanalytics
service: security
title: Monitor specific process
未经授权的虚拟应用程序
当用户访问未经授权的虚拟应用程序时,就会发生这种情况。
详细信息
数据源:应用程序和桌面(Workspace 应用程序)
CAS 查询
Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
Sigma 签名
date: 2023/01/31
description: Unauthorized virtual apps
detection:
condition: selection and not filter_null and filter_app_name
filter_app_name:
- app_name: ['<App-Name1>', '<App-Name2>']
filter_null:
- app_name: null
selection:
- occurrence_event_type: App.Start
logsource:
product: citrixanalytics
service: security
title: Unauthorized virtual apps
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
已复制!
失败!