Beispiel-Sigma-Signaturen für Sicherheitserkenntnisse
Diese Seite enthält Beispielabfragen, die Administratoren dabei helfen, aussagekräftige Ergebnisse mit Citrix Security Analytics zu erzielen.
Diese Beispiele decken Risiken in den folgenden Kategorien ab:
- Kompromittierte Endpunkte
- Insider-Bedrohungen
- Datenexfiltration
So verwenden Sie diese Beispiele
Datenquelle anzeigen und Datenverarbeitung aktivieren
Um die Datenquelle anzuzeigen, klicken Sie in der Citrix Analytics-GUI auf Einstellungen > Datenquellen > Sicherheit. Die Site-Karte Apps und Desktops – Workspace-App wird auf der Seite Datenquellen angezeigt. Klicken Sie auf Datenverarbeitung aktivieren, damit Citrix Analytics mit der Verarbeitung von Daten für diese Datenquelle beginnen kann.
Citrix Analytics for Security™ sendet die folgenden zwei Arten von Daten zu Risikoeinblicken an Ihren SIEM-Dienst:
- Ereignisse zu Risikoeinblicken (Standardexporte)
- Datenquellenereignisse (Optionale Exporte)
Als Teil Ihrer SIEM-Umgebung sind die Datenquellen für Risikoeinblicke verfügbar und standardmäßig immer aktiviert. Weitere Informationen finden Sie unter Datenereignisse, die von Citrix Analytics for Security an Ihren SIEM-Dienst exportiert werden.
Sie können entweder CAS- oder Sigma-Signaturen verwenden, um bestimmte Benutzerereignisse in Ihren Datenquellen zu überprüfen. CAS-Abfragen sind über die Seite „Self-Service-Suche“ in Ihrer Citrix Analytics-GUI zugänglich. Die Sigma-Signaturen sind in einem einfachen oder benutzerfreundlichen Format geschrieben, wodurch sie mit verschiedenen SIEM-Umgebungen kompatibel sind.
Verwenden von CAS-Abfragen
Sie können die CAS-Abfrage auf der Seite Self-Service-Suche verwenden, um Benutzerereignisse aus verschiedenen Datenquellen zu finden und zu filtern. Klicken Sie in Ihrer Citrix Analytics-GUI auf Suchen und geben Sie die Abfrage in das Suchfeld ein. Weitere Details finden Sie unter So verwenden Sie die Self-Service-Suche.
Sie können auch benutzerdefinierte Risikoindikatoren mit den vorhandenen Vorlagen erstellen. Um einen benutzerdefinierten Risikoindikator zu erstellen, navigieren Sie zu Sicherheit > Benutzerdefinierte Risikoindikatoren > Indikator erstellen. Weitere Details finden Sie unter Erstellen eines benutzerdefinierten Risikoindikators.
Verwenden von Sigma-Signaturen
Sigma ist ein benutzerfreundliches, offenes Signaturformat zum Erstellen textbasierter Abfragen, die Analysten verwenden können, um Protokollereignisse zu beschreiben und so die Erstellung von Erkennungen zu erleichtern. Es gibt verschiedene Möglichkeiten, eine Sigma-Signatur in die Abfragesprache Ihres SIEM-Tools zu konvertieren.
-
Sie können die von Sigma angebotenen CLI-Tools und Python-SDKs verwenden. Weitere Informationen zur Sigma-Signatur finden Sie unter Rule Usage.
-
Sie können öffentliche Tools wie die Sigma Translation Engine von uncoder.io verwenden, die eine kostenlose Stufe anbietet.
Beachten Sie die folgenden verschiedenen Anwendungsfälle für benutzerdefinierte Indikatoren für die verschiedenen Risikoeinblicke:
- Nicht autorisierter Browser
- Nicht autorisiertes Betriebssystem
- Nicht autorisierte Workspace-App-Versionen
- Nicht autorisierte Betriebssysteme außerhalb der Positivliste
- Nicht autorisierte IP-Adresse oder Subnetze
- Nicht autorisierte virtuelle Apps
- Ungewöhnliche Desktop-Namen
- Spezifische Anwendung überwachen
- Drucken aus SaaS-Apps
- Zwischenablage-Nutzung in SaaS-Apps