Citrix Analytics für Sicherheit

Datenexfiltration

Drucken aus SaaS-Apps

Dies tritt auf, wenn eine Datei aus einer SaaS-Anwendung gedruckt wird, aus der das Drucken nicht zulässig ist. Es erkennt potenzielle Datenexfiltration durch Druckvorgänge in SaaS-Anwendungen.

Details

Datenquelle: Apps und Desktops (Citrix Enterprise Browser)

CAS-Abfrage

Event-Type = "App.SaaS.File.Print" AND SaaS-App-Name = "<App-Name>"
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Printing from SaaS apps
detection:
  condition: selection and not filter_null and filter_saas_app_name
  filter_saas_app_name:
  - saas_app_name: '<App-Name>'
  filter_null:
  - saas_app_name: null
  selection:
  - occurrence_event_type: App.SaaS.File.Print
logsource:
  product: citrixanalytics
  service: security
title: Printing from SaaS apps
<!--NeedCopy-->

Verwendung der Zwischenablage in SaaS-Apps

Dies tritt auf, wenn eine Aktivität zum Ausschneiden, Kopieren oder Einfügen von einer SaaS-Anwendung aus ausgeführt wird. Es erkennt potenzielle Datenexfiltrationen aus SaaS-Anwendungen in Ihrem Unternehmen, indem es die Zwischenablage überwacht.

Details

Datenquelle: Apps und Desktops (Citrix Enterprise Browser)

CAS-Abfrage

Event-Type = "App.SaaS.Clipboard" AND Clipboard-Result = "success" AND Clipboard-Operation IN ( "copy" , "cut" )
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Clipboard usage on SaaS apps
detection:
  condition: selection and not filter_null and filter_clipboard_details_result and filter_clipboard_operation
  filter_clipboard_details_result:
  - clipboard_details_result: 'success'
  filter_clipboard_operation:
  - clipboard_operation: ['cut', 'copy', '<Other Operation>']
  filter_null:
  - clipboard_operation: null
  - clipboard_details_result: null
  selection:
  - occurrence_event_type: App.SaaS.Clipboard
logsource:
  product: citrixanalytics
  service: security
title: Clipboard usage on SaaS apps
<!--NeedCopy-->
Datenexfiltration