Insider-Bedrohungen

September 16, 2025

Beitrag von:

C C

Ungewöhnliche Desktop-Namen

Dies tritt auf, wenn der Benutzer versucht, einen Desktop zu starten, der nicht als üblich angesehen wird.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Sigma-Signatur

author: Citrix®
date: 2023/01/31
description: Ungewöhnliche Desktop-Namen
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  -  app_name|contains: '<App Name>'
  filter_null:
  -  app_name: null
  selection1:
  -  occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  -  launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Ungewöhnliche Desktop-Namen
<!--NeedCopy-->

Spezifischen Prozess überwachen

Dies tritt auf, wenn der Benutzer eine veröffentlichte Anwendung startet, die sich auf der Überwachungsliste befindet. Der Zweck könnte darin bestehen, die Nutzung bestimmter veröffentlichter Anwendungen zu überwachen.

Details

Datenquelle: Apps und Desktops (Sitzungsaufzeichnung)

CAS-Abfrage

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Spezifischen Prozess überwachen
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  -  app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  -  app_name: null
  selection:
  -  occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Spezifischen Prozess überwachen
<!--NeedCopy-->

Nicht autorisierte virtuelle Apps

Dies tritt auf, wenn der Benutzer auf nicht autorisierte virtuelle Apps zugreift.

Details

Datenquelle: Apps und Desktops (Workspace App)

CAS-Abfrage

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Sigma-Signatur

date: 2023/01/31
description: Nicht autorisierte virtuelle Apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  -  app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  -  app_name: null
  selection:
  -  occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Nicht autorisierte virtuelle Apps
<!--NeedCopy-->

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Insider-Bedrohungen

September 16, 2025

Beitrag von:

C C

September 16, 2025

Beitrag von:

C C

War dieser Artikel hilfreich?