Citrix Analytics für Sicherheit

Insider-Bedrohungen

Ungewöhnliche Desktop-Namen

Dies tritt auf, wenn der Benutzer versucht, einen Desktop zu starten, der nicht als normal angesehen wird.

Details

Datenquelle: Apps und Desktops (Workspace-App)

CAS-Abfrage

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  - app_name|contains: '<App Name>'
  filter_null:
  - app_name: null
  selection1:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  - launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Unusual desktop names
<!--NeedCopy-->

Spezifischen Prozess überwachen

Dies passiert, wenn der Benutzer eine veröffentlichte Anwendung startet, die sich in der Überwachungsliste befindet. Der Zweck könnte darin bestehen, die Nutzung bestimmter veröffentlichter Anwendungen zu überwachen.

Details

Datenquelle: Apps und Desktops (Sitzungsaufzeichnung)

CAS-Abfrage

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Sigma-Signatur

author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Monitor specific process
<!--NeedCopy-->

Nicht autorisierte virtuelle Apps

Dies tritt auf, wenn der Benutzer auf nicht autorisierte virtuelle Apps zugreift.

Details

Datenquelle: Apps und Desktops (Workspace-App)

CAS-Abfrage

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Sigma-Signatur

date: 2023/01/31
description: Unauthorized virtual apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized virtual apps
<!--NeedCopy-->
Insider-Bedrohungen