Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien
Citrix Analytics for Security bietet eine Liste vorkonfigurierter benutzerdefinierter Risikoindikatoren und eine Richtlinie, mit der Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren und der Richtlinie sind bereits nach bestimmten Sicherheitsrisikoszenarien wie kompromittierten Benutzern, Insiderbedrohungen und Datenexfiltration definiert. Sie können diese vorkonfigurierten Bedingungen auch ändern oder Ihre eigenen Bedingungen entsprechend Ihren Sicherheitsanforderungen hinzufügen und die benutzerdefinierten Risikoindikatoren verwenden, um die Risiken zu mindern.
Derzeit sind die vorkonfigurierten benutzerdefinierten Risikoindikatoren für die folgenden Szenarien verfügbar:
-
Geofencing
-
Zum ersten Mal Zugriff
Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das Geofencing-Szenario
Verwenden Sie die folgenden vorkonfigurierten benutzerdefinierten Risikoindikatoren, um Benutzerereignisse von außerhalb der geografisch abgegrenzten Bereiche zu erkennen.
-
CVAD-Sitzung begann außerhalb von Geofence
-
GW-Geofence-Überfahrt
Die vorkonfigurierten benutzerdefinierten Risikoindikatoren werden ausgelöst, wenn Benutzer von außerhalb ihres üblichen Betriebslandes oder des Geofence auf die Citrix Produkte zugreifen. Standardmäßig ist der Geofence auf “Vereinigte Staaten” eingestellt. Sie können Ihr gewünschtes Land als Geofence festlegen.
Hinweis
Die außerhalb des Geofence-Risikoindikators gestartete CVAD-Sitzung ist mit den Geofence-Einstellungen der Funktion Access Assurance Location verknüpft. Sie können die Geofence-Länder also nicht direkt unter dem Zustand des Risikoindikators ändern. Um die Geofence-Länder im Risikoindikator zu aktualisieren, wählen Sie die Länder in den Geofence-Einstellungen des Dashboards Access Assurance Location aus. Weitere Informationen finden Sie im Dashboard für den Standort der Zugriffssicherung.
Um die vorkonfigurierten benutzerdefinierten Risikoindikatoren anzuzeigen, wählen Sie Sicherheit > Benutzerdefinierte Risikoindikatoren.
Standardmäßig sind die vorkonfigurierten benutzerdefinierten Risikoindikatoren deaktiviert. Verwenden Sie die Schaltfläche STATUS, um sie zu aktivieren.
In der folgenden Tabelle werden die verschiedenen vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing beschrieben.
| Name des benutzerdefinierten Risikoindikators | Szenario | Benutzerdefinierte Indikatorbedingungen | Datenquelle | Risiko-Kategorie |
|---|---|---|---|---|
| CVAD-Sitzung begann außerhalb von Geofence | Der Benutzer hat eine virtuelle Sitzung außerhalb seines Betriebslandes gestartet | Event-Type = Session.logon Country != “United States” | Citrix Workspace-App | Kompromittierte Benutzer |
| GW-Geofence-Überfahrt | Der Benutzer hat eine erfolgreiche Authentifizierung von außerhalb seines Betriebslandes | Event-Type = “VPN_AI” AND Country != “United States” | NetScaler Gateway (on-premises) | Kompromittierte Benutzer |
Vorkonfigurierte Richtlinie für das Geofencing-Szenario
Citrix bietet eine vorkonfigurierte Richtlinie, die die Aktion Endbenutzerantwort anfordern auf ein Benutzerkonto anwendet, wenn der Benutzer eine virtuelle Sitzung außerhalb seines Betriebslandes startet. Der Benutzer erhält eine E-Mail und basierend auf der Antwort des Benutzers wird eine geeignete Maßnahme ergriffen, z. B. das Hinzufügen des Benutzers zur Beobachtungsliste oder die Benachrichtigung des Administrators über weitere Maßnahmen. Weitere Informationen finden Sie unter Endbenutzer-Antwort anfordern.
Um die vorkonfigurierte Richtlinie anzuzeigen, wählen Sie Sicherheit > Richtlinien aus.
In der folgenden Tabelle wird die vorkonfigurierte Richtlinie für Geofencing beschrieben.
| Richtlinienname | Szenario | Bedingung der Richtlinie | Angewandte Aktion |
|---|---|---|---|
| Sitzungsstart außerhalb von Geofence | Möglichkeit für einen Administrator, die Legitimität des Benutzers durch die Aktion “Antwort des Endbenutzers anfordern” zu überprüfen, wenn der Benutzer die virtuelle Sitzung außerhalb seines Betriebslandes startet | Verwendung mit vorkonfiguriertem benutzerdefiniertem Risikoindikator - “CVAD-Sitzung wurde außerhalb von Geofence gestartet” | Antwort des Endbenutzers anfordern |
| Basierend auf der Antwort des folgenden Benutzers wird die entsprechende Aktion angewendet | |||
| Wenn der Benutzer die Aktivität nicht erkennt: Zur Watchlist hinzufügen | |||
| Wenn der Benutzer die Aktivität erkennt: Keine Aktion erforderlich | |||
| Wenn der Benutzer nicht innerhalb von 60 Minuten nach Erhalt der E-Mail antwortet: Fügen Sie den Benutzer zur Watchlisthinzu |
Hinweis
Die Aktion “ Endbenutzer-Antwort anfordern “ wird nur in der Region USA unterstützt. Wenn Ihre Organisation in Citrix Cloud in die Region Europäische Union eingebunden ist, wird die vorkonfigurierte Richtlinie nicht auf Ihr Konto angewendet. Um die vorkonfigurierte Richtlinie zu verwenden, ändern Sie die Richtlinie und wählen Sie eine andere Aktion Ihrer Wahl aus.
Erstellen Sie Ihre eigene Richtlinie mit vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing
Sie können mit diesen vorkonfigurierten benutzerdefinierten Risikoindikatoren auch Ihre eigenen Richtlinien erstellen und Aktionen wie das Sperren von Benutzern oder das Abmelden von Benutzern anwenden, wenn die Indikatoren ausgelöst werden. Informationen zum Erstellen von Richtlinien finden Sie unter Konfigurieren von Richtlinien und Aktionen.
Das folgende Beispiel zeigt eine Richtlinie, die Benutzer sperrt, die versuchen, von außerhalb der USA auf Citrix-Dienste zuzugreifen. Der Benutzerzugriff ist gesperrt, wenn der Benutzer seine Zugriffsaktivität nicht erkennt.
Zustand: GW-Geofence crossing
Aktion: Antwort des Endbenutzers anfordern
Nächste Aktion: Sperren Sie den Benutzer, wenn der Benutzer die Aktivität nicht erkennt
Hinweis
Die Aktion “ Endbenutzer-Antwort anfordern “ wird nur in der Region USA unterstützt. Wenn Ihre Organisation also in die Region der Europäischen Union eingebunden ist, wählen Sie anstelle der Aktion “ Endbenutzer-Antwort anfordern “ eine andere Aktion Ihrer Wahl aus.
Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das erste Zugriffsszenario
Verwenden Sie die folgenden benutzerdefinierten Risikoindikatoren, um Benutzerereignisse für Erstzugriffsszenarien zu erkennen:
-
CVAD-Erstzugriff von neuem Gerät
-
Gateway-Erstzugriff von neuer IP
Standardmäßig befinden sich diese vorkonfigurierten benutzerdefinierten Risikoindikatoren im Status “Aktiviert”. Verwenden Sie die Schaltfläche STATUS, wenn Sie sie deaktivieren möchten.
In der folgenden Tabelle werden die vorkonfigurierten benutzerdefinierten Risikoindikatoren für den ersten Zugriff beschrieben.
| Name des benutzerdefinierten Indikators | Szenario | Vorkonfigurierte Bedingungen | Datenquelle | Risiko-Kategorie |
|---|---|---|---|---|
| CVAD-Erstzugriff von neuem Gerät | Wenn sich ein Benutzer der Citrix Workspace-App von einer der folgenden Optionen anmeldet | Die folgenden Bedingungen sind standardmäßig aktiviert | Citrix Virtual Apps and Desktops on-premises und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) | Kompromittierte Benutzer |
| Ein neues Gerät | Das erste Mal für eine neue Geräte-ID. | |||
| Ein vorhandenes Gerät, das seit 90 Tagen nicht benutzt wurde. | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Gateway-Erstzugriff von neuer IP | Wenn sich ein NetScaler Gateway-Benutzer erfolgreich von einer der folgenden Optionen anmeldet | Die folgenden Bedingungen sind standardmäßig aktiviert | Citrix Gateway | Kompromittierte Benutzer |
| Eine neue öffentliche IP-Adresse | Das erste Mal für eine neue Client-IP | |||
| Eine vorhandene öffentliche IP-Adresse, die in den letzten 90 Tagen nicht verwendet wurde. | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
In der Bedingungsleiste können Sie zusätzlich zu den vorkonfigurierten Bedingungen auch Ihre eigenen Bedingungen hinzufügen, um Bedrohungen gemäß Ihren Anforderungen zu identifizieren.
Wenn Sie beispielsweise die Benutzerereignisse aus einem bestimmten Land identifizieren möchten, können Sie die Länderdimension zusammen mit der vorkonfigurierten Bedingung hinzufügen:
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”