Citrix Analytics für Sicherheit

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien

Citrix Analytics for Security bietet eine Liste vorkonfigurierter benutzerdefinierter Risikoindikatoren und eine Richtlinie, mit der Sie die Sicherheit Ihrer Citrix Infrastruktur überwachen können. Die Bedingungen dieser vorkonfigurierten benutzerdefinierten Risikoindikatoren und der Richtlinie sind bereits nach bestimmten Sicherheitsrisikoszenarien wie kompromittierten Benutzern, Insiderbedrohungen und Datenexfiltration definiert. Sie können diese vorkonfigurierten Bedingungen auch ändern oder Ihre eigenen Bedingungen entsprechend Ihren Sicherheitsanforderungen hinzufügen und die benutzerdefinierten Risikoindikatoren verwenden, um die Risiken zu mindern.

Derzeit sind die vorkonfigurierten benutzerdefinierten Risikoindikatoren für die folgenden Szenarien verfügbar:

  • Geofencing

  • Zum ersten Mal Zugriff

Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das Geofencing-Szenario

Verwenden Sie die folgenden vorkonfigurierten benutzerdefinierten Risikoindikatoren, um Benutzerereignisse von außerhalb der geografisch abgegrenzten Bereiche zu erkennen.

  • CVAD-Sitzung begann außerhalb von Geofence

  • GW-Geofence-Überfahrt

Die vorkonfigurierten benutzerdefinierten Risikoindikatoren werden ausgelöst, wenn Benutzer von außerhalb ihres üblichen Betriebslandes oder des Geofence auf die Citrix Produkte zugreifen. Standardmäßig ist der Geofence auf “Vereinigte Staaten” eingestellt. Sie können Ihr gewünschtes Land als Geofence festlegen.

Hinweis

Die außerhalb des Geofence-Risikoindikators gestartete CVAD-Sitzung ist mit den Geofence-Einstellungen der Funktion Access Assurance Location verknüpft. Sie können die Geofence-Länder also nicht direkt unter dem Zustand des Risikoindikators ändern. Um die Geofence-Länder im Risikoindikator zu aktualisieren, wählen Sie die Länder in den Geofence-Einstellungen des Dashboards Access Assurance Location aus. Weitere Informationen finden Sie im Dashboard für den Standort der Zugriffssicherung.

Um die vorkonfigurierten benutzerdefinierten Risikoindikatoren anzuzeigen, wählen Sie Sicherheit > Benutzerdefinierte Risikoindikatoren.

Standardmäßig sind die vorkonfigurierten benutzerdefinierten Risikoindikatoren deaktiviert. Verwenden Sie die Schaltfläche STATUS, um sie zu aktivieren.

Vorkonfigurierte individuelle Risikoindikatoren

In der folgenden Tabelle werden die verschiedenen vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing beschrieben.

Name des benutzerdefinierten Risikoindikators Szenario Benutzerdefinierte Indikatorbedingungen Datenquelle Risiko-Kategorie
CVAD-Sitzung begann außerhalb von Geofence Der Benutzer hat eine virtuelle Sitzung außerhalb seines Betriebslandes gestartet Event-Type = Session.logon Country != “United States” Citrix Workspace-App Kompromittierte Benutzer
GW-Geofence-Überfahrt Der Benutzer hat eine erfolgreiche Authentifizierung von außerhalb seines Betriebslandes Event-Type = “VPN_AI” AND Country != “United States” NetScaler Gateway (on-premises) Kompromittierte Benutzer

Vorkonfigurierte Richtlinie für das Geofencing-Szenario

Citrix bietet eine vorkonfigurierte Richtlinie, die die Aktion Endbenutzerantwort anfordern auf ein Benutzerkonto anwendet, wenn der Benutzer eine virtuelle Sitzung außerhalb seines Betriebslandes startet. Der Benutzer erhält eine E-Mail und basierend auf der Antwort des Benutzers wird eine geeignete Maßnahme ergriffen, z. B. das Hinzufügen des Benutzers zur Beobachtungsliste oder die Benachrichtigung des Administrators über weitere Maßnahmen. Weitere Informationen finden Sie unter Endbenutzer-Antwort anfordern.

Um die vorkonfigurierte Richtlinie anzuzeigen, wählen Sie Sicherheit > Richtlinien aus.

Vorkonfigurierte Richtlinie

In der folgenden Tabelle wird die vorkonfigurierte Richtlinie für Geofencing beschrieben.

Richtlinienname Szenario Bedingung der Richtlinie Angewandte Aktion
Sitzungsstart außerhalb von Geofence Möglichkeit für einen Administrator, die Legitimität des Benutzers durch die Aktion “Antwort des Endbenutzers anfordern” zu überprüfen, wenn der Benutzer die virtuelle Sitzung außerhalb seines Betriebslandes startet Verwendung mit vorkonfiguriertem benutzerdefiniertem Risikoindikator - “CVAD-Sitzung wurde außerhalb von Geofence gestartet” Antwort des Endbenutzers anfordern
      Basierend auf der Antwort des folgenden Benutzers wird die entsprechende Aktion angewendet
      Wenn der Benutzer die Aktivität nicht erkennt: Zur Watchlist hinzufügen
      Wenn der Benutzer die Aktivität erkennt: Keine Aktion erforderlich
      Wenn der Benutzer nicht innerhalb von 60 Minuten nach Erhalt der E-Mail antwortet: Fügen Sie den Benutzer zur Watchlisthinzu

Hinweis

Die Aktion “ Endbenutzer-Antwort anfordern “ wird nur in der Region USA unterstützt. Wenn Ihre Organisation in Citrix Cloud in die Region Europäische Union eingebunden ist, wird die vorkonfigurierte Richtlinie nicht auf Ihr Konto angewendet. Um die vorkonfigurierte Richtlinie zu verwenden, ändern Sie die Richtlinie und wählen Sie eine andere Aktion Ihrer Wahl aus.

Erstellen Sie Ihre eigene Richtlinie mit vorkonfigurierten benutzerdefinierten Risikoindikatoren für Geofencing

Sie können mit diesen vorkonfigurierten benutzerdefinierten Risikoindikatoren auch Ihre eigenen Richtlinien erstellen und Aktionen wie das Sperren von Benutzern oder das Abmelden von Benutzern anwenden, wenn die Indikatoren ausgelöst werden. Informationen zum Erstellen von Richtlinien finden Sie unter Konfigurieren von Richtlinien und Aktionen.

Das folgende Beispiel zeigt eine Richtlinie, die Benutzer sperrt, die versuchen, von außerhalb der USA auf Citrix-Dienste zuzugreifen. Der Benutzerzugriff ist gesperrt, wenn der Benutzer seine Zugriffsaktivität nicht erkennt.

Zustand: GW-Geofence crossing

Aktion: Antwort des Endbenutzers anfordern

Nächste Aktion: Sperren Sie den Benutzer, wenn der Benutzer die Aktivität nicht erkennt

Beispiel für Geofencing

Hinweis

Die Aktion “ Endbenutzer-Antwort anfordern “ wird nur in der Region USA unterstützt. Wenn Ihre Organisation also in die Region der Europäischen Union eingebunden ist, wählen Sie anstelle der Aktion “ Endbenutzer-Antwort anfordern “ eine andere Aktion Ihrer Wahl aus.

Vorkonfigurierte benutzerdefinierte Risikoindikatoren für das erste Zugriffsszenario

Verwenden Sie die folgenden benutzerdefinierten Risikoindikatoren, um Benutzerereignisse für Erstzugriffsszenarien zu erkennen:

  • CVAD-Erstzugriff von neuem Gerät

  • Gateway-Erstzugriff von neuer IP

Standardmäßig befinden sich diese vorkonfigurierten benutzerdefinierten Risikoindikatoren im Status “Aktiviert”. Verwenden Sie die Schaltfläche STATUS, wenn Sie sie deaktivieren möchten.

Liste der ersten Zugriffs-Ci

In der folgenden Tabelle werden die vorkonfigurierten benutzerdefinierten Risikoindikatoren für den ersten Zugriff beschrieben.

Name des benutzerdefinierten Indikators Szenario Vorkonfigurierte Bedingungen Datenquelle Risiko-Kategorie
CVAD-Erstzugriff von neuem Gerät Wenn sich ein Benutzer der Citrix Workspace-App von einer der folgenden Optionen anmeldet Die folgenden Bedingungen sind standardmäßig aktiviert Citrix Virtual Apps and Desktops on-premises und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) Kompromittierte Benutzer
  Ein neues Gerät Das erste Mal für eine neue Geräte-ID.    
  Ein vorhandenes Gerät, das seit 90 Tagen nicht benutzt wurde. Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
Gateway-Erstzugriff von neuer IP Wenn sich ein NetScaler Gateway-Benutzer erfolgreich von einer der folgenden Optionen anmeldet Die folgenden Bedingungen sind standardmäßig aktiviert Citrix Gateway Kompromittierte Benutzer
  Eine neue öffentliche IP-Adresse Das erste Mal für eine neue Client-IP    
  Eine vorhandene öffentliche IP-Adresse, die in den letzten 90 Tagen nicht verwendet wurde. Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

In der Bedingungsleiste können Sie zusätzlich zu den vorkonfigurierten Bedingungen auch Ihre eigenen Bedingungen hinzufügen, um Bedrohungen gemäß Ihren Anforderungen zu identifizieren.

Wenn Sie beispielsweise die Benutzerereignisse aus einem bestimmten Land identifizieren möchten, können Sie die Länderdimension zusammen mit der vorkonfigurierten Bedingung hinzufügen:

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

Vorkonfigurierte benutzerdefinierte Risikoindikatoren und Richtlinien