Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Citrix Gateway Risikoindikatoren

September 16, 2025
Beitrag von: 
C C

End Point Analysis (EPA) Scanfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf EPA-Scanfehleraktivitäten und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator für End Point Analysis-Scanfehler verbunden ist, sind die Sonstigen Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzer-Risikoindikatoren.

Wann wird der Risikoindikator für EPA-Scanfehler ausgelöst?

Der Risikoindikator für EPA-Scanfehler wird gemeldet, wenn ein Benutzer versucht, auf das Netzwerk zuzugreifen, indem er ein Gerät verwendet, das die End Point Analysis (EPA)-Scanrichtlinien von Citrix Gateway für die Vor- oder Nachauthentifizierung nicht bestanden hat.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um festzustellen, ob der Benutzer zu viele EPA-Scanfehler hatte. Wenn Citrix Analytics übermäßige EPA-Scanfehler für einen Benutzer feststellt, aktualisiert es den Risikowert des Benutzers und fügt einen Eintrag für den Risikoindikator für EPA-Scanfehler zur Risikochronik des Benutzers hinzu.

Wie analysiert man den Risikoindikator für EPA-Scanfehler?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrfach versucht hat, auf das Netzwerk zuzugreifen, indem er ein Gerät verwendet hat, das den EPA-Scan von Citrix Gateway nicht bestanden hat. Citrix Gateway meldet diesen Fehler an Citrix Analytics, das Lemuel einen aktualisierten Risikowert zuweist. Der Risikoindikator für EPA-Scanfehler wird zur Risikochronik von Lemuel Kildow hinzugefügt.

Um den Eintrag EPA-Scanfehler für einen Benutzer anzuzeigen, navigieren Sie zu Security > Users und wählen Sie den Benutzer aus.

Aus der Risikochronik von Lemuel Kildow können Sie den neuesten gemeldeten Risikoindikator EPA-Scanfehler für den Benutzer auswählen. Wenn Sie einen Eintrag für den Risikoindikator für EPA-Scanfehler aus der Chronik auswählen, wird ein entsprechendes detailliertes Informationsfeld im rechten Bereich angezeigt.

EPA scan failures

  • Der Abschnitt WAS IST PASSIERT bietet eine kurze Zusammenfassung des Risikoindikators für EPA-Scanfehler. Er enthält die Anzahl der nach der Anmeldung gemeldeten EPA-Scanfehler während des ausgewählten Zeitraums.

    EPA scan failures what happened

  • Der Abschnitt EREIGNISDETAILS – SCANFEHLER enthält eine Zeitachsenvisualisierung der einzelnen EPA-Scanfehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem enthält er eine Tabelle, die die folgenden wichtigen Informationen zu jedem Ereignis liefert:

    • Zeit. Die Zeit, zu der der EPA-Scanfehler aufgetreten ist.

    • Client-IP. Die IP-Adresse des Clients, der den EPA-Scanfehler verursacht.

    • Gateway-IP. Die IP-Adresse des Citrix Gateways, das den EPA-Scanfehler gemeldet hat.

    • FQDN. Der FQDN des Citrix Gateways.

    • Ereignisbeschreibung. Kurze Beschreibung des Grundes für den EPA-Scanfehler.

    • Richtlinienname. Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.

    • Sicherheitsausdruck. Der auf dem Citrix Gateway konfigurierte Sicherheitsausdruck.

      EPA scan failure event details

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.

  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt benutzerzugriffsbasierte Bedrohungen basierend auf übermäßigen Authentifizierungsfehlern und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator für übermäßige Authentifizierungsfehler verbunden ist, sind die Anmeldefehler-basierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzer-Risikoindikatoren.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Der Risikoindikator für Anmeldefehler wird gemeldet, wenn der Benutzer innerhalb eines bestimmten Zeitraums mehrere Citrix Gateway-Authentifizierungsfehler feststellt. Die Citrix Gateway-Authentifizierungsfehler können primäre, sekundäre oder tertiäre Authentifizierungsfehler sein, je nachdem, ob die Multi-Faktor-Authentifizierung für den Benutzer konfiguriert ist.

Citrix Gateway erkennt alle Benutzerauthentifizierungsfehler und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um festzustellen, ob der Benutzer zu viele Authentifizierungsfehler hatte. Wenn Citrix Analytics übermäßige Authentifizierungsfehler feststellt, aktualisiert es den Risikowert des Benutzers. Der Risikoindikator für übermäßige Authentifizierungsfehler wird zur Risikochronik des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrfach versucht hat, sich im Netzwerk zu authentifizieren. Citrix Gateway meldet diese Fehler an Citrix Analytics, und Lemuel wird ein aktualisierter Risikowert zugewiesen. Der Risikoindikator Übermäßige Authentifizierungsfehler wird zur Risikochronik von Lemuel Kildow hinzugefügt.

Um den Eintrag für den Risikoindikator Übermäßige Authentifizierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Security > Users und wählen Sie den Benutzer aus.

Aus der Risikochronik von Lemuel Kildow können Sie den neuesten gemeldeten Risikoindikator Übermäßige Authentifizierungsfehler für den Benutzer auswählen. Wenn Sie den Eintrag für den Risikoindikator Übermäßige Authentifizierungsfehler aus der Risikochronik auswählen, wird ein entsprechendes detailliertes Informationsfeld im rechten Bereich angezeigt.

Excessive authentication failures

  • Der Abschnitt WAS IST PASSIERT bietet eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

    Excessive authentication failures what happened

  • Der Abschnitt EREIGNISDETAILS enthält eine Zeitachsenvisualisierung der einzelnen Ereignisse mit übermäßigen Authentifizierungsfehlern, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignis anzeigen:

    • Zeit. Die Zeit, zu der der Anmeldefehler aufgetreten ist.

    • Fehleranzahl. Die Anzahl der Authentifizierungsfehler, die für den Benutzer zum Zeitpunkt des Ereignisses und in den letzten 48 Stunden erkannt wurden.

    • Ereignisbeschreibung. Kurze Beschreibung des Grundes für den Anmeldefehler.

      Excessive authentication failures event details

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.

  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Unmögliche Reise

Citrix Analytics erkennt die Anmeldungen eines Benutzers als riskant, wenn aufeinanderfolgende Anmeldungen aus zwei verschiedenen Ländern innerhalb eines Zeitraums erfolgen, der kürzer ist als die erwartete Reisezeit zwischen den Ländern.

Das Szenario der unmöglichen Reisezeit weist auf folgende Risiken hin:

  • Kompromittierte Anmeldeinformationen: Ein Remote-Angreifer stiehlt die Anmeldeinformationen eines legitimen Benutzers.
  • Geteilte Anmeldeinformationen: Verschiedene Benutzer verwenden dieselben Anmeldeinformationen.

Wann wird der Risikoindikator für unmögliche Reise ausgelöst?

Der Risikoindikator Unmögliche Reise bewertet die Zeit und die geschätzte Entfernung zwischen jedem Paar aufeinanderfolgender Benutzeranmeldungen und wird ausgelöst, wenn die Entfernung größer ist, als eine einzelne Person in dieser Zeit zurücklegen kann.

Hinweis

Dieser Risikoindikator enthält auch eine Logik zur Reduzierung von Fehlalarmen für die folgenden Szenarien, die nicht die tatsächlichen Standorte der Benutzer widerspiegeln:

  • Wenn Benutzer sich über Citrix Gateway von Proxy-Verbindungen aus anmelden.
  • Wenn Benutzer sich über Citrix Gateway von gehosteten Clients aus anmelden.

Wie analysiert man den Risikoindikator für unmögliche Reise?

Betrachten Sie den Benutzer Adam Maxwell, der sich innerhalb einer Minute von zwei Standorten aus anmeldet – Bengaluru, Indien und Oslo, Norwegen. Citrix Analytics erkennt dieses Anmeldeereignis als ein Szenario einer unmöglichen Reise und löst den Risikoindikator Unmögliche Reise aus. Der Risikoindikator wird zur Risikochronik von Adam Maxwell hinzugefügt und ihm wird ein Risikowert zugewiesen.

Um die Risikochronik von Adam Maxwell anzuzeigen, wählen Sie Security > Users. Wählen Sie im Bereich Risky Users den Benutzer Adam Maxwell aus.

Wählen Sie aus der Risikochronik von Adam Maxwell den Risikoindikator Unmögliche Reise aus. Sie können die folgenden Informationen anzeigen:

  • Der Abschnitt WAS IST PASSIERT bietet eine kurze Zusammenfassung des Ereignisses der unmöglichen Reise.

    GW what happened

  • Der Abschnitt INDIKATOR DETAILS enthält die Standorte, von denen sich der Benutzer angemeldet hat, die Zeitdauer zwischen den aufeinanderfolgenden Anmeldungen und die Entfernung zwischen den beiden Standorten.

    GW indicator details

  • Der Abschnitt ANMELDEORT – LETZTE 30 TAGE zeigt eine geografische Kartenansicht der unmöglichen Reisestandorte und bekannten Standorte des Benutzers. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort anzuzeigen.

    GW logon details- last 30 days

  • Der Abschnitt UNMÖGLICHE REISE – EREIGNISDETAILS enthält die folgenden Informationen zum Ereignis der unmöglichen Reise:

    • Zeit: Zeigt Datum und Uhrzeit der Anmeldungen an.
    • Geräte-OS: Zeigt das Betriebssystem des Benutzergeräts an.
    • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.
    • Standort: Zeigt den Standort an, von dem sich der Benutzer angemeldet hat.

    GW impossible travel event details

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.
  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.
  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.
  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Anmeldung von verdächtiger IP

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf der Anmeldeaktivität von einer verdächtigen IP und löst diesen Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator “Anmeldung von verdächtiger IP” verbunden ist, sind die IP-basierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzer-Risikoindikatoren.

Wann wird der Risikoindikator “Anmeldung von verdächtiger IP” ausgelöst?

Der Risikoindikator Anmeldung von verdächtiger IP wird ausgelöst, wenn ein Benutzer versucht, auf das Netzwerk von einer IP-Adresse zuzugreifen, die Citrix Analytics als verdächtig identifiziert. Die IP-Adresse wird unter einer der folgenden Bedingungen als verdächtig angesehen:

  • Ist in der externen IP-Bedrohungsdatenbank aufgeführt

  • Hat mehrere Benutzeranmeldedatensätze von einem ungewöhnlichen Standort

  • Hat übermäßige fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hindeuten könnten

Citrix Analytics überwacht die von Citrix Gateway empfangenen Anmeldeereignisse und erkennt, ob sich ein Benutzer von einer verdächtigen IP angemeldet hat. Wenn Citrix Analytics einen Anmeldeversuch von einer verdächtigen IP erkennt, aktualisiert es den Risikowert des Benutzers und fügt einen Eintrag für den Risikoindikator Anmeldung von verdächtiger IP zur Risikochronik des Benutzers hinzu.

Wie analysiert man den Risikoindikator “Anmeldung von verdächtiger IP”?

Betrachten Sie den Benutzer Lemuel, der versucht hat, auf das Netzwerk von einer IP-Adresse zuzugreifen, die Citrix Analytics als verdächtig identifiziert. Citrix Gateway meldet das Anmeldeereignis an Citrix Analytics, das Lemuel einen aktualisierten Risikowert zuweist. Der Risikoindikator Anmeldung von verdächtiger IP wird zur Risikochronik von Lemuel Kildow hinzugefügt.

Logon from suspicious IP

Um den gemeldeten Risikoindikator “Anmeldung von verdächtiger IP” für einen Benutzer anzuzeigen, navigieren Sie zu Security > Users und wählen Sie den Benutzer aus. Aus der Risikochronik von Lemuel Kildow können Sie den neuesten gemeldeten Risikoindikator Anmeldung von verdächtiger IP für den Benutzer auswählen. Wenn Sie den Eintrag für den Risikoindikator Anmeldung von verdächtiger IP aus der Chronik auswählen, wird ein entsprechendes detailliertes Informationsfeld im rechten Bereich angezeigt.

  • Der Abschnitt WAS IST PASSIERT bietet eine kurze Zusammenfassung des Risikoindikators “Anmeldung von verdächtiger IP”. Er enthält die Anzahl der Anmeldungen von einer verdächtigen IP-Adresse, die während des ausgewählten Zeitraums gemeldet wurden.

    Logon from suspicious IP

  • Der Abschnitt Verdächtige IP enthält die folgenden Informationen:

    Suspicious IP section

    • Verdächtige IP. Die IP-Adresse, die mit einer verdächtigen Anmeldeaktivität verbunden ist.

    • Standort. Die Stadt, Region und das Land des Benutzers. Diese Standorte werden basierend auf der Verfügbarkeit von Daten angezeigt.

    • Potenzielles Risiko auf Organisationsebene. Zeigt Muster verdächtiger IP-Aktivitäten an, die Citrix Analytics kürzlich in Ihrer Organisation erkannt hat. Die riskanten Muster umfassen übermäßige Anmeldefehler, die auf potenzielle Brute-Force-Versuche hindeuten, und ungewöhnliche Zugriffe durch mehrere Benutzer.

      Wenn für eine IP-Adresse in Ihrer Organisation kein riskantes Muster erkannt wird, wird die folgende Meldung angezeigt.

      No risky pattern

    • Community-Intelligenz. Bietet den Bedrohungswert und die Bedrohungskategorien einer IP-Adresse, die in der externen IP-Bedrohungsdatenbank als hohes Risiko identifiziert wurde. Citrix Analytics weist der IP-Adresse mit hohem Risiko einen Risikowert zu. Der Risikowert beginnt bei 80.

      Wenn für eine IP-Adresse keine Bedrohungsdaten in der externen IP-Bedrohungsdatenbank verfügbar sind, wird die folgende Meldung angezeigt.

      No intelligence feed

  • Der Abschnitt EREIGNISDETAILS enthält die folgenden Informationen zur verdächtigen Anmeldeaktivität:

    Logon from suspicious IP

    • Zeit. Die Zeit der verdächtigen Anmeldeaktivität.

    • Client-IP. Die IP-Adresse des Benutzergeräts, das für die verdächtige Anmeldeaktivität verwendet wurde.

    • Geräte-OS. Das Betriebssystem des Browsers.

    • Gerätebrowser. Der Webbrowser, der für die verdächtige Anmeldeaktivität verwendet wurde.

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.

  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Verdächtige Anmeldung

Hinweise

  • Dieser Risikoindikator ersetzt den Risikoindikator “Zugriff von einem ungewöhnlichen Standort”.

  • Alle Richtlinien, die auf dem Risikoindikator “Zugriff von einem ungewöhnlichen Standort” basieren, werden automatisch mit dem Risikoindikator “Verdächtige Anmeldung” verknüpft.

Citrix Analytics erkennt die Anmeldungen des Benutzers als ungewöhnlich oder riskant, basierend auf mehreren kontextuellen Faktoren, die gemeinsam durch das Gerät, den Standort und das vom Benutzer verwendete Netzwerk definiert werden.

Wann wird der Risikoindikator für verdächtige Anmeldung ausgelöst?

Der Risikoindikator wird durch die Kombination der folgenden Faktoren ausgelöst, wobei jeder Faktor basierend auf einer oder mehreren Bedingungen als potenziell verdächtig angesehen wird.

Faktor Bedingungen
Ungewöhnliches Gerät Der Benutzer meldet sich von einem Gerät mit einer Signatur an, die sich von den in den letzten 30 Tagen verwendeten Geräten unterscheidet. Die Gerätesignatur basiert auf dem Betriebssystem des Geräts und dem verwendeten Browser.
Ungewöhnlicher Standort Anmeldung von einer Stadt oder einem Land, von dem sich der Benutzer in den letzten 30 Tagen nicht angemeldet hat.
  Die Stadt oder das Land ist geografisch weit entfernt von den letzten (letzten 30 Tagen) Anmeldeorten.
  Null oder minimale Benutzer haben sich in den letzten 30 Tagen von der Stadt oder dem Land angemeldet.
Ungewöhnliches Netzwerk Anmeldung von einer IP-Adresse, die der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Anmeldung von einem IP-Subnetz, das der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Null oder minimale Benutzer haben sich in den letzten 30 Tagen von dem IP-Subnetz angemeldet.
IP-Bedrohung Die IP-Adresse wird von der Community-Bedrohungsdatenbank Webroot als hohes Risiko identifiziert.
  Citrix Analytics hat kürzlich hochverdächtige Anmeldeaktivitäten von der IP-Adresse von anderen Benutzern erkannt.

Wie analysiert man den Risikoindikator für verdächtige Anmeldung?

Betrachten Sie den Benutzer Adam Maxwell, der sich zum ersten Mal von Andhra Pradesh, Indien, anmeldet. Er verwendet ein Gerät mit einer bekannten Signatur, um auf die Ressourcen der Organisation zuzugreifen. Er verbindet sich jedoch von einem Netzwerk aus, das er in den letzten 30 Tagen nicht verwendet hat.

Citrix Analytics erkennt dieses Anmeldeereignis als verdächtig, da die Faktoren Standort und Netzwerk von seinem üblichen Verhalten abweichen, und löst den Risikoindikator für verdächtige Anmeldung aus. Der Risikoindikator wird zur Risikochronik von Adam Maxwell hinzugefügt und ihm wird ein Risikowert zugewiesen.

Um die Risikochronik von Adam Maxwell anzuzeigen, wählen Sie Security > Users. Wählen Sie im Bereich Risky Users den Benutzer Adam Maxwell aus.

Wählen Sie aus der Risikochronik von Adam Maxwell den Risikoindikator Verdächtige Anmeldung aus. Sie können die folgenden Informationen anzeigen:

  • Der Abschnitt WAS IST PASSIERT bietet eine kurze Zusammenfassung der verdächtigen Aktivitäten, die die Risikofaktoren und die Zeit des Ereignisses umfassen.

    Suspicious logon what happened

  • Der Abschnitt ANMELDEDETAILS bietet eine detaillierte Zusammenfassung der verdächtigen Aktivitäten, die jedem Risikofaktor entsprechen. Jedem Risikofaktor wird ein Wert zugewiesen, der den Verdachtsgrad angibt. Ein einzelner Risikofaktor weist kein hohes Risiko für einen Benutzer auf. Das Gesamtrisiko basiert auf der Korrelation mehrerer Risikofaktoren.

    Verdachtsgrad Angabe
    0–69 Der Faktor erscheint normal und wird nicht als verdächtig angesehen.
    70–89 Der Faktor erscheint leicht ungewöhnlich und wird in Verbindung mit anderen Faktoren als mäßig verdächtig angesehen.
    90–100 Der Faktor ist völlig neu oder ungewöhnlich und wird in Verbindung mit anderen Faktoren als hochverdächtig angesehen.

    Suspicious logon details

  • Der Abschnitt ANMELDEORT – LETZTE 30 TAGE zeigt eine geografische Kartenansicht der letzten bekannten Standorte und des aktuellen Standorts des Benutzers. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort anzuzeigen.

    Suspicious logon locations details

  • Der Abschnitt VERDÄCHTIGE ANMELDUNG – EREIGNISDETAILS enthält die folgenden Informationen zum Ereignis der verdächtigen Anmeldung:

    • Zeit: Zeigt Datum und Uhrzeit der verdächtigen Anmeldung an.

    • Geräte-OS: Zeigt das Betriebssystem des Benutzergeräts an.

    • Gerätebrowser: Zeigt den Webbrowser an, der für die Anmeldung bei Citrix Gateway verwendet wurde.

    Suspicious logon events

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.

  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Ungewöhnlicher Authentifizierungsfehler

Citrix Analytics erkennt zugriffsbasierte Bedrohungen, wenn ein Benutzer Anmeldefehler von einer ungewöhnlichen IP-Adresse hat, und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator für ungewöhnliche Authentifizierung verbunden ist, sind die Anmeldefehler-basierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzer-Risikoindikatoren.

Wann wird der Indikator für ungewöhnliche Authentifizierungsfehler ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Anmeldefehler von einer ungewöhnlichen IP-Adresse hat, die seinem üblichen Verhalten widerspricht.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics empfängt die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator Ungewöhnlicher Authentifizierungsfehler wird zur Risikochronik des Benutzers hinzugefügt.

Wie analysiert man den Indikator für ungewöhnliche Authentifizierungsfehler?

Betrachten Sie den Benutzer Georgina Kalou, die sich routinemäßig über ihre üblichen Heim- und Büronetzwerke bei Citrix Gateway anmeldet. Ein Remote-Angreifer versucht, Georginas Konto durch Raten verschiedener Passwörter zu authentifizieren, was zu Authentifizierungsfehlern von einem unbekannten Netzwerk führt.

In diesem Szenario meldet Citrix Gateway diese Ereignisse an Citrix Analytics, das Georgina Kalou einen aktualisierten Risikowert zuweist. Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird zur Risikochronik von Georgina Kalou hinzugefügt.

Aus der Risikochronik von Georgina Kalou können Sie den gemeldeten Risikoindikator für ungewöhnliche Authentifizierungsfehler auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeit des Ereignisses und dem Standort angezeigt.

Authentication failure

  • Im Abschnitt WAS IST PASSIERT finden Sie eine kurze Zusammenfassung, die die Gesamtzahl der Authentifizierungsfehler und die Zeit des Ereignisses enthält.

  • Im Abschnitt EMPFOHLENE AKTION finden Sie die vorgeschlagenen Aktionen, die auf den Risikoindikator angewendet werden können. Citrix Analytics for Security™ empfiehlt die Aktionen je nach Schwere des vom Benutzer ausgehenden Risikos. Die Empfehlung kann eine oder eine Kombination der folgenden Aktionen sein:

    • Administrator(en) benachrichtigen

    • Zur Beobachtungsliste hinzufügen

    • Eine Richtlinie erstellen

    Sie können eine Aktion basierend auf der Empfehlung auswählen. Oder Sie können eine Aktion auswählen, die Sie je nach Ihrer Wahl aus dem Menü Aktionen anwenden möchten. Weitere Informationen finden Sie unter Eine Aktion manuell anwenden.

    Recommended action

  • Im Abschnitt EREIGNISDETAILS – ANMELDUNG ERFOLG UND FEHLER können Sie ein Diagramm anzeigen, das die ungewöhnlichen Authentifizierungsfehler zusammen mit allen anderen während desselben Zeitraums erkannten Anmeldeaktivitäten anzeigt.

  • Im Abschnitt DETAILS ZUR UNGEWÖHNLICHEN AUTHENTIFIZIERUNG enthält die Tabelle die folgenden Informationen zu den ungewöhnlichen Authentifizierungsfehlern:

    • Anmeldezeit – Datum und Uhrzeit des Ereignisses

    • Client-IP – IP-Adresse des Benutzergeräts

    • Standort – Der Standort, von dem das Ereignis aufgetreten ist

    • Fehlergrund – Der Grund für den Authentifizierungsfehler

      Authentication failure details

  • Im Abschnitt BENUTZERAUTHENTIFIZIERUNGSAKTIVITÄT – LETZTE 30 TAGE enthält die Tabelle die folgenden Informationen zur Authentifizierungsaktivität des Benutzers in den letzten 30 Tagen:

    • Subnetz – Die IP-Adresse aus dem Benutzernetzwerk.

    • Erfolg – Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und die Zeit des letzten erfolgreichen Ereignisses für den Benutzer.

    • Fehler – Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und die Zeit des letzten fehlgeschlagenen Ereignisses für den Benutzer.

    • Standort – Der Standort, von dem das Authentifizierungsereignis aufgetreten ist.

      Authentication activity

Welche Aktionen können Sie für den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Beobachtungsliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn zu einer Beobachtungsliste hinzufügen.

  • Administrator(en) benachrichtigen. Wenn ungewöhnliche oder verdächtige Aktivitäten im Benutzerkonto auftreten, wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Citrix Gateway-Administrator die Aktion “Benutzer abmelden” löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund von anomalem Verhalten gesperrt wird, kann er über Citrix Gateway auf keine Ressourcen zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Anwenden.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen angewendet werden, die andere Datenquellen betreffen.

Citrix Gateway Risikoindikatoren
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.