Citrix Analytics für Sicherheit

Citrix Gateway-Risikoindikatoren

Fehler beim Scannen von Endpunktanalyse (EPA)

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf EPA-Scanfehlern und löst den entsprechenden Risikoindikator aus.

Der Risikofaktor, der mit dem Risikoindikator für den Endpunktanalyse-Scan verbunden ist, sind die anderen Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für EPA-Scanausfälle ausgelöst?

Der Risikoindikator für EPA-Scanausfälle wird gemeldet, wenn ein Benutzer versucht, mit einem Gerät auf das Netzwerk zuzugreifen, das die End Point Analysis (EPA) Scanrichtlinien von Citrix Gateway zur Vorauthentifizierung oder nach der Authentifizierung fehlgeschlagen hat.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics überwacht all diese Ereignisse, um zu erkennen, ob der Benutzer zu viele EPA-Scanfehler hatte. Wenn Citrix Analytics übermäßige EPA-Scan-Fehler für einen Benutzer feststellt, aktualisiert es den Risikowert des Benutzers und fügt der Risikozeitleiste des Benutzers einen Eintrag für den Risikoindikator des Benutzers hinzu.

Wie analysiert man den EPA-Scan-Ausfallrisikoindikator?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrmals versucht hat, mit einem Gerät auf das Netzwerk zuzugreifen, das den EPA-Scan von Citrix Gateway nicht bestanden hat. Citrix Gateway meldet diesen Fehler Citrix Analytics, das Lemuel einen aktualisierten Risiko-Score zuweist. Der Risikoindikator für den EPA-Scanausfall wird dem Risikozeitplan von Lemuel Kildow hinzugefügt.

Um den Eintrag für den EPA-Scanfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzerund wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Risikoindikator für EPA-Scanfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie einen Eintrag zum Risikoindikator für den EPA-Scanausfall aus der Zeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

EPA-Scan-Fehler

  • Der Abschnitt WHAT HAPPENED, bietet eine kurze Zusammenfassung des Risikoindikators für EPA-Scans. Und beinhaltet die Anzahl der während des ausgewählten Zeitraums gemeldeten EPA-Scan-Fehler nach der Anmeldung.

    EPA-Scan schlägt fehl, was passiert ist

  • Der Abschnitt EVENT DETAILS – SCAN FAILURES enthält eine Timeline-Visualisierung der einzelnen EPA-Scanfehlerereignisse, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem enthält es eine Tabelle, die die folgenden wichtigen Informationen zu jedem Ereignis enthält:

    • Time. Der Zeitpunkt, zu dem der EPA-Scanfehler aufgetreten ist.

    • Client-IP. Die IP-Adresse des Clients, der den Fehler des EPA-Scans verursacht.

    • Gateway-IP. Die IP-Adresse von Citrix Gateway, die den EPA-Scanfehler gemeldet hat.

    • FQDN. Der FQDN von Citrix Gateway.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Fehler des EPA-Scans.

    • Name der Richtlinie. Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.

    • Ausdruck der Sicherheit. Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.

      EPA-Scan-Fehler Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Übermäßige Authentifizierungsfehler

Citrix Analytics erkennt Benutzerzugriffsbedrohungen basierend auf übermäßigen Authentifizierungsfehlern und löst den entsprechenden Risikoindikator aus.

Der mit dem Risikoindikator für übermäßige Authentifizierungsfehler verbundene Risikofaktor sind die auf Anmeldefehlern basierenden Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Risikoindikator für übermäßige Authentifizierungsfehler ausgelöst?

Der Indikator für das Risiko eines Anmeldefehlers wird gemeldet, wenn der Benutzer innerhalb eines bestimmten Zeitraums auf mehrere Citrix Gateway-Authentifizierungsfehler stößt. Die Citrix Gateway-Authentifizierungsfehler können primäre, sekundäre oder tertiäre Authentifizierungsfehler sein, je nachdem, ob die Multifaktor-Authentifizierung für den Benutzer konfiguriert ist.

Citrix Gateway erkennt alle Fehler bei der Benutzerauthentifizierung und meldet diese Ereignisse an Citrix Analytics. Citrix Analytics überwacht alle diese Ereignisse, um festzustellen, ob der Benutzer zu viele Authentifizierungsfehler hatte. Wenn Citrix Analytics übermäßige Authentifizierungsfehler feststellt, aktualisiert es den Risikowert des Benutzers. Der Risikoindikator für übermäßige Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den Risikoindikator für übermäßige Authentifizierungsfehler?

Betrachten Sie den Benutzer Lemuel, der kürzlich mehrere Versuche zur Authentifizierung des Netzwerks nicht bestanden hat. Citrix Gateway meldet diese Fehler an Citrix Analytics, und Lemuel wird eine aktualisierte Risikobewertung zugewiesen. Der Risikoindikator für übermäßige Authentifizierungsfehler wird der Risikozeitleiste von Lemuel Kildow hinzugefügt.

Um den Eintrag Risikoindikator für übermäßige Authentifizierungsfehler für einen Benutzer anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus.

Aus der Risikozeitleiste von Lemuel Kildow können Sie den neuesten Risikoindikator für übermäßige Authentifizierungsfehler auswählen, der für den Benutzer gemeldet wurde. Wenn Sie den Risikoindikator für übermäßige Authentifizierungsfehler aus der Risikozeitleiste auswählen, wird im rechten Fensterbereich ein entsprechendes Detailinformationsfenster angezeigt.

Übermäßige Authentifizierungsfehler

  • Der Abschnitt WHAT HAPPENED, enthält eine kurze Zusammenfassung des Risikoindikators, einschließlich der Anzahl der Authentifizierungsfehler, die während des ausgewählten Zeitraums aufgetreten sind.

    Übermäßige Authentifizierungsfehler was passiert ist

  • Der Abschnitt EVENT DETAILS enthält eine Zeitleistenvisualisierung der einzelnen Ereignisse bei übermäßigen Authentifizierungsfehlern, die während des ausgewählten Zeitraums aufgetreten sind. Außerdem können Sie die folgenden wichtigen Informationen zu jedem Ereignisses anzeigen:

    • Time. Der Zeitpunkt, zu dem der Anmeldefehler aufgetreten ist.

    • Anzahl der Fehler. Die Anzahl der Authentifizierungsfehler, die für den Benutzer zum Zeitpunkt des Ereignisses und für die letzten 48 Stunden festgestellt wurden.

    • Beschreibung des Ereignisses. Kurze Beschreibung des Grundes für den Fehler bei der Anmeldung.

      Übermäßige Authentifizierungsfehler, Ereignisdetails

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Unmögliche Reisen

Citrix Analytics erkennt die Anmeldungen eines Benutzers als riskant, wenn die aufeinanderfolgenden Anmeldungen aus zwei verschiedenen Ländern innerhalb eines Zeitraums erfolgen, der unter der erwarteten Reisezeit zwischen den Ländern liegt.

Das Szenario der unmöglichen Reisezeit weist auf folgende Risiken hin:

  • Kompromittierte Anmeldeinformationen: Ein Remote-Angreifer stiehlt die Anmeldeinformationen eines legitimen Benutzers.
  • Gemeinsame Anmeldeinformationen: Verschiedene Benutzer verwenden dieselben Benutzeranmeldeinformationen.

Wann wird der Indikator Unmögliches Reiserisiko ausgelöst?

Der Indikator für unmögliches Reiserisiko wertet die Zeit und die geschätzte Entfernung zwischen jedem Paar aufeinanderfolgender Benutzeranmeldungen aus und löst aus, wenn die Entfernung größer ist, als eine einzelne Person in dieser Zeit möglicherweise zurücklegen kann.

Hinweis:

Dieser Risikoindikator enthält auch eine Logik zur Reduzierung von Fehlalarmen für die folgenden Szenarien, die nicht die tatsächlichen Standorte der Benutzer widerspiegeln:

  • Wenn sich Benutzer über Citrix Gateway über Proxyverbindungen anmelden.
  • Wenn sich Benutzer über Citrix Gateway von gehosteten Clients aus anmelden.

So analysieren Sie den Indikator für unmögliches Risiko

Stellen Sie sich den Benutzer Adam Maxwell vor, der sich innerhalb einer Minute von zwei Standorten aus anmeldet - Bengaluru, Indien und Oslo, Norwegen. Citrix Analytics erkennt dieses Anmeldeereignis als unmögliches Reiseszenario und löst den Indikator Unmögliche Reise aus. Der Risikoindikator wird dem Risikozeitplan von Adam Maxwell hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um die Risikozeitleiste von Adam Maxwell anzuzeigen, wählen Sie Sicherheit > Benutzeraus. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in Adam Maxwells Risiko-Timeline den Indikator Unmögliches Reiserisiko aus. Sie können die folgenden Informationen anzeigen:

  • Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung des unmöglichen Reiseereignisses.

    GW, was ist passiert

  • Der Abschnitt INDICATOR DETAILS enthält die Standorte, von denen aus sich der Benutzer angemeldet hat, die Zeitdauer zwischen den aufeinanderfolgenden Anmeldungen und die Entfernung zwischen den beiden Standorten.

    Details zur GW-Anzeige

  • Im Abschnitt LOGON LOCATION- LAST 30 DAYS wird eine geografische Kartenansicht der unmöglichen Reiseorte und der bekannten Standorte des Benutzers angezeigt. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

    GW-Anmeldedetails - letzte 30 Tage

  • Der Abschnitt IMPOSSIBLE TRAVEL — EVENT DETAILS enthält die folgenden Informationen über das unmögliche Reiseereignis:

    • Zeit: Gibt das Datum und die Uhrzeit der Anmeldungen an.
    • Gerätebetriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.
    • Client-IP: Zeigt die IP-Adresse des Benutzergeräts an.
    • Standort: Gibt den Ort an, von dem aus sich der Benutzer angemeldet hat.

    Details zu GW unmöglichen Reiseereignissen

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Konto des Benutzers ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.
  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Konto des Benutzers wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.
  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.
  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund eines anomalen Verhaltens gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Benutzerprofil und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Anmeldung von verdächtiger IP

Citrix Analytics erkennt Bedrohungen für den Benutzerzugriff basierend auf der Anmeldeaktivität einer verdächtigen IP und löst diesen Risikoindikator aus.

Der mit dem Indikator Anmeldung von verdächtigen IP-Risiken verbundene Risikofaktor sind die IP-basierten Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird der Indikator “Anmeldung von verdächtigen IP-Risiken” ausgelöst?

Der Risikoindikator “ Anmeldung von verdächtigen IP “ wird ausgelöst, wenn ein Benutzer versucht, von einer IP-Adresse aus, die Citrix Analytics als verdächtig identifiziert, auf das Netzwerk zuzugreifen. Die IP-Adresse wird aufgrund einer der folgenden Bedingungen als verdächtig angesehen:

  • Ist im externen IP-Bedrohungsintelligence-Feed aufgeführt

  • Verfügt über mehrere Benutzeranmeldedatensätze von einem ungewöhnlichen Ort

  • Übermäßige fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten

Citrix Analytics überwacht die Anmeldeereignisse, die von Citrix Gateway empfangen wurden, und erkennt, ob sich ein Benutzer von einer verdächtigen IP angemeldet hat. Wenn Citrix Analytics einen Anmeldeversuch von einer verdächtigen IP erkennt, aktualisiert es den Risikowert des Benutzers und fügt der Risikozeitleiste des Benutzers einen Eintrag für die Anmeldung von verdächtigen IP-Risikoindikatoren hinzu.

Wie analysiere ich die Anmeldung von verdächtigen IP-Risikoindikator?

Betrachten Sie den Benutzer Lemuel, der versucht hat, von einer IP-Adresse, die Citrix Analytics als verdächtig identifiziert, auf das Netzwerk zuzugreifen. Citrix Gateway meldet das Anmeldeereignis an Citrix Analytics, das Lemuel einen aktualisierten Risikowert zuweist. Der Risikoindikator “ Anmeldung von verdächtigen IP “ wird zur Risikozeitleiste von Lemuel Kildow hinzugefügt.

Anmeldung von verdächtiger IP

Um den für einen Benutzer gemeldeten Indikator “Anmeldung von verdächtigen IP-Risiken” anzuzeigen, navigieren Sie zu Sicherheit > Benutzer, und wählen Sie den Benutzer aus. Aus der Risikozeitleiste von Lemuel Kildow können Sie die neueste Anmeldung aus dem für den Benutzer gemeldeten verdächtigen IP-Risikoindikator auswählen. Wenn Sie den Eintrag “ Anmeldung von verdächtigem IP-Risiko “ aus der Zeitleiste auswählen, wird im rechten Bereich ein entsprechender Detailinformationsbereich angezeigt.

  • Der Abschnitt WHAT HAPPENED, bietet eine kurze Zusammenfassung des Risikoindikators “Anmeldung von verdächtigen IP-Adressen”. Und beinhaltet die Anzahl der Anmeldungen von einer verdächtigen IP-Adresse, die während des ausgewählten Zeitraums gemeldet wurden.

    Anmeldung von verdächtiger IP

  • Der Abschnitt Verdächtige IP enthält die folgenden Informationen:

    Verdächtiger IP-Bereich

    • Verdächtige IP. Die IP-Adresse, die mit einer verdächtigen Anmeldeaktivität verknüpft ist.

    • Standort. Die Stadt, die Region und das Land des Nutzers. Diese Standorte werden basierend auf der Verfügbarkeit von Daten angezeigt.

    • Potenzielles Risiko auf Organisationsebene Zeigt alle Muster verdächtiger IP-Aktivitäten an, die Citrix Analytics kürzlich in Ihrer Organisation entdeckt hat. Zu den riskanten Mustern gehören übermäßige Anmeldefehler, die mit potenziellen Brute-Force-Versuchen und ungewöhnlichem Zugriff mehrerer Benutzer übereinstimmen.

      Wenn für eine IP-Adresse in Ihrer Organisation kein riskantes Muster festgestellt wird, wird die folgende Meldung angezeigt.

      Kein riskantes Muster

    • Community-Intelligenz. Stellt den Bedrohungswert und die Bedrohungskategorien einer IP-Adresse bereit, die im externen IP Threat Intelligence-Feed als hohes Risiko identifiziert werden. Citrix Analytics weist der IP-Adresse mit hohem Risiko eine Risikobewertung zu. Der Risikowert beginnt bei 80.

      Wenn für eine IP-Adresse keine Bedrohungsinformationen im externen IP Threat Intelligence Feed verfügbar sind, wird die folgende Meldung angezeigt.

      Kein Intelligenz-Feed

  • Der Abschnitt EVENT-DETAILS enthält die folgenden Informationen über die verdächtige Anmeldeaktivität:

    Anmeldung von verdächtiger IP

    • Time. Der Zeitpunkt der verdächtigen Anmeldeaktivität.

    • Client-IP. Die IP-Adresse des Geräts des Benutzers, das für die verdächtige Anmeldeaktivität verwendet wurde.

    • Geräte-OS. Das Betriebssystem des Browsers.

    • Geräte-Browser. Der Webbrowser, der für die verdächtige Anmeldeaktivität verwendet wird.

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Verdächtige Anmeldung

Hinweise

  • Dieser Risikoindikator ersetzt den Risikoindikator für den Zugriff von einem ungewöhnlichen Standort aus.

  • Alle Richtlinien, die auf dem Risikoindikator Zugriff von einem ungewöhnlichen Ort aus basieren, werden automatisch mit dem Risikoindikator für verdächtige Anmeldung verknüpft.

Citrix Analytics erkennt die Anmeldungen des Benutzers, die ungewöhnlich oder riskant erscheinen, basierend auf mehreren Kontextfaktoren, die gemeinsam durch das Gerät, den Standort und das Netzwerk definiert werden, die vom Benutzer verwendet werden.

Wann wird der Risikoindikator für verdächtige Anmeldung ausgelöst?

Der Risikoindikator wird durch die Kombination der folgenden Faktoren ausgelöst, wobei jeder Faktor aufgrund einer oder mehrerer Bedingungen als potenziell verdächtig angesehen wird.

Faktor Bedingungen
Ungewöhnliches Gerät Der Benutzer meldet sich von einem Gerät mit einer Signatur an, die sich von den in den letzten 30 Tagen verwendeten Geräten unterscheidet. Die Gerätesignatur basiert auf dem Betriebssystem des Geräts und dem verwendeten Browser.
Ungewöhnlicher Ort Melden Sie sich von einer Stadt oder einem Land aus an, in dem sich der Benutzer in den letzten 30 Tagen nicht angemeldet hat.
  Die Stadt oder das Land ist geografisch weit von den letzten (letzten 30 Tagen) Anmeldeorten entfernt.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen von der Stadt oder dem Land aus angemeldet.
Ungewöhnliches Netzwerk Melden Sie sich von einer IP-Adresse aus an, die der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Melden Sie sich von einem IP-Subnetz aus an, das der Benutzer in den letzten 30 Tagen nicht verwendet hat.
  Null oder mindestens Benutzer haben sich in den letzten 30 Tagen vom IP-Subnetz aus angemeldet.
IP-Bedrohung Die IP-Adresse wird vom Community Threat Intelligence Feed Webroot als hohes Risiko identifiziert.
  Citrix Analytics hat kürzlich sehr verdächtige Anmeldeaktivitäten anhand der IP-Adresse anderer Benutzer erkannt.

So analysieren Sie den Risikoindikator für verdächtige Anmeldung

Man denke an den Benutzer Adam Maxwell, der sich zum ersten Mal aus Andhra Pradesh, Indien, anmeldet. Er verwendet ein Gerät mit bekannter Signatur, um auf die Ressourcen der Organisation zuzugreifen. Er stellt jedoch eine Verbindung über ein Netzwerk her, das er in den letzten 30 Tagen nicht genutzt hat.

Citrix Analytics erkennt dieses Anmeldeereignis als verdächtig, da die Faktoren Standort und Netzwerk von seinem üblichen Verhalten abweichen und den Risikoindikator für verdächtige Anmeldung auslösen. Der Risikoindikator wird zu Adam Maxwells Risikozeitplan hinzugefügt und ihm wird ein Risiko-Score zugewiesen.

Um Adam Maxwells Risikozeit anzuzeigen, wählen Sie Sicherheit > Benutzer. Wählen Sie im Bereich Riskante Benutzer den Benutzer Adam Maxwell aus.

Wählen Sie in der Risikozeitleiste von Adam Maxwell den Risikoindikator für verdächtige Anmeldung aus. Sie sehen die folgenden Informationen an:

  • Der Abschnitt WHAT HAPPENED bietet eine kurze Zusammenfassung der verdächtigen Aktivitäten, einschließlich der Risikofaktoren und des Zeitpunkts des Ereignisses.

    Verdächtige Anmeldung, was ist passiert

  • Der Abschnitt LOGON DETAILS enthält eine detaillierte Zusammenfassung der verdächtigen Aktivitäten, die den einzelnen Risikofaktoren entsprechen. Jedem Risikofaktor wird ein Score zugewiesen, der das Verdachtsniveau angibt. Jeder einzelne Risikofaktor weist nicht auf ein hohes Risiko eines Benutzers hin. Das Gesamtrisiko basiert auf der Korrelation der verschiedenen Risikofaktoren.

    Stufe des Verdachts Indikation
    0–69 Der Faktor scheint normal zu sein und wird nicht als verdächtig angesehen.
    70–89 Der Faktor erscheint etwas ungewöhnlich und wird bei anderen Faktoren als mäßig verdächtig angesehen.
    90–100 Der Faktor ist völlig neu oder ungewöhnlich und wird bei anderen Faktoren als äußerst verdächtig angesehen.

    Verdächtige Anmeldedaten

  • Der LOGON LOCATION- LAST 30 DAYS zeigt eine geografische Kartenansicht der letzten bekannten Standorte und des aktuellen Standorts des Benutzers an. Die Standortdaten werden für die letzten 30 Tage angezeigt. Sie können mit der Maus über die Zeiger auf der Karte fahren, um die Gesamtzahl der Anmeldungen von jedem Standort aus anzuzeigen.

    Details zu verdächtigen Anmeldeorten

  • Der Abschnitt SUSPICIOUS LOGON- EVENT DETAILS enthält die folgenden Informationen über das verdächtige Anmeldeereignis:

    • Uhrzeit: Zeigt Datum und Uhrzeit der verdächtigen Anmeldung an.

    • Gerätebetriebssystem: Zeigt das Betriebssystem des Benutzergeräts an.

    • Gerätebrowser: Zeigt den Webbrowser an, mit dem Sie sich bei Citrix Gateway anmelden.

    Verdächtige Anmeldeereignisse

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Ungewöhnliches Authentifizierungs

Citrix Analytics erkennt zugriffsbasierte Bedrohungen, wenn ein Benutzer Anmeldefehler aufgrund einer ungewöhnlichen IP-Adresse hat, und löst den entsprechenden Risikoindikator aus.

Der mit dem Indikator für ungewöhnliche Authentifizierungsrisiken verbundene Risikofaktor sind die auf Anmeldefehlern basierenden Risikoindikatoren. Weitere Informationen zu den Risikofaktoren finden Sie unter Citrix Benutzerrisikoindikatoren.

Wann wird die Anzeige für ungewöhnliche Authentifizierungsfehler ausgelöst?

Sie können benachrichtigt werden, wenn ein Benutzer in Ihrer Organisation Anmeldefehler aufgrund einer ungewöhnlichen IP-Adresse hat, die seinem üblichen Verhalten widerspricht.

Citrix Gateway erkennt diese Ereignisse und meldet sie an Citrix Analytics. Citrix Analytics erhält die Ereignisse und erhöht den Risikowert des Benutzers. Der Risikoindikator für ungewöhnliche Authentifizierungsfehler wird zur Risikozeitleiste des Benutzers hinzugefügt.

Wie analysiert man den ungewöhnlichen Indikator für Authentifizierungsfehler?

Betrachten Sie die Benutzerin Georgina Kalou, die sich routinemäßig von ihren üblichen Heim- und Büronetzwerken aus bei Citrix Gateway anmeldet. Ein Remote-Angreifer versucht, Georginas Konto zu authentifizieren, indem er verschiedene Kennwörter errät, was zu Authentifizierungsfehlern in einem unbekannten Netzwerk führt.

In diesem Szenario meldet Citrix Gateway diese Ereignisse an Citrix Analytics, das Georgina Kalou eine aktualisierte Risikobewertung zuweist. Der Risikoindikator für ungewöhnliche Authentifizierung wird dem Risikozeitplan von Georgina Kalou hinzugefügt.

Aus der Risikozeitleiste von Georgina Kalou können Sie den gemeldeten Risikoindikator für ungewöhnliche Authentifizierungsfehler auswählen. Der Grund für das Ereignis wird zusammen mit Details wie der Zeitpunkt des Ereignisses und dem Ort angezeigt.

Ausfall der Authentifizierung

  • Im Abschnitt WHAT HAPPENED können Sie die kurze Zusammenfassung anzeigen, die die Gesamtzahl der Authentifizierungsfehler und den Zeitpunkt des Ereignisses enthält.

  • Im Abschnitt RECOMMENDED ACTION finden Sie die vorgeschlagenen Maßnahmen, die auf den Risikoindikator angewendet werden können. Citrix Analytics for Security empfiehlt die Aktionen je nach Schweregrad des vom Benutzer ausgehenden Risikos. Die Empfehlung kann eine oder eine Kombination der folgenden Aktionen sein:

    • Administrator (en) benachrichtigen

    • Zur Watchlist hinzufügen

    • Erstellen einer Richtlinie

    Sie können eine Aktion basierend auf der Empfehlung auswählen. Oder Sie können eine Aktion, die Sie je nach Ihrer Wahl anwenden möchten, aus dem Menü Aktionen auswählen. Weitere Informationen finden Sie unter Manuelles Anwenden einer Aktion.

    Empfohlene Aktion

  • Im Abschnitt EVENT DETAILS – LOGON SUCCESS and FAILURES können Sie ein Diagramm anzeigen, das die ungewöhnlichen Authentifizierungsfehler anzeigt, zusammen mit allen anderen Anmeldeaktivitäten, die während derselben Dauer erkannt wurden.

  • Im Abschnitt UNUSUAL AUTHENTICATION DETAILS enthält die Tabelle die folgenden Informationen zu den ungewöhnlichen Authentifizierungsfehlern:

    • Anmeldezeit — Datum und Uhrzeit des Ereignisses

    • Client-IP — IP-Adresse des Benutzergeräts

    • Ort — Der Ort, von dem aus das Ereignis stattgefunden hat

    • Grund für den Ausfall — Der Grund für das Scheitern der

      Details zum Authentifizierungsfehler

  • Im Abschnitt USER AUTHENTICATION ACTIVITY – PREVIOUS 30 DAYS enthält die Tabelle die folgenden Informationen über die letzten 30 Tage der Authentifizierungsaktivität für den Benutzer:

    • Subnetz — Die IP-Adresse aus dem Benutzernetzwerk.

    • Erfolg — Die Gesamtzahl der erfolgreichen Authentifizierungsereignisse und der Zeitpunkt des letzten Erfolgsereignisses für den Benutzer.

    • Fehler — Die Gesamtzahl der fehlgeschlagenen Authentifizierungsereignisse und der Zeitpunkt des letzten fehlgeschlagenen Ereignisses für den Benutzer.

    • Ort — Der Ort, von dem aus das Authentifizierungsereignis stattgefunden hat.

      Aktivität zur Authentifizierung

Welche Aktionen können Sie auf den Benutzer anwenden?

Sie können die folgenden Aktionen für das Benutzerkonto ausführen:

  • Zur Merkliste hinzufügen. Wenn Sie einen Benutzer auf zukünftige potenzielle Bedrohungen überwachen möchten, können Sie ihn einer Watchlist hinzufügen.

  • Benachrichtigen Sie Administrator(en). Bei ungewöhnlichen oder verdächtigen Aktivitäten im Benutzerkonto wird eine E-Mail-Benachrichtigung an alle oder ausgewählte Administratoren gesendet.

  • Benutzer abmelden. Wenn ein Benutzer von seinem Konto abgemeldet ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Citrix Gateway-Administrator die Aktion Benutzer abmelden löscht.

  • Benutzer sperren: Wenn das Konto eines Benutzers aufgrund anomalem Verhalten gesperrt ist, kann er nicht über Citrix Gateway auf eine Ressource zugreifen, bis der Gateway-Administrator das Konto entsperrt hat.

Weitere Informationen zu Aktionen und deren manueller Konfiguration finden Sie unter Richtlinien und Aktionen.

Um die Aktionen manuell auf den Benutzer anzuwenden, navigieren Sie zum Profil des Benutzers und wählen Sie den entsprechenden Risikoindikator aus. Wählen Sie im Menü Aktionen eine Aktion aus und klicken Sie auf Übernehmen.

Hinweis

Unabhängig von der Datenquelle, die einen Risikoindikator auslöst, können Aktionen in Bezug auf andere Datenquellen angewendet werden.

Citrix Gateway-Risikoindikatoren