Endpoints comprometidos
Navegador no autorizado
Esto ocurre cuando un usuario intenta acceder al contenido desde un tipo o versión de navegador que no está permitido por la directiva de TI de la organización o debido a vulnerabilidades de seguridad.
Detalles
Fuente de datos: aplicaciones y escritorios (aplicación Workspace)
Consulta CAS
Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->
El evento Session.Logon se desencadena cuando un usuario introduce sus credenciales e inicia sesión en su aplicación o escritorio.
Firma Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
condition: index_selection and selection and not filter
filter:
- browser_name|contains: '<Browser-Name>'
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
- occurrence_event_type: Session.logon
logsource:
product: citrixanalytics
service: security
title: Access from unauthorized browser
<!--NeedCopy-->
Sistemas operativos no autorizados
Esto ocurre cuando un usuario intenta acceder a un dispositivo con un tipo o versión de sistema operativo que no está permitido por la directiva de TI de la organización o debido a vulnerabilidades de seguridad.
Detalles
Fuente de datos: aplicaciones y escritorios (aplicación Workspace)
Consulta CAS
Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->
Firma Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
condition: index_selection and selection
filter_null: []
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
occurrence_event_type: Session.logon
os_name|contains: '<OS-Name>'
os_version: '<OS-Version>'
os_extra_info: '<OS-Extra-Info>'
logsource:
product: citrixanalytics
service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->
Dirección IP o subredes no autorizadas
Esto ocurre cuando un usuario intenta acceder desde una dirección IP o un rango que la directiva de TI de su organización marca como no autorizados.
Detalles
Fuente de datos: aplicaciones y escritorios (aplicación Workspace)
Consulta CAS
Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->
Firma Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
condition: selection and not filter_null and filter
filter:
- client_ip: '<IP>'
filter_null:
- client_ip: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Access from unauthorized IP
<!--NeedCopy-->
Sistemas operativos no autorizados fuera de la lista de permitidos
Esto ocurre cuando un usuario intenta acceder a las aplicaciones desde servidores que alojan sistemas operativos fuera de la lista de permitidos.
Detalles
Fuente de datos: aplicaciones y escritorios (aplicación Workspace)
Consulta CAS
Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->
Firma Sigma
author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
filter_os:
- os_name|contains: '<OS INFO>'
filter_os_version:
- os_version: '<OS Version>'
filter_os_extra:
- os_extra_info: '<OS Extra Info>'
filter_null:
- os_name: null
- os_version: null
- os_extra_info: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->
Versiones no autorizadas de la aplicación Workspace
Esto ocurre cuando un usuario intenta acceder a una versión de la aplicación Workspace que no es una versión de cliente compatible. En esos casos, los usuarios deben actualizar su cliente a una versión compatible. Para obtener más información, consulte Compatibilidad con las versiones de los clientes.
Detalles
Fuente de datos: aplicaciones y escritorios (aplicación Workspace)
Consulta CAS
Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->
Firma Sigma
author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
condition: selection and not filter_null and filter_product and not filter_product_version
filter_product:
- product: ['Windows', 'Mac', '<Other type>']
filter_product_version:
- product_version|contains: ['<Product Version1>', '<Product Version2>']
filter_null:
- product: null
- product_version: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->