Citrix Analytics for Security

Amenazas internas

Nombres de escritorio inusuales

Esto ocurre cuando el usuario intenta iniciar un escritorio que no se considera habitual.

Detalles

Fuente de datos: aplicaciones y escritorios (aplicación Workspace)

Consulta CAS

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Firma Sigma

author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  - app_name|contains: '<App Name>'
  filter_null:
  - app_name: null
  selection1:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  - launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Unusual desktop names
<!--NeedCopy-->

Supervise un proceso específico

Esto ocurre cuando el usuario inicia una aplicación publicada que está en la lista de observación. El propósito podría ser monitorear el uso de aplicaciones publicadas específicas.

Detalles

Fuente de datos: aplicaciones y escritorios (grabación de sesiones)

Consulta CAS

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Firma Sigma

author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Monitor specific process
<!--NeedCopy-->

Aplicaciones virtuales no autorizadas

Esto ocurre cuando el usuario accede a aplicaciones virtuales no autorizadas.

Detalles

Fuente de datos: aplicaciones y escritorios (aplicación Workspace)

Consulta CAS

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Firma Sigma

date: 2023/01/31
description: Unauthorized virtual apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized virtual apps
<!--NeedCopy-->
Amenazas internas