Points de terminaison compromis
Navigateur non autorisé
Cela se produit lorsqu’un utilisateur tente d’accéder à du contenu à partir d’un type ou d’une version de navigateur qui n’est pas autorisé par la stratégie informatique de l’entreprise ou en raison de failles de sécurité.
Détails
Source de données : applications et ordinateurs de bureau (application Workspace)
Requête CAS
Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->
L’événement Session.Logon se déclenche lorsqu’un utilisateur saisit ses informations d’identification et se connecte à sa session d’application ou de bureau.
Signature Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
condition: index_selection and selection and not filter
filter:
- browser_name|contains: '<Browser-Name>'
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
- occurrence_event_type: Session.logon
logsource:
product: citrixanalytics
service: security
title: Access from unauthorized browser
<!--NeedCopy-->
Systèmes d’exploitation non autorisés
Cela se produit lorsqu’un utilisateur tente d’accéder à un appareil dont le type ou la version du système d’exploitation n’est pas autorisé par la stratégie informatique de votre entreprise ou en raison de failles de sécurité.
Détails
Source de données : applications et ordinateurs de bureau (application Workspace)
Requête CAS
Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->
Signature Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
condition: index_selection and selection
filter_null: []
index_selection:
source: cas_siem_consumer://<env>_<tenant_identifier>
selection:
occurrence_event_type: Session.logon
os_name|contains: '<OS-Name>'
os_version: '<OS-Version>'
os_extra_info: '<OS-Extra-Info>'
logsource:
product: citrixanalytics
service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->
Adresse IP ou sous-réseaux non autorisés
Cela se produit lorsqu’un utilisateur tente d’accéder à partir d’une adresse ou d’une plage IP marquée comme non autorisée par la stratégie informatique de votre entreprise.
Détails
Source de données : applications et ordinateurs de bureau (application Workspace)
Requête CAS
Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->
Signature Sigma
author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
condition: selection and not filter_null and filter
filter:
- client_ip: '<IP>'
filter_null:
- client_ip: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Access from unauthorized IP
<!--NeedCopy-->
Systèmes d’exploitation non autorisés en dehors de la liste des systèmes autorisés
Cela se produit lorsqu’un utilisateur tente d’accéder à des applications à partir de serveurs hébergeant des systèmes d’exploitation ne figurant pas dans la liste d’autorisation.
Détails
Source de données : applications et ordinateurs de bureau (application Workspace)
Requête CAS
Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->
Signature Sigma
author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
filter_os:
- os_name|contains: '<OS INFO>'
filter_os_version:
- os_version: '<OS Version>'
filter_os_extra:
- os_extra_info: '<OS Extra Info>'
filter_null:
- os_name: null
- os_version: null
- os_extra_info: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->
Versions non autorisées de l’application Workspace
Cela se produit lorsqu’un utilisateur tente d’accéder à une version de l’application Workspace qui n’est pas une version cliente prise en charge. Dans ce cas, les utilisateurs doivent mettre à niveau leur client vers une version prise en charge. Pour plus d’informations, consultez la section Versions du client de support.
Détails
Source de données : applications et ordinateurs de bureau (application Workspace)
Requête CAS
Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->
Signature Sigma
author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
condition: selection and not filter_null and filter_product and not filter_product_version
filter_product:
- product: ['Windows', 'Mac', '<Other type>']
filter_product_version:
- product_version|contains: ['<Product Version1>', '<Product Version2>']
filter_null:
- product: null
- product_version: null
selection:
- occurrence_event_type: Session.Logon
logsource:
product: citrixanalytics
service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->