Citrix Analytics for Security

Points de terminaison compromis

Cela se produit lorsqu’un utilisateur tente d’accéder à du contenu à partir d’un type ou d’une version de navigateur qui n’est pas autorisé par la stratégie informatique de l’entreprise ou en raison de failles de sécurité.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Browser-Name !~ "<Browser-Name>"
<!--NeedCopy-->

L’événement Session.Logon se déclenche lorsqu’un utilisateur saisit ses informations d’identification et se connecte à sa session d’application ou de bureau.

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user accesses content from an authorized browser which might cause an undesirable event or action through the internet.
detection:
  condition: index_selection and selection and not filter
  filter:
  - browser_name|contains: '<Browser-Name>'
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
  - occurrence_event_type: Session.logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized browser
<!--NeedCopy-->

Systèmes d’exploitation non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à un appareil dont le type ou la version du système d’exploitation n’est pas autorisé par la stratégie informatique de votre entreprise ou en raison de failles de sécurité.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND OS-Name ~ "<OS-Name>" AND OS-Version = "<OS-Version>" AND OS-Extra-Info = "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user attempts to access apps from servers with blocked listed operating systems.
detection:
  condition: index_selection and selection
  filter_null: []
  index_selection:
    source: cas_siem_consumer://<env>_<tenant_identifier>
  selection:
    occurrence_event_type: Session.logon
    os_name|contains: '<OS-Name>'
    os_version: '<OS-Version>'
    os_extra_info: '<OS-Extra-Info>'
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems in block list
<!--NeedCopy-->

Adresse IP ou sous-réseaux non autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à partir d’une adresse ou d’une plage IP marquée comme non autorisée par la stratégie informatique de votre entreprise.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Client-IP = "<XX.YY.ZZ.*>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: This occurs when a user accessing content from an unauthorized IPs which might cause an undesirable event or action through the internet.
detection:
  condition: selection and not filter_null and filter
  filter:
  - client_ip: '<IP>'
  filter_null:
  - client_ip: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Access from unauthorized IP
<!--NeedCopy-->

Systèmes d’exploitation non autorisés en dehors de la liste des systèmes autorisés

Cela se produit lorsqu’un utilisateur tente d’accéder à des applications à partir de serveurs hébergeant des systèmes d’exploitation ne figurant pas dans la liste d’autorisation.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND OS-Name !~ "<OS-Name>" AND OS-Version != "<OS-Version>" AND OS-Extra-Info != "<OS-Extra-Info>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Unauthorized operating systems outside allow list
detection:
  condition: selection and not filter_null and not filter_os and not filter_os_version and not filter_os_extra
  filter_os:
  - os_name|contains: '<OS INFO>'
  filter_os_version:
  - os_version: '<OS Version>'
  filter_os_extra:
  - os_extra_info: '<OS Extra Info>'
  filter_null:
  - os_name: null
  - os_version: null
  - os_extra_info: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized operating systems outside allow list
<!--NeedCopy-->

Versions non autorisées de l’application Workspace

Cela se produit lorsqu’un utilisateur tente d’accéder à une version de l’application Workspace qui n’est pas une version cliente prise en charge. Dans ce cas, les utilisateurs doivent mettre à niveau leur client vers une version prise en charge. Pour plus d’informations, consultez la section Versions du client de support.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Client-Type IN ("Windows", "Macintosh", "Unix/Linux") AND Workspace-App-Version != "20*" AND Workspace-App-Version != "21*"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Unsupported Workspace app versions
detection:
  condition: selection and not filter_null and filter_product and not filter_product_version
  filter_product:
  - product: ['Windows', 'Mac', '<Other type>']
  filter_product_version:
  - product_version|contains: ['<Product Version1>', '<Product Version2>']
  filter_null:
  - product: null
  - product_version: null
  selection:
  - occurrence_event_type: Session.Logon
logsource:
  product: citrixanalytics
  service: security
title: Unsupported Workspace app versions
<!--NeedCopy-->
Points de terminaison compromis