Citrix Analytics for Security

Menaces internes

Noms de bureau inhabituels

Cela se produit lorsque l’utilisateur tente de lancer un poste de travail qui n’est pas considéré comme habituel.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  - app_name|contains: '<App Name>'
  filter_null:
  - app_name: null
  selection1:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  - launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Unusual desktop names
<!--NeedCopy-->

Surveiller un processus spécifique

Cela se produit lorsque l’utilisateur lance une application publiée figurant dans la liste de surveillance. L’objectif pourrait être de surveiller l’utilisation de certaines applications publiées.

Détails

Source de données : applications et ordinateurs de bureau (enregistrement de session)

Requête CAS

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Signature Sigma

author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Monitor specific process
<!--NeedCopy-->

Applications virtuelles non autorisées

Cela se produit lorsque l’utilisateur accède à des applications virtuelles non autorisées.

Détails

Source de données : applications et ordinateurs de bureau (application Workspace)

Requête CAS

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Signature Sigma

date: 2023/01/31
description: Unauthorized virtual apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized virtual apps
<!--NeedCopy-->
Menaces internes