Citrix Analytics for Security

インサイダーの脅威

珍しいデスクトップ名

これは、ユーザーが通常とは見なされないデスクトップを起動しようとしたときに発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "Session.Logon" AND Session-Launch-Type = "desktop" AND App-Name ~ "<Desktop Name>"
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: Unusual desktop names
detection:
  condition: selection1 and selection2 and not filter_null and filter_app_name
  filter_app_name:
  - app_name|contains: '<App Name>'
  filter_null:
  - app_name: null
  selection1:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
  selection2:
  - launch_type: 'desktop'
logsource:
  product: citrixanalytics
  service: security
title: Unusual desktop names
<!--NeedCopy-->

特定のプロセスを監視する

これは、ウォッチリストにある公開アプリケーションをユーザーが起動したときに発生します。その目的は、特定の公開アプリケーションの使用状況を監視することかもしれません。

詳細

データソース:アプリとデスクトップ (Session Recording)

CAS クエリー

Event-Type = "Citrix.EventMonitor.AppStart" AND App-Name IN ("<App-Name-1>", "<App-Name-2>")
<!--NeedCopy-->

Sigma シグネチャー

author: Citrix
date: 2023/01/31
description: Monitor specific process
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: Citrix.EventMonitor.AppStart
logsource:
  product: citrixanalytics
  service: security
title: Monitor specific process
<!--NeedCopy-->

無許可の仮想アプリ

これは、ユーザーが不正な仮想アプリにアクセスしたときに発生します。

詳細

データソース:アプリとデスクトップ (Workspace アプリ)

CAS クエリー

Event-Type = "App.Start" AND App-Name IN ("<App-Name1>", "<App-Name2>")
<!--NeedCopy-->

Sigma シグネチャー

date: 2023/01/31
description: Unauthorized virtual apps
detection:
  condition: selection and not filter_null and filter_app_name
  filter_app_name:
  - app_name: ['<App-Name1>', '<App-Name2>']
  filter_null:
  - app_name: null
  selection:
  - occurrence_event_type: App.Start
logsource:
  product: citrixanalytics
  service: security
title: Unauthorized virtual apps
<!--NeedCopy-->
インサイダーの脅威