Eventos de App Protection en Director y Monitor
Introducción
Citrix Workspace app (CWA) para Windows introduce comprobaciones de seguridad integradas que detectan automáticamente condiciones de alto riesgo en los puntos finales, como Microsoft Recall, sin necesidad de configuración manual. Estas detecciones proporcionan visibilidad en tiempo real al informar de los eventos a Citrix Director y Monitor, lo que permite a los administradores evaluar rápidamente el riesgo y aplicar medidas de protección como las directivas de App Protection.
Aunque la detección de eventos seleccionados (por ejemplo, Microsoft Recall) es automática, la protección contra estos eventos requiere la configuración manual de las directivas de App Protection por parte del administrador.
Al utilizar la gestión proactiva de riesgos y la reconfiguración de directivas, los administradores pueden fortalecer la seguridad de los puntos finales en su entorno y reducir la exposición a las amenazas emergentes. Este enfoque proactivo refuerza el compromiso de Citrix® con la entrega segura de aplicaciones al ayudar a las organizaciones a identificar y responder a las amenazas en tiempo real.
Requisitos previos
- Citrix Virtual Delivery Agent: VDA versión 2507 o posterior.
- Citrix Director: Citrix Virtual Apps and Desktops 2603 o posterior.
- Citrix Monitor: DDC versión 128 o posterior.
-
Citrix Workspace app (CWA) para Windows: Se requiere la versión 2603 o posterior en el punto final.
- Para los eventos de protección, el administrador debe configurar las directivas de App Protection pertinentes (por ejemplo, Anti-screen capture, Anti-DLL injection) a través de la directiva de Citrix.
Tipos de eventos
Detección de Microsoft Recall
Windows Recall es un agente de IA que se ejecuta en el punto final y captura y almacena continuamente instantáneas del contenido de la pantalla del usuario localmente para su análisis. Estas instantáneas pueden incluir información confidencial como:
- Credenciales corporativas introducidas durante el inicio de sesión.
- Datos confidenciales de aplicaciones mostrados en escritorios virtuales o aplicaciones publicadas.
- Documentos propietarios y propiedad intelectual visibles durante una sesión.

Si se explota, esta función podría permitir a atacantes o usuarios no autorizados recuperar datos confidenciales del dispositivo, incluso después de que finalice la sesión.
¿Cuándo se envía este evento?
Durante el inicio de la sesión, CWA detecta automáticamente si Windows Recall está activo en el punto final.
- Evento de detección: Se envía si se detecta Recall y la sesión no tiene habilitada la política de protección contra capturas de pantalla.
- Evento de protección: Se envía si se detecta Recall y la sesión tiene habilitada la política de protección contra capturas de pantalla.

Datos específicos del evento
Este evento utiliza solo los campos comunes; no incluye campos adicionales más allá de resourceType y resourceName.
Detección de captura de pantalla
Se genera un evento de captura de pantalla cuando un usuario o una herramienta intenta tomar una captura de pantalla del escritorio del punto final. Si la política Protección de aplicaciones contra capturas de pantalla está habilitada, el contenido de la sesión se oscurece para la herramienta de captura. La herramienta aún puede capturar la región del escritorio fuera de la sesión, pero el contenido de la sesión en sí está oculto.
¿Cuándo se envía este evento?
Se envía un screenCaptureEvent cuando CWA detecta una herramienta de captura de pantalla intentando activamente capturar la pantalla mientras una sesión con la política de protección contra capturas de pantalla está habilitada y en ejecución. El evento incluye el nombre y la ruta de la herramienta, junto con su estado de firma.

Detección de inyección de DLL
Una DLL (Dynamic Link Library) es una biblioteca ejecutable. La inyección de DLL se produce cuando un proceso inyecta DLL en procesos de Citrix. Estas DLL se pueden inyectar por varias razones, tanto legítimas (por ejemplo, controladores de gráficos, software antivirus) como maliciosas (por ejemplo, interceptar el tráfico de red, interceptar credenciales).
La protección de aplicaciones Anti-DLL Injection evita que se inyecten DLL sin firmar en procesos específicos de Citrix. Una DLL sin firmar que se inyecta en un proceso de Citrix se considera un evento de inyección de DLL.
¿Cuándo se envía este evento?
Se envía un evento de inyección de DLL cuando CWA detecta que se está inyectando una DLL sin firmar en un proceso de Citrix protegido mientras la directiva Anti-DLL injection está habilitada.

Detalles de datos y eventos
Esquema de eventos comunes
Todos los eventos de seguridad de los puntos finales comparten un sobre común que se notifica a Director y Monitor:
| Campo | Descripción | Ejemplo |
|---|---|---|
deviceName |
Nombre del equipo del punto final. | WORKSTATION-01 |
username |
Usuario con sesión iniciada (formato UPN). | john@example.com |
timestamp |
Marca de tiempo de época Unix en milisegundos. | 1733805466000 |
osVersion |
Versión del sistema operativo del punto final. | Windows 11 Pro |
cwaVersion |
Versión de la aplicación Citrix Workspace en el punto final. | 25.3.2.196 |
ipAddress |
Dirección IP del punto final. | 123.45.67.89 |
version |
Versión del esquema de eventos. | 1.0 |
eventType |
Identificador del tipo de evento de seguridad. | recallEvent |
payloadType |
0 = Detección (amenaza identificada); 1 = Protección (mitigada). | 0 |
component |
Componente de CWA que generó el evento. | AppProtection |
Cada evento también incluye un objeto EndpointSecurityAdditionalData que contiene:
| Campo | Descripción | Ejemplo |
|---|---|---|
resourceType |
Tipo de recurso asociado al evento. | ICA session |
resourceName |
Nombre descriptivo del recurso publicado. | Prod_Win11_Session |
Datos específicos del evento de captura de pantalla
Además de los campos comunes, EndpointSecurityAdditionalData incluye:
| Campo | Descripción | Ejemplo |
|---|---|---|
screenCaptureToolName |
Nombre ejecutable de la herramienta detectada. | obs64.exe |
screenCaptureToolPath |
Ruta completa del sistema de archivos al ejecutable de la herramienta. | C:\Program Files\obs-studio\bin\64bit |
signed |
Si el ejecutable detectado está firmado digitalmente. | true |
Datos específicos del evento de inyección de DLL
Además de los campos comunes, los administradores pueden ver la ruta de la DLL:
| Campo | Descripción | Ejemplo |
|---|---|---|
dllPath |
Ruta completa del sistema de archivos a la DLL sin firmar inyectada. | C:\Program Files\abc.dll |