Citrix Analytics for Security

Panel de mandos de Access Assurance

Con el aumento del trabajo remoto, como administrador de TI de Citrix, es posible que quiera asegurarse de que sus usuarios acceden a Citrix Virtual Apps and Desktops o a Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) desde sus ubicaciones habituales y seguras. Si algún usuario ha iniciado sesión desde ubicaciones desconocidas o nuevas ubicaciones, puede validar sus datos de inicio de sesión y tomar las medidas necesarias para mitigar cualquier amenaza a su entorno de TI de Citrix.

El panel de mandos de Access Assurance proporciona una descripción general de las ubicaciones y redes desde las que los usuarios acceden a las aplicaciones o escritorios virtuales. Citrix Analytics for Security recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios. Para obtener más información sobre las versiones compatibles, consulte la Tabla de versiones de la aplicación Citrix Workspace.

Ver el panel

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso. Seleccione el período de tiempo para el que quiere ver los detalles de inicio de sesión.

Navegación del panel Assurance

Resumen del acceso

La sección de resumen del panel de mandos proporciona la siguiente información para un período seleccionado:

  1. Número total de inicios de sesión de usuarios en las ubicaciones (en todo el mundo).

  2. Número total de inicios de sesión de usuarios únicos en las ubicaciones (en todo el mundo).

    Resumen del acceso

Ubicación de inicio de sesión

La sección Ubicaciones de inicio de sesión proporciona la siguiente información para un período seleccionado:

  • Número total de países desde los que los usuarios han iniciado sesión.

  • Número total de ciudades desde las que los usuarios han iniciado sesión.

  • El número total de países y los inicios de sesión de usuario únicos en las áreas de geocercas. Para ver los detalles de inicio de sesión desde las áreas de geocercas, habilite geocercas.

  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos. A veces, los inicios de sesión de usuario únicos más importantes también proceden de ciudades y países desconocidos y se enumeran en la ficha Ubicaciones desconocidas. La lista de ubicaciones desconocidas también es un subconjunto de las 10 ubicaciones principales. Para averiguar los motivos por los que algunas ubicaciones no están identificadas, consulte Ubicaciones identificadas como no disponibles.

También puede ver la tendencia al alza o a la baja del total de inicios de sesión de usuarios en todo el mundo y del total de inicios de sesión de usuarios únicos en todo el mundo. Para las 10 ubicaciones principales, la columna DESVIACIÓN muestra el cambio (positivo (+) o negativo (-)) en los inicios de sesión de los usuarios para cada ubicación. Esta comparación se basa en el período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo Último 1 mes, la tendencia de inicio de sesión del usuario y la desviación se comparan entre el último mes y el mes anterior al último.

Nota

La información de ubicación se proporciona a nivel de ciudad y país y no representa una geolocalización precisa. Para obtener más información sobre la garantía de acceso y la geolocalización, consulte las Preguntas frecuentes.

Detalles de inicios de sesión de usuarios

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, seleccione una ubicación para ver los usuarios y sus perfiles de acceso y detalles de inicio de sesión.

Página de resumen de inicio de sesión de usuario

El mapa muestra el número de usuarios únicos de varias ubicaciones durante un período seleccionado. Pase el mouse sobre la burbuja azul o amplíe una ubicación para ver el número total de inicios de sesión de usuario únicos desde la ubicación. Haga clic en la burbuja azul para ver los detalles de acceso de una ubicación.

Vista ampliada del mapa

En la esquina inferior derecha del mapa, puede ver el rango de los inicios de sesión de usuario únicos. Durante un período seleccionado, la pequeña burbuja indica el número mínimo de inicios de sesión de usuario únicos en todas las ubicaciones. La burbuja grande indica el número máximo de inicios de sesión de usuario únicos en todas las ubicaciones.

Rango de recuento de usuarios

Ubicaciones identificadas como no disponibles

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, es posible que vea que algunas ubicaciones son desconocidas o no están disponibles. Haga clic en una ubicación desconocida para ver los detalles de inicio de sesión de usuario correspondientes en la página Inicio de sesión de usuario.

En la página Inicio de sesión de usuario, la tabla DATA muestra la etiqueta NA si la información de cualquier país o ciudad no está disponible.

Pase el mouse sobre la etiqueta NA para ver el motivo por el que la información de ubicación no está disponible.

Ubicación no disponible

Es posible que aparezca uno de los siguientes casos de falta de disponibilidad de una ubicación:

Caso Razones
El nombre de la ciudad y el nombre del país no están disponibles. Alguno de los siguientes
 
  1. Los usuarios utilizan una versión no compatible de la aplicación Citrix Workspace. Para ver la información de ubicación, actualice el cliente a una versión compatible.
Ubicaciones con IP privadas El dispositivo del usuario se encuentre dentro de una red privada. En este caso, la información de ubicación no está disponible para Citrix Analytics.
El nombre del país está disponible pero el nombre de la ciudad no está disponible. Es posible que el dispositivo del usuario utilice una IP corporativa. Los rangos de IP corporativas están ofuscados en el servicio de geolocalización externa. Por lo tanto, la información de ubicación no está disponible para Citrix Analytics.

Habilitar geocercas

Las geocercas le ayudan a identificar a los usuarios que acceden a aplicaciones o escritorios virtuales desde fuera de una geocerca segura y dentro de áreas peligrosas de las geocercas. Para ver la página Resumen de acceso, vaya a Seguridad > Garantía de acceso.

De forma predeterminada, los Parámetros de geocercas siempre están activados. Para configurar la geocerca, haga clic en Agregar/Modificar geocerca.

Habilitar geocerca

La ventana Parámetros de geocercas aparece con dos fichas:

  • Ubicaciones seguras: Puede configurar o quitar los países que pertenecen a la ubicación segura.
  • Ubicaciones de riesgo: Puede configurar o quitar los países que se encuentran en ubicaciones de riesgo. También puede ver el número total de ubicaciones seguras y de riesgo configuradas en cada ficha. Para eliminar o quitar un país de una geofcerca de ubicación segura o geocerca de ubicación de riesgo, haga clic en el signo de cierre (X) situado junto al país. Haga clic en Guardar para guardar los parámetros de geocercas.

Parámetros de geocercas

Puede configurar los países que se incluyen en Geocerca de ubicaciones de riesgo. Si no se han agregado indicadores de riesgo para la geocerca de ubicaciones de riesgo o si se eliminan los indicadores de riesgo, puede ver un mensaje de advertencia sobre la actualización de geofence junto a Agregar o modificar geocerca.

Actualizar geocerca

Para recrear el indicador, vaya a la ficha Ubicaciones de riesgo y active la opción Indicador de riesgo para geocercas de riesgo.

Indicador de riesgo para geocercas de riesgo

El indicador se crea con la lista predeterminada de ubicaciones de riesgo.

La página Resumen de acceso también muestra los países seguros y de riesgo en geocercas.

  • Los países seguros en geocercas están marcados con un círculo gris claro.
  • Los países de riesgo en geocercas están marcados con un círculo gris oscuro.

Países en geocercas

Geocerca: Inicios de sesión de usuario únicos

Vay a la página Resumen de acceso para ver Geocerca: Inicios de sesión de usuario únicos. La tarjeta muestra el número de ubicaciones seguras dentro y fuera de ubicaciones seguras.

  • Dentro de una ubicación de riesgo: Identifique a los usuarios que iniciaron sesión desde las áreas en geocercas de las ubicaciones de riesgo.
  • Ubicación segura externa: Identifique a los usuarios que iniciaron sesión desde fuera de las áreas en geocercas de las ubicaciones seguras.

Geocerca: Inicios de sesión de usuario únicos

Para obtener un resumen detallado del total y de los inicios de sesión de usuarios únicos, haga clic en el número situado junto a Ubicación de riesgo interno o Ubicación segura externa.

Página Resumen de garantía de acceso

Esta función utiliza el siguiente indicador de riesgo personalizado preconfigurado:

  • CVAD-Sesión iniciada fuera de geocercas: Para supervisar inicios de sesión de usuarios fuera de geocercas seguras.
  • CVAD-Sesión iniciada dentro de una geocerca de riesgo: Para supervisar inicios de sesión de usuarios dentro de geocercas

Si se detectan inicios de sesión de usuario fuera de la geocerca, se activa el indicador de riesgo y se aplica a esos usuarios la directiva Sesión iniciada fuera de la geocerca. La directiva activa la acción Solicitar respuesta del usuario final y, en función de la respuesta del usuario, puede tomar las medidas adecuadas para evitar amenazas de inicios de sesión sospechosos. Para obtener más información, consulte indicadores de riesgo personalizados preconfigurados.

Notas

  • En la configuración de geocercas, al modificar los países, también se actualiza la sesión de CVAD iniciada fuera del indicador de riesgo de geocercas.

  • Por ejemplo, si selecciona y guarda los países Australia e India como los nuevos países geocercados, la condición preconfigurada del indicador de riesgo se actualiza con los nuevos países, además de los Estados Unidos (que es la geocerca predeterminada). También puede eliminar el país geocercado predeterminado Estados Unidos.

    Estado preconfigurado del indicador de riesgo: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Después de actualizar la configuración de geocercado, el estado del indicador de riesgo:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la sesión de CVAD iniciada fuera del indicador de riesgo de geocercado se ha eliminado previamente de su cuenta, al activar la configuración de geocercado se vuelve a crear el indicador de riesgo. Los países geocercados del indicador de riesgo se controlan desde los ajustes de geocercado.

Después de habilitar la configuración de geocerca, el mapa muestra las áreas geocercadas y los inicios de sesión de usuario únicos desde estas áreas.

Red de inicio de sesión

En el panel de mandos de Access Assurance, ahora puede ver los siguientes detalles de usuario adicionales:

  • Las organizaciones asociadas a las direcciones IP desde las que los usuarios han iniciado sesión. Estas organizaciones incluyen entidades como empresas, gobiernos, entidades educativas y proveedores de servicios de Internet.

  • La subred pública única total y la subred privada desde las que los usuarios han iniciado sesión.

  • Los detalles de que el usuario ha iniciado sesión mediante servidores proxy y servicios de VPN privadas.

Con estos detalles adicionales, como administrador, puede validar los detalles de inicio de sesión del usuario y asegurarse de que el inicio de sesión del usuario cumple con las expectativas de seguridad de la organización.

Ver detalles de la red de usuarios

Vaya a Seguridad > Access Assurance y desplácese hacia abajo para ver los detalles en Red de inicio de sesión.

Red de inicio de sesión

  • Direcciones IP totales: Indica el número total de direcciones IP únicas que se utilizan para iniciar sesión en las sesiones virtuales.

  • Total de subredes: Indica el número total de subredes que se utilizan para iniciar sesión en las sesiones virtuales.

  • Tipos totales de proxy: Indica los tipos totales de red o protocolo utilizados por el servidor para proxiar la conexión del usuario.

  • En Distribución superior de las organizaciones de registro de IP, puede visualizar una descripción general del total de inicios de sesión de los usuarios y los detalles de inicio de sesión únicos de cada organización (ISP). Puede hacer clic en el gráfico para ver los detalles de los usuarios y sus perfiles de acceso y detalles de inicio de sesión asociados a la organización seleccionada.

  • En Total de subredes públicas únicas, puede visualizar una descripción general de las subredes, el total de inicios de sesión de los usuarios de cada subred y la tendencia de desviación en cada subred. Puede hacer clic en cada subred para ver los detalles de los usuarios y sus perfiles de acceso y detalles de inicio de sesión asociados a la subred seleccionada.

Ver los perfiles de acceso de los usuarios

Al desglosar cualquier métrica (ubicación, organización o subred), la página Perfil de acceso proporciona un resumen de los accesos de los usuarios a las aplicaciones o escritorios virtuales desde las ubicaciones seleccionadas. Puede seleccionar la opción de inicio de sesión único o de inicio de sesión total para ver el análisis de tendencias del período seleccionado.

Inicio de sesión de usuario único y total

Puede ver los principales eventos de acceso para la métrica seleccionada (ubicación, organización o subred). Esta información le ayuda a revisar los patrones de acceso y los detalles para la investigación y el análisis de amenazas.

La tendencia ascendente o descendente de los inicios de sesión totales de los usuarios y los inicios de sesión de usuario únicos se compara en función del período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo como Último mes, la tendencia se compara entre el último mes y el anterior al último mes.

Acceso a la vista de la página de perfil

Facetas

Puede utilizar las siguientes facetas para los eventos de acceso:

  • Ubicación: filtra los eventos de acceso por países y sus ciudades.

  • SO: filtre los eventos de acceso por los sistemas operativos y sus versiones.

  • Subred: Filtra los eventos de acceso por subredes.

  • Tipo de IP de cliente: Filtra los eventos de acceso por públicos o privados.

  • Organización de registro de IP: Filtra la organización asociada a la dirección IP pública.

  • Servicio de VPN privada: Filtra los eventos de acceso por los nombres de las redes VPN privadas.

  • Tipo de proxy: Filtra los eventos de acceso según las clasificaciones del tipo de proxy, como HTTP, web, Tor y SOCKS.

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Según los filtros aplicados, vea la siguiente información para el total de inicios de sesión de usuario y los inicios de sesión de usuario únicos:

  • Red: Las principales subredes y las direcciones IP desde las que los usuarios han iniciado sesión en aplicaciones o escritorios virtuales.

    Detalles de acceso superior

  • Ubicaciones: Los principales países y ciudades desde los que los usuarios han iniciado sesión en aplicaciones o escritorios virtuales.

    Detalles de la ubicación de acceso principal

  • Dispositivos de punto final: Los principales nombres de dispositivos y sistemas operativos según los inicios de sesión de los usuarios de aplicaciones y escritorios.

    Detalles de los principales terminales de acceso

Ver los detalles de inicio de sesión de los usuarios

La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de los usuarios en aplicaciones virtuales o escritorios virtuales desde las ubicaciones seleccionadas. Esta información le ayuda durante la investigación y el análisis de amenazas.

Página de inicio de sesión del usuario

La tabla DATA muestra los siguientes detalles de inicio de sesión para las ubicaciones seleccionadas y el período de tiempo:

  • ¡Hora! Fecha y hora en que el usuario inició sesión.

  • Nombre de usuario. Identidad del usuario.

  • IP del cliente. Dirección IP del dispositivo del usuario.

  • Tipo de IP de cliente. El tipo de dirección IP del usuario, como pública o privada.

  • Ciudad y país. Las ubicaciones desde las que el usuario inició sesión en aplicaciones virtuales o escritorios virtuales.

  • ID del dispositivo. El código de identidad del dispositivo de usuario.

  • Nombre del sistema operativo. El sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

    Tabla de datos de inicio de sesión de usuario

Si amplía cada evento, puede ver los siguientes detalles:

  • Versión del sistema operativo. La versión del sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Información adicional del sistema operativo: cualquier información adicional del sistema operativo, como números de compilación, service packs y parches. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Versión de la aplicación Workspace. La versión de compilación de la aplicación Citrix Workspace o Citrix Receiver.

    Acceder a la tabla de datos de inicio de sesión

En la tabla DATA, puede realizar las siguientes operaciones:

  • Haga clic en Agregar o quitar columnas para actualizar las columnas de la tabla según cómo quiera ver los datos.

  • Haga clic en Ordenar por y seleccione los elementos de datos para realizar una clasificación de varias columnas. Para obtener más información, consulte Ordenación de varias columnas.

  • Haga clic en Exportar a formato CSV para descargar los datos que se muestran en la tabla DATOS en un archivo CSV y utilizarlos para su análisis.

Barra de búsqueda

También puede utilizar la barra de búsqueda para definir la consulta mediante las dimensiones asociadas a un evento de inicio de sesión.

Por ejemplo:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Cuadro de búsqueda

Facetas

Puede utilizar las siguientes facetas para los eventos de inicio de sesión:

  • Ubicaciones: filtre los eventos de inicio de sesión por países y sus ciudades.

  • SO: filtre los eventos de inicio de sesión por sistema operativo y sus versiones.

  • Subred: Filtra los eventos de acceso por subredes.

  • Tipo de IP del cliente: filtre los eventos de acceso por los tipos de IP pública y privada.

  • Organización de registro de IP: Filtra los eventos de acceso por ISP utilizado por el usuario.

  • Servicio de VPN privada: Filtra los eventos de acceso por los nombres de las redes VPN privadas.

  • Tipo de proxy: Filtra los eventos de acceso según las clasificaciones del tipo de proxy, como HTTP, web, Tor y SOCKS.

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Panel de mandos de Access Assurance