Citrix Analytics para la seguridad

Panel de control de ubicación de control de acceso

Con un aumento en el trabajo remoto, como administrador de TI de Citrix, es posible que desee asegurarse de que sus usuarios acceden Citrix Virtual Apps and Desktops o Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) desde sus ubicaciones habituales y seguras. Si algún usuario ha iniciado sesión desde ubicaciones desconocidas o nuevas ubicaciones, puede validar sus datos de inicio de sesión y tomar las medidas necesarias para mitigar cualquier amenaza a su entorno de TI de Citrix.

El panel de control Ubicación de Access Assurance proporciona una descripción general de las ubicaciones desde las que los usuarios acceden a las aplicaciones virtuales o a los escritorios virtuales. Citrix Analytics for Security recibe estos eventos de inicio de sesión de usuario desde la aplicación Citrix Workspace instalada en los dispositivos de los usuarios. La información de ubicación se proporciona a nivel de ciudad y país y no representa una geolocalización precisa.

Ver el panel

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso. Seleccione el período de tiempo para el que quiere ver los detalles de la ubicación.

Navegación del panel Assurance

Analizar el resumen de inicio de sesión del usuario

La página Resumen de inicio de sesión de usuario proporciona la siguiente información para un período seleccionado:

  • Número total de inicios de sesión de usuarios en las ubicaciones (en todo el mundo).

  • Número total de inicios de sesión de usuarios únicos en las ubicaciones (en todo el mundo).

  • Número total de países desde los que los usuarios han iniciado sesión.

  • El número total de países y los inicios de sesión de usuario únicos en las áreas de geocercas. Para ver los detalles de inicio de sesión desde las áreas de geocercas, habilite geocercas.

  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos. A veces, los inicios de sesión de usuario únicos más importantes también proceden de ciudades y países desconocidos y se enumeran en la ficha Ubicaciones desconocidas. La lista de ubicaciones desconocidas también es un subconjunto de las 10 ubicaciones principales. Para averiguar los motivos por los que algunas ubicaciones no están identificadas, consulte Ubicaciones identificadas como no disponibles.

También puede ver la tendencia ascendente o descendente del total de inicios de sesión de usuarios en todo el mundo y el total de inicios de sesión de usuarios únicos en todo el mundo. Para las 10 ubicaciones principales, la columna DESVIACIÓN muestra el cambio (positivo (+) o negativo (-)) en los inicios de sesión de los usuarios para cada ubicación. Esta comparación se basa en el período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo Último 1 mes, la tendencia de inicio de sesión del usuario y la desviación se comparan entre el último mes y el mes anterior al último.

Detalles de inicios de sesión de usuarios

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, seleccione una ubicación para ver los usuarios y sus perfiles de acceso y detalles de inicio de sesión.

Página de resumen de inicio de sesión de usuario

El mapa muestra el número de usuarios únicos de varias ubicaciones durante un período seleccionado. Pase el ratón sobre la burbuja azul o amplíe una ubicación para ver el número total de inicios de sesión de usuario únicos desde la ubicación. Haga clic en la burbuja azul para ver los detalles de acceso de una ubicación.

Vista ampliada del mapa

En la esquina inferior derecha del mapa, puede ver el rango de los inicios de sesión de usuario únicos. Durante un período seleccionado, la pequeña burbuja indica el número mínimo de inicios de sesión de usuario únicos en todas las ubicaciones. La burbuja grande indica el número máximo de inicios de sesión de usuario únicos en todas las ubicaciones.

Rango de recuento de usuarios

Ver los perfiles de acceso de los usuarios

La página Perfil de acceso proporciona el resumen de los accesos de los usuarios a aplicaciones virtuales o escritorios virtuales desde las ubicaciones seleccionadas. Proporciona el análisis de tendencias de los inicios de sesión de usuario totales y únicos para el período seleccionado. Puede ver los eventos de acceso superior para las ubicaciones seleccionadas. Esta información le ayuda a revisar los patrones de acceso y los detalles para la investigación y el análisis de amenazas.

La tendencia ascendente o descendente de los inicios de sesión totales de los usuarios y los inicios de sesión de usuario únicos se compara en función del período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo como Último mes, la tendencia se compara entre el último mes y el anterior al último mes.

Acceso a la vista de la página de perfil

Facetas

Puede utilizar las siguientes facetas para los eventos de acceso:

  • Ubicación: filtra los eventos de acceso por países y sus ciudades.

  • SO: filtre los eventos de acceso por los sistemas operativos y sus versiones.

    Filtros de perfil de acceso

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Según los filtros aplicados, vea la siguiente información para el total de inicios de sesión de usuario y los inicios de sesión de usuario únicos:

  • Detalles de la líneade tiempo: la secuencia cronológica del total de eventos de inicio de sesión de usuarios y eventos de inicio de sesión de usuario únicos durante un período seleccionado. Le ayuda a comparar y comprender los patrones de eventos pasados y en curso.

  • Detalles de ubicaciones: los principales países y ciudades desde los que los usuarios iniciaron sesión en aplicaciones virtuales o escritorios virtuales.

  • IP de red: las subredes principales y las direcciones IP desde las que los usuarios iniciaron sesión en aplicaciones virtuales o escritorios virtuales.

    Detalles de acceso superior

Ver los detalles de inicio de sesión de los usuarios

La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de los usuarios en aplicaciones virtuales o escritorios virtuales desde las ubicaciones seleccionadas. Esta información le ayuda durante la investigación y el análisis de amenazas.

Página de inicio de sesión del usuario

La tabla DATA muestra los siguientes detalles de inicio de sesión para las ubicaciones seleccionadas y el período de tiempo:

  • Tiempo. Fecha y hora en que el usuario inició sesión.

  • Nombre de usuario. Identidad del usuario.

  • IP del cliente. Dirección IP del dispositivo del usuario.

  • Tipo de IP de cliente. El tipo de dirección IP del usuario, como pública o privada.

  • Ciudad y país. Las ubicaciones desde las que el usuario inició sesión en aplicaciones virtuales o escritorios virtuales.

  • ID del dispositivo. El código de identidad del dispositivo de usuario.

  • Nombre del sistema operativo. El sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Versión del sistema operativo. La versión del sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Información adicional del sistema operativo: cualquier información adicional del sistema operativo, como números de compilación, service packs y parches. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Versión de la aplicación Workspace. La versión de compilación de la aplicación Citrix Workspace o Citrix Receiver.

Tabla de datos de inicio de sesión del usuario

En la tabla DATA, puede realizar las siguientes operaciones:

  • Haga clic en Agregar o quitar columnas para actualizar las columnas de la tabla según cómo quiera ver los datos.

  • Haga clic en Ordenar por y seleccione los elementos de datos para realizar una clasificación de varias columnas. Para obtener más información, consulte Ordenación de varias columnas.

  • Haga clic en Exportar a formato CSV para descargar los datos que se muestran en la tabla DATOS en un archivo CSV y utilizarlos para su análisis.

Barra de búsqueda

También puede utilizar la barra de búsqueda para definir la consulta mediante las dimensiones asociadas a un evento de inicio de sesión.

Por ejemplo:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Cuadro de búsqueda

Facetas

Puede utilizar las siguientes facetas para los eventos de inicio de sesión:

  • Ubicaciones: filtre los eventos de inicio de sesión por países y sus ciudades.

  • SO: filtre los eventos de inicio de sesión por sistema operativo y sus versiones.

  • Tipo de IP del cliente: filtre los eventos de acceso por los tipos de IP pública y privada.

    Filtros

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Ubicaciones identificadas como no disponibles

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, es posible que vea que algunas ubicaciones son desconocidas o no están disponibles. Haga clic en una ubicación desconocida para ver los detalles de inicio de sesión de usuario correspondientes en la página Inicio de sesión de usuario.

En la página Inicio de sesión de usuario, la tabla DATA muestra la etiqueta NA si la información de cualquier país o ciudad no está disponible.

Pase el ratón sobre la etiqueta NA para ver el motivo por el que la información de ubicación no está disponible.

Ubicación no disponible

Es posible que aparezca uno de los siguientes casos de falta de disponibilidad de una ubicación:

Caso Razones
El nombre de la ciudad y el nombre del país no están disponibles. Alguno de los siguientes:
  1. Los usuarios utilizan una versión no compatible de la aplicación Citrix Workspace. Para ver la información de ubicación, actualice el cliente a una versión compatible.
  2. La dirección IP pública de red del usuario no está disponible y, por lo tanto, Citrix Analytics no puede encontrar la ubicación.
  3. El servicio de geolocalización externa no puede enviar la información de ubicación a Citrix Analytics.
Ubicaciones con IP privadas El dispositivo del usuario se encuentre dentro de una red privada. En este caso, la información de ubicación no está disponible para Citrix Analytics.
El nombre del país está disponible pero el nombre de la ciudad no está disponible. Es posible que el dispositivo del usuario utilice una IP corporativa. Los rangos de IP corporativas están ofuscados en el servicio de geolocalización externa. Por lo tanto, la información de ubicación no está disponible para Citrix Analytics.

Versiones de cliente compatibles para obtener la ubicación del usuario

Si la información de ubicación no está disponible debido a que las versiones de la aplicación Citrix Workspace no son compatibles, actualice el cliente a una de las siguientes versiones.

Nombre del cliente Versión Versión de la compilación
Aplicación Citrix Workspace para Windows 2008 o superior 20.8.0.46 o superior
Aplicación Citrix Workspace para Mac 2006 o superior 20.06.0.7 o superior
Aplicación Citrix Workspace para HTML5 2007 o superior 20.7.0.4127 o superior
Aplicación Citrix Workspace para iOS Última versión disponible en la App Store de Apple Última versión disponible en la App Store de Apple
Aplicación Citrix Workspace para Android Última versión disponible en Google Play Última versión disponible en Google Play
Aplicación Citrix Workspace para Chrome Última versión disponible en Chrome Web Store Última versión disponible en Chrome Web Store
Aplicación Citrix Workspace para Linux 2104 o superior No disponible

Para obtener fechas de hitos del ciclo de vida específicas para cada versión de la aplicación Citrix Workspace, consulte Hitos del ciclo de vida para la aplicación Citrix Workspace y Citrix Receiver. Para descargar la versión más reciente de la aplicación Citrix Workspace, visite la página Descargas de Citrix.

Habilitar geocercas

La geovalla le ayuda a identificar a los usuarios que acceden a aplicaciones virtuales o escritorios virtuales desde fuera de sus áreas predefinidas (geocercas).

Para configurar la geocerca, haga clic en Agregar/Modificar geocerca. Active la configuración de geocercas y seleccione los países.

Habilitar geocerca

Esta función utiliza el indicador de riesgo personalizado preconfigurado: sesión CVAD iniciada fuera de la geocerca para supervisar los inicios de sesión del usuario fuera de la geocerca. Si se detectan inicios de sesión de usuario fuera de la geocerca, se activa el indicador de riesgo y se aplica a esos usuarios la directiva Sesión iniciada fuera de la geocerca. La directiva activa la acción Solicitar respuesta del usuario final y, en función de la respuesta del usuario, puede tomar las medidas adecuadas para evitar amenazas de inicios de sesión sospechosos. Para obtener más información, consulte indicadores de riesgo personalizados preconfigurados.

Notas

  • En la configuración de geocercas, al modificar los países, también se actualiza la sesión de CVAD iniciada fuera del indicador de riesgo de geocercas.

  • Por ejemplo, si selecciona y guarda los países Australia e India como los nuevos países geocercados, la condición preconfigurada del indicador de riesgo se actualiza con los nuevos países, además de los Estados Unidos (que es la geocerca predeterminada). También puede eliminar el país geocercado predeterminado Estados Unidos.

    Estado preconfigurado del indicador de riesgo: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Después de actualizar la configuración de geocercado, el estado del indicador de riesgo:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la sesión de CVAD iniciada fuera del indicador de riesgo de geocercado se ha eliminado previamente de su cuenta, al activar la configuración de geocercado se vuelve a crear el indicador de riesgo. Los países geocercados del indicador de riesgo se controlan desde los ajustes de geocercado.

Después de habilitar la configuración de geocerca, el mapa muestra las áreas geocercadas y los inicios de sesión de usuario únicos desde estas áreas.

Panel de control de ubicación de control de acceso