Citrix Analytics for Security

Panel de control de ubicación de control de acceso

Con un aumento en el trabajo remoto, como administrador de TI de Citrix, es posible que desee asegurarse de que sus usuarios acceden Citrix Virtual Apps and Desktops o Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) desde sus ubicaciones habituales y seguras. Si algún usuario ha iniciado sesión desde ubicaciones desconocidas o nuevas ubicaciones, puede validar sus datos de inicio de sesión y tomar las medidas necesarias para mitigar cualquier amenaza a su entorno de TI de Citrix.

El panel de control Ubicación de garantía de acceso proporciona una descripción general de las ubicaciones desde las que los usuarios acceden a aplicaciones o escritorios virtuales. Citrix Analytics for Security recibe estos eventos de inicio de sesión de usuario desde la aplicación Citrix Workspace instalada en los dispositivos de los usuarios. La información de ubicación se proporciona a nivel de ciudad y país y no representa una geolocalización precisa.

Para obtener más información sobre la garantía de acceso — Geolocalización, consulte las preguntas frecuentes.

Ver el panel

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso. Seleccione el período de tiempo para el que quiere ver los detalles de la ubicación.

Navegación del panel Assurance

Analizar el resumen de inicio de sesión del usuario

La página Resumen de inicio de sesión de usuario proporciona la siguiente información para un período seleccionado:

  • Número total de inicios de sesión de usuarios en las ubicaciones (en todo el mundo).

  • Número total de inicios de sesión de usuarios únicos en las ubicaciones (en todo el mundo).

  • Número total de países desde los que los usuarios han iniciado sesión.

  • El número total de países y los inicios de sesión de usuario únicos en las áreas de geocercas. Para ver los detalles de inicio de sesión desde las áreas de geocercas, habilite geocercas.

  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos. A veces, los inicios de sesión de usuario únicos más importantes también proceden de ciudades y países desconocidos y se enumeran en la ficha Ubicaciones desconocidas. La lista de ubicaciones desconocidas también es un subconjunto de las 10 ubicaciones principales. Para averiguar los motivos por los que algunas ubicaciones no están identificadas, consulte Ubicaciones identificadas como no disponibles.

También puede ver la tendencia al alza o a la baja del total de inicios de sesión de usuarios en todo el mundo y del total de inicios de sesión de usuarios únicos en todo el mundo. Para las 10 ubicaciones principales, la columna DESVIACIÓN muestra el cambio (positivo (+) o negativo (-)) en los inicios de sesión de los usuarios para cada ubicación. Esta comparación se basa en el período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo Último 1 mes, la tendencia de inicio de sesión del usuario y la desviación se comparan entre el último mes y el mes anterior al último.

Detalles de inicios de sesión de usuarios

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, seleccione una ubicación para ver los usuarios y sus perfiles de acceso y detalles de inicio de sesión.

Página de resumen de inicio de sesión de usuario

El mapa muestra el número de usuarios únicos de varias ubicaciones durante un período seleccionado. Pase el mouse sobre la burbuja azul o amplíe una ubicación para ver el número total de inicios de sesión de usuario únicos desde la ubicación. Haga clic en la burbuja azul para ver los detalles de acceso de una ubicación.

Vista ampliada del mapa

En la esquina inferior derecha del mapa, puede ver el rango de los inicios de sesión de usuario únicos. Durante un período seleccionado, la pequeña burbuja indica el número mínimo de inicios de sesión de usuario únicos en todas las ubicaciones. La burbuja grande indica el número máximo de inicios de sesión de usuario únicos en todas las ubicaciones.

Rango de recuento de usuarios

Ver los perfiles de acceso de los usuarios

La página Perfil de acceso proporciona el resumen de los accesos de los usuarios a aplicaciones virtuales o escritorios virtuales desde las ubicaciones seleccionadas. Proporciona el análisis de tendencias de los inicios de sesión de usuario totales y únicos para el período seleccionado. Puede ver los eventos de acceso superior para las ubicaciones seleccionadas. Esta información le ayuda a revisar los patrones de acceso y los detalles para la investigación y el análisis de amenazas.

La tendencia ascendente o descendente de los inicios de sesión totales de los usuarios y los inicios de sesión de usuario únicos se compara en función del período de tiempo seleccionado y el período de tiempo anterior de igual longitud. Por ejemplo, si selecciona el período de tiempo como Último mes, la tendencia se compara entre el último mes y el anterior al último mes.

Acceso a la vista de la página de perfil

Facetas

Puede utilizar las siguientes facetas para los eventos de acceso:

  • Ubicación: filtra los eventos de acceso por países y sus ciudades.

  • SO: filtre los eventos de acceso por los sistemas operativos y sus versiones.

    Filtros de perfil de acceso

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Según los filtros aplicados, vea la siguiente información para el total de inicios de sesión de usuario y los inicios de sesión de usuario únicos:

  • Detalles de la líneade tiempo: la secuencia cronológica del total de eventos de inicio de sesión de usuarios y eventos de inicio de sesión de usuario únicos durante un período seleccionado. Le ayuda a comparar y comprender los patrones de eventos pasados y en curso.

  • Detalles de ubicaciones: los principales países y ciudades desde los que los usuarios iniciaron sesión en aplicaciones virtuales o escritorios virtuales.

  • IP de red: las subredes principales y las direcciones IP desde las que los usuarios iniciaron sesión en aplicaciones virtuales o escritorios virtuales.

    Detalles de acceso superior

Ver los detalles de inicio de sesión de los usuarios

La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de los usuarios en aplicaciones virtuales o escritorios virtuales desde las ubicaciones seleccionadas. Esta información le ayuda durante la investigación y el análisis de amenazas.

Página de inicio de sesión del usuario

La tabla DATA muestra los siguientes detalles de inicio de sesión para las ubicaciones seleccionadas y el período de tiempo:

  • ¡Hora! Fecha y hora en que el usuario inició sesión.

  • Nombre de usuario. Identidad del usuario.

  • IP del cliente. Dirección IP del dispositivo del usuario.

  • Tipo de IP de cliente. El tipo de dirección IP del usuario, como pública o privada.

  • Ciudad y país. Las ubicaciones desde las que el usuario inició sesión en aplicaciones virtuales o escritorios virtuales.

  • ID del dispositivo. El código de identidad del dispositivo de usuario.

  • Nombre del sistema operativo. El sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Versión del sistema operativo. La versión del sistema operativo del dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Información adicional del sistema operativo: cualquier información adicional del sistema operativo, como números de compilación, service packs y parches. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

  • Versión de la aplicación Workspace. La versión de compilación de la aplicación Citrix Workspace o Citrix Receiver.

Tabla de datos de inicio de sesión del usuario

En la tabla DATA, puede realizar las siguientes operaciones:

  • Haga clic en Agregar o quitar columnas para actualizar las columnas de la tabla según cómo quiera ver los datos.

  • Haga clic en Ordenar por y seleccione los elementos de datos para realizar una clasificación de varias columnas. Para obtener más información, consulte Ordenación de varias columnas.

  • Haga clic en Exportar a formato CSV para descargar los datos que se muestran en la tabla DATOS en un archivo CSV y utilizarlos para su análisis.

Barra de búsqueda

También puede utilizar la barra de búsqueda para definir la consulta mediante las dimensiones asociadas a un evento de inicio de sesión.

Por ejemplo:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Cuadro de búsqueda

Facetas

Puede utilizar las siguientes facetas para los eventos de inicio de sesión:

  • Ubicaciones: filtre los eventos de inicio de sesión por países y sus ciudades.

  • SO: filtre los eventos de inicio de sesión por sistema operativo y sus versiones.

  • Tipo de IP del cliente: filtre los eventos de acceso por los tipos de IP pública y privada.

    Filtros

Nota

También puede ver la etiqueta no disponible si los datos no están disponibles o no están identificados.

Ubicaciones identificadas como no disponibles

En la tabla Las 10 principales ubicaciones de inicio de sesión únicas, es posible que vea que algunas ubicaciones son desconocidas o no están disponibles. Haga clic en una ubicación desconocida para ver los detalles de inicio de sesión de usuario correspondientes en la página Inicio de sesión de usuario.

En la página Inicio de sesión de usuario, la tabla DATA muestra la etiqueta NA si la información de cualquier país o ciudad no está disponible.

Pase el mouse sobre la etiqueta NA para ver el motivo por el que la información de ubicación no está disponible.

Ubicación no disponible

Es posible que aparezca uno de los siguientes casos de falta de disponibilidad de una ubicación:

Caso Razones
El nombre de la ciudad y el nombre del país no están disponibles. Alguno de los siguientes:
  1. Los usuarios utilizan una versión no compatible de la aplicación Citrix Workspace. Para ver la información de ubicación, actualice el cliente a una versión compatible.
  2. La dirección IP pública de red del usuario no está disponible y, por lo tanto, Citrix Analytics no puede encontrar la ubicación.
  3. El servicio de geolocalización externa no puede enviar la información de ubicación a Citrix Analytics.
Ubicaciones con IP privadas El dispositivo del usuario se encuentre dentro de una red privada. En este caso, la información de ubicación no está disponible para Citrix Analytics.
El nombre del país está disponible pero el nombre de la ciudad no está disponible. Es posible que el dispositivo del usuario utilice una IP corporativa. Los rangos de IP corporativas están ofuscados en el servicio de geolocalización externa. Por lo tanto, la información de ubicación no está disponible para Citrix Analytics.

Versiones de cliente compatibles para obtener la ubicación del usuario

Si la información de ubicación no está disponible debido a que las versiones de la aplicación Citrix Workspace no son compatibles, actualice el cliente a una de las siguientes versiones.

Nombre del cliente Versión Versión de la compilación
Aplicación Citrix Workspace para Windows 2008 o superior 20.8.0.46 o superior
Aplicación Citrix Workspace para Mac 2006 o superior 20.06.0.7 o superior
Aplicación Citrix Workspace para HTML5 2007 o superior 20.7.0.4127 o superior
Aplicación Citrix Workspace para iOS Última versión disponible en la App Store de Apple Última versión disponible en la App Store de Apple
Aplicación Citrix Workspace para Android Última versión disponible en Google Play Última versión disponible en Google Play
Aplicación Citrix Workspace para Chrome Última versión disponible en Chrome Web Store Última versión disponible en Chrome Web Store
Aplicación Citrix Workspace para Linux 2104 o superior No disponible

Para obtener fechas de hitos del ciclo de vida específicas para cada versión de la aplicación Citrix Workspace, consulte Hitos del ciclo de vida para la aplicación Citrix Workspace y Citrix Receiver. Para descargar la versión más reciente de la aplicación Citrix Workspace, visite la página Descargas de Citrix.

Habilitar geocercas

Las geocercas le ayudan a identificar a los usuarios que acceden a aplicaciones o escritorios virtuales desde fuera de una geocerca segura y dentro de áreas peligrosas de las geocercas. Para ver la página Resumen de acceso, vaya a Seguridad > Garantía de acceso.

De forma predeterminada, los Parámetros de geocercas siempre están activados. Para configurar la geocerca, haga clic en Agregar/Modificar geocerca.

Habilitar geocerca

La ventana Parámetros de geocercas aparece con dos fichas:

  • Ubicaciones seguras: Puede configurar o quitar los países que pertenecen a la ubicación segura.
  • Ubicaciones de riesgo: Puede configurar o quitar los países que se encuentran en ubicaciones de riesgo. También puede ver el número total de ubicaciones seguras y de riesgo configuradas en cada ficha. Para eliminar o quitar un país de una geofcerca de ubicación segura o geocerca de ubicación de riesgo, haga clic en el signo de cierre (X) situado junto al país. Haga clic en Guardar para guardar los parámetros de geocercas.

Parámetros de geocercas

Puede configurar los países que se incluyen en Geocerca de ubicaciones de riesgo. Si no se han agregado indicadores de riesgo para la geocerca de ubicaciones de riesgo o si se eliminan los indicadores de riesgo, puede ver un mensaje de advertencia sobre la actualización de geofence junto a Agregar o modificar geocerca.

Actualizar geocerca

Para recrear el indicador, vaya a la ficha Ubicaciones de riesgo y active la opción Indicador de riesgo para geocercas de riesgo.

Indicador de riesgo para geocercas de riesgo

El indicador se crea con la lista predeterminada de ubicaciones de riesgo.

La página Resumen de acceso también muestra los países seguros y de riesgo en geocercas.

  • Los países seguros en geocercas están marcados con un círculo gris claro.
  • Los países de riesgo en geocercas están marcados con un círculo gris oscuro.

Países en geocercas

Geocerca: Inicios de sesión de usuario únicos

Vay a la página Resumen de acceso para ver Geocerca: Inicios de sesión de usuario únicos. La tarjeta muestra el número de ubicaciones seguras dentro y fuera de ubicaciones seguras.

  • Dentro de una ubicación de riesgo: Identifique a los usuarios que iniciaron sesión desde las áreas en geocercas de las ubicaciones de riesgo.
  • Ubicación segura externa: Identifique a los usuarios que iniciaron sesión desde fuera de las áreas en geocercas de las ubicaciones seguras.

Geocerca: Inicios de sesión de usuario únicos

Para obtener un resumen detallado del total y de los inicios de sesión de usuarios únicos, haga clic en el número situado junto a Ubicación de riesgo interno o Ubicación segura externa.

Página Resumen de garantía de acceso

Esta función utiliza el siguiente indicador de riesgo personalizado preconfigurado:

  • CVAD-Sesión iniciada fuera de geocercas: Para supervisar inicios de sesión de usuarios fuera de geocercas seguras.
  • CVAD-Sesión iniciada dentro de una geocerca de riesgo: Para supervisar inicios de sesión de usuarios dentro de geocercas

Si se detectan inicios de sesión de usuario fuera de la geocerca, se activa el indicador de riesgo y se aplica a esos usuarios la directiva Sesión iniciada fuera de la geocerca. La directiva activa la acción Solicitar respuesta del usuario final y, en función de la respuesta del usuario, puede tomar las medidas adecuadas para evitar amenazas de inicios de sesión sospechosos. Para obtener más información, consulte indicadores de riesgo personalizados preconfigurados.

Notas

  • En la configuración de geocercas, al modificar los países, también se actualiza la sesión de CVAD iniciada fuera del indicador de riesgo de geocercas.

  • Por ejemplo, si selecciona y guarda los países Australia e India como los nuevos países geocercados, la condición preconfigurada del indicador de riesgo se actualiza con los nuevos países, además de los Estados Unidos (que es la geocerca predeterminada). También puede eliminar el país geocercado predeterminado Estados Unidos.

    Estado preconfigurado del indicador de riesgo: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Después de actualizar la configuración de geocercado, el estado del indicador de riesgo:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la sesión de CVAD iniciada fuera del indicador de riesgo de geocercado se ha eliminado previamente de su cuenta, al activar la configuración de geocercado se vuelve a crear el indicador de riesgo. Los países geocercados del indicador de riesgo se controlan desde los ajustes de geocercado.

Después de habilitar la configuración de geocerca, el mapa muestra las áreas geocercadas y los inicios de sesión de usuario únicos desde estas áreas.

Panel de control de ubicación de control de acceso