Citrix Analytics for Security

Novedades

Un objetivo de Citrix es ofrecer nuevas funciones y actualizaciones de productos a los clientes de Citrix Analytics cuando estén disponibles. Las nuevas versiones añaden valor al producto y no hay motivo para retrasar el momento de actualizar.

Para usted, como cliente, este proceso es transparente. Las actualizaciones iniciales solo se aplican en los sitios internos de Citrix; luego se aplican gradualmente en los entornos de los clientes. La entrega de actualizaciones incrementalmente en ondas ayuda a garantizar la calidad del producto y a maximizar la disponibilidad.

29 de enero de 2024

Actualizaciones del campo de estado de la aplicación Workspace

  • Búsqueda de autoservicio: Ahora puede realizar consultas para averiguar el estado de compatibilidad de una versión de la aplicación Workspace mediante el campo de estado de la aplicación Workspace recientemente introducido para el origen de datos de Citrix Apps and Desktops.
  • Usuarios: Se ha eliminado la columna Estado de la aplicación Workspace.

Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

25 de enero de 2024

Se simplifican las inconsistencias en la interfaz de usuario de CAS

Se han resuelto los siguientes problemas en la función de búsqueda de autoservicio para el origen de datos de Apps and Desktops:

  • Los eventos que antes se mostraban desordenados dentro de una sesión ahora aparecen correctamente.
  • Se han actualizado las columnas predeterminadas.

24 de enero de 2024

Eventos de perfil de usuario mejorados en entornos SIEM

Los eventos de perfil de usuario exportados a sus entornos de SIEM ahora incluyen:

  • Información sobre direcciones IP
  • Información sobre la ubicación de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service)

Estas nuevas mejoras le permiten identificar la dirección IP del cliente utilizada para acceder a los datos de su organización y recopilar información sobre la ubicación de los usuarios tanto de Citrix Virtual Apps and Desktops como de Citrix DaaS.

Para obtener más información, consulte Datos de información sobre riesgos para SIEM.

01 de diciembre de 2023

Página de configuración de correo electrónico de administrador para alertas semanales de correo electrónico y SIEM

La nueva función de configuración del correo electrónico del administrador le permite configurar destinatarios de listas de distribución personalizadas para las alertas del sistema. Esta mejora garantiza que los administradores reciban solo las alertas del sistema que son relevantes para ellos.

Para obtener más información, consulta Configuración de correo electrónico de administrador.

Panel de usuarios: nuevo filtro de tiempo de recuento de usuarios activos y actualización de la sección Descripción general

El nuevo filtro de tiempo del panel de usuarios le permite ver y modificar el número total de usuarios activos de su organización durante un período de tiempo específico, teniendo en cuenta las fuentes de datos para las que ha habilitado Citrix Analytics.

La sección Descripción general mejorada del panel de usuarios muestra el número total de usuarios de su organización, así como el número de usuarios activos e inactivos que han iniciado sesión actualmente.

Para obtener más información, consulte Panel de control de usuarios.

Informes personalizados mejorados

  • Ahora puede crear y programar informes personalizados mediante los eventos y la información disponibles en Citrix Analytics for Security. Los informes personalizados le ayudan a extraer información de interés específico y a organizar los datos gráficamente.
  • Ahora puede utilizar las funciones mejoradas de la plataforma de informes personalizados, que incluyen informes basados en consultas de búsqueda de autoservicio, plantillas, mejores visualizaciones, cobertura de todas las fuentes de datos y métricas, programación de informes y exportación de archivos PDF.

Para obtener más información, consulte Informes personalizados.

30 de noviembre de 2023

Eliminación de todas las capacidades de ShareFile en Citrix Analytics

Se eliminan las siguientes funciones de detección de ShareFile:

  • Compartir enlaces
  • Indicadores de riesgo asociados
  • Directivas con sus ocurrencias
  • Configuraciones de exportación de datos de Content Collaboration
  • Informes de Content Collaboration
  • Fuente de datos de Content Collaboration en Search
  • Búsquedas guardadas de Content Collaboration
  • Fuente de datos de Content Collaboration.

La eliminación de estas capacidades podría provocar una incoherencia temporal en la puntuación de riesgo y los plazos de los usuarios. Todas las demás capacidades de Citrix Analytics siguen siendo las mismas.

Descubra cómo ShareFile simplifica el acceso a los controles de seguridad directamente desde Sharefile.com.

22 de septiembre de 2023

Fuente de datos de Citrix Secure Browser en un indicador personalizado

Ahora puede crear indicadores de riesgo para la fuente de datos de Citrix Secure Browser para rastrear la actividad de un usuario en el navegador seguro. Para obtener más información, consulte Indicadores personalizados.

Mejora del correo electrónico semanal con la exportación de datos SIEM

El correo electrónico semanal se ha mejorado para proporcionar una visión más profunda de la postura de seguridad de su organización al permitir la exportación de datos SIEM. Ahora puede incorporar y activar más fuentes de datos para descubrir una amplia gama de eventos relacionados con sus usuarios. El correo electrónico semanal incluye las siguientes novedades:

  • La sección de resumen de datos muestra el estado del consumo de datos en el entorno SIEM.
  • Recomendaciones para la exportación de datos en función del estado de consumo de la exportación de datos.

Para obtener más información, consulte Notificación por correo electrónico semanal.

Consumo de las preferencias de notificación personalizadas del administrador en los correos electrónicos

Citrix Analytics for Security ahora respeta las preferencias de notificación establecidas por los administradores personalizados en Citrix Cloud. Esta mejora proporciona a los administradores personalizados una mayor flexibilidad a la hora de gestionar sus preferencias de notificación. Esta preferencia también se aprovecha al enviar correos electrónicos de notificación, como correos electrónicos semanales, correos electrónicos de acción de Notificar a los administradores y alertas para la exportación de datos.

Para obtener más información, consulte Administrar las funciones de administrador de Security Analytics.

04 de julio de 2023

Función para el operador OR en la búsqueda de autoservicio y el indicador personalizado

El operador OR ahora está disponible en las funciones de búsqueda de autoservicio e indicador de riesgo personalizado. Puede utilizar el operador OR en las vistas de búsqueda, como la búsqueda de autoservicio y las consultas de indicadores personalizados.

Para obtener más información, consulte Operadores compatibles en la consulta de búsqueda.

15 de junio de 2023

Habilitar la telemetría del portapapeles de VDA

Un evento denominado VDA.Clipboard se activa al iniciar cualquier operación de portapapeles en Citrix Apps and Desktops. Estos registros del portapapeles proporcionan información vital, como el nombre del VDA, el tamaño del portapapeles, el tipo de formato del portapapeles, la IP del cliente, el funcionamiento del portapapeles, la dirección de operación del portapapeles y si la operación del portapapeles estaba permitida. Los atributos del evento del portapapeles de VDA también están disponibles en los flujos de trabajo de búsqueda automática y de indicadores de riesgo personalizados.

  • Búsqueda automática:puede generar informes, guardar consultas y revisar los eventos de VDA.Clipboard junto con todos los detalles de sus atributos.
  • Indicadores de riesgo personalizados: Los atributos de los eventos del portapapeles del VDA están disponibles con el flujo de trabajo de indicadores personalizados. Puede usar estos pares clave/valor del evento para configurar activadores de indicadores personalizados y configurar directivas automatizadas con acciones.

Puede utilizar la directiva Recopilación de metadatos del portapapeles para la supervisión de seguridad para habilitar la telemetría del portapapeles y la transmisión de los registros del portapapeles a Citrix Analytics for Security. De manera predeterminada, esta directiva está habilitada. Para inhabilitarla, vaya a la página de directivas e inhabilítela para detener la recopilación de datos de los VDA.

Para obtener más información, consulte Habilitar la telemetría del portapapeles para Citrix DaaS.

14 de junio de 2023

Disponibilidad del ciclo de vida de la aplicación de grabación de sesiones y de los eventos de registro en Citrix Analytics for Security

Los siguientes eventos del Registro y del Ciclo de vida de las aplicaciones de Grabación de sesiones ya están disponibles en Citrix Analytics for Security:

  • Citrix.EventMonitor.RegistryChange
  • Citrix.EventMonitor.SessionLaunch
  • Citrix.EventMonitor.SessionEnd
  • Citrix.EventMonitor.Clipboard
  • Citrix.EventMonitor.FileTransfer

Puede ver estos eventos, crear indicadores personalizados y exportarlos a sus entornos SIEM.

Para obtener más información, consulte Tipos de eventos y campos compatibles.

08 de junio de 2023

Problemas resueltos

  • Algunos eventos de inicio de sesión que se envían a Citrix Analytics for Security no tienen nombre de usuario. Esto hace que la columna de nombre de usuario aparezca como NA para algunos eventos de la página de inicio de sesión de usuario de Self-Service Search y Access Assurance. A veces, también da como resultado que el recuento de usuarios únicos sea cero, aunque el recuento total de inicios de sesión no es cero en el gráfico de organizaciones de registro de IP de Access Assurance cuando se ven los datos de un rango de tiempo reducido, como la última hora o el último 1 día. Este problema ya está solucionado. [CAS-70954]

  • En la búsqueda de autoservicio para aplicaciones y escritorios, para los eventos Session.Logon y Session.End user, la dimensión App-Name de las consultas de búsqueda se rellena con nombres de grupos de entrega en lugar del nombre de la aplicación o el escritorio iniciados, lo que puede inducir a error a los administradores. La dimensión App-Name es más útil para consultas en eventos App.Start/App.End, ya que apunta a las aplicaciones que se están iniciando. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios. Este problema ya está solucionado. [CAS-67968]

  • Si su organización se incorpora a Citrix Cloud en la región de origen de Asia Pacífico Sur, los eventos de Content Collaboration no están visibles en sus arrendatarios de Citrix Analytics. Este problema ya está solucionado. [CAS-62317]

  • Pocas versiones de la aplicación Citrix Workspace y del cliente Citrix Receiver no envían eventos específicos a Citrix Analytics. Por lo tanto, Citrix Analytics no puede proporcionar información ni generar indicadores de riesgo para estos eventos. Este problema ya está solucionado. Para obtener más información, consulte la Comprobación 6: ¿Se transmiten los eventos de escritorios y aplicaciones virtuales a Analytics?. [CAS-16151]

29 de mayo de 2023

El complemento de Citrix Analytics para Splunk ya está disponible en la plataforma Splunk Cloud

La integración de Splunk para Citrix Analytics utiliza el complemento Citrix Analytics para Splunk para conectarse al entorno de análisis e incorporar datos empresariales críticos a su entorno de Splunk.

Anteriormente, Splunk solo examinaba el complemento para su instalación en la capa Splunk Enterprise y los clientes eran responsables de configurar el complemento en su entorno local de Splunk. Con la última versión de 2.1.2, el complemento tiene la compatibilidad adicional de la plataforma Splunk con Splunk Cloud. Los clientes que utilicen instancias clásicas con instancias de IDM o Victoria pueden utilizar esta mejora de compatibilidad de plataformas. Ahora, los clientes tienen la flexibilidad de elegir entre Splunk Enterprise o Splunk Cloud y, al mismo tiempo, considerar la implementación de nuestro complemento para facilitar la integración con Splunk.

Para obtener más información, consulte Splunk Integration.

Grabación de eventos de sesión en SIEM

Los eventos de grabación de sesiones ahora se pueden exportar a SIEM en forma de eventos de Risk Insight y eventos de fuente de datos para aplicaciones y escritorios. Los tipos de eventos recién agregados se encuentran en la etapa Eventos de datos para exportación, en la página Exportaciones de datos.

Para obtener más información, consulte Directivas y acciones.

24 de mayo de 2023

Notificar la acción global del usuario final

La función Directivas y acciones de Citrix Analytics ahora admite la acción global Notificar al usuario final, que se puede combinar con activadores de indicadores de riesgo integrados o personalizados. Los administradores pueden crear directivas con la acción Notificar al usuario final, que genera notificaciones por correo electrónico únicamente para los usuarios finales. Esta acción se puede utilizar para varios casos de uso relacionados con el cumplimiento, como notificar a los usuarios el uso no autorizado de una aplicación o alertar sobre comportamientos sospechosos en sus cuentas de Citrix sin tomar ninguna medida perjudicial. Los administradores pueden personalizar el cuerpo y el asunto del mensaje de correo electrónico en función del caso específico.

Para obtener más información, consulte Notificar al usuario final.

04 de mayo de 2023

Generación de eventos de prueba

La función de generación de eventos de prueba se creó para ayudar a los clientes a probar rápidamente su proceso entre Citrix Analytics y SIEM. Antes, si el administrador tenía que probar esta integración, tenía que esperar a que se incorporaran las fuentes de datos y a la actividad de los usuarios para comprobar si Citrix Analytics generaba los eventos y, por lo tanto, los recibía su entorno SIEM. Esto ya no es una necesidad. Basta con hacer clic en el botón Enviar datos de prueba para enviar un evento ficticio al entorno SIEM y utilizar la consulta proporcionada para comprobar si la integración SIEM de Citrix Analytics está configurada como se esperaba. Esto también puede funcionar para el administrador que intenta depurar el flujo de datos interrumpido, ya que puede ayudar a aislar el punto de error.

Para obtener más información, consulte Generación de eventos de prueba.

Generación de alertas de correo electrónico de SIEM

La capacidad de generación de alertas por correo electrónico de SIEM lleva la solución de problemas de la exportación de datos a un nuevo nivel de facilidad. Citrix Analytics envía alertas al sistema sobre las actividades que pueden provocar o indicar una interrupción del flujo de datos del SIEM. El correo electrónico se distribuye entre los administradores de Citrix Cloud, los administradores de seguridad completa, los administradores de solo lectura de seguridad y los administradores de solo lectura de seguridad y rendimiento. Los siguientes son los diferentes tipos de alertas que se envían:

  1. Alerta de exportación de datos SIEM: Se restableció la contraseña

    Este correo electrónico se activa cada vez que se restablece la contraseña de la cuenta desde la página de exportación de datos. Si solo se hace en la GUI de Citrix Analytics for Security, puede provocar una interrupción en el flujo de datos. Esta alerta contiene la hora en la que se restableció la contraseña y, por lo tanto, facilita mucho el restablecimiento del flujo de datos correcto.

  2. Alerta de exportación de datos SIEM: Se detuvo el flujo de datos

Este correo electrónico se activa cada vez que el cliente se enfrenta a una interrupción del flujo de datos

  • Más de 24 horas: Tiempo crítico para volver rápidamente a un flujo de datos correcto utilizando los útiles consejos de solución de problemas de la alerta o utilizando la ficha Resumen de exportación de datos con la Guía rápida.

  • Más de 7 días: La directiva de retención de Kakfa para cada tema de cliente es de siete días, lo que significa que existe la posibilidad de que algunos datos de seguridad hayan caducado. Es imperativo utilizar las herramientas de solución de problemas para restablecer el flujo de datos al SIEM.

  • Más de 30 días: Esto significa que el cliente ha tenido problemas de seguridad en los datos y debe prestar atención inmediata a la restauración del flujo de datos de Citrix Analytics al entorno SIEM.

Para obtener más información, consulte Generación de alertas por correo electrónico de SIEM.

13 de abril de 2023

Problema resuelto

La aplicación Citrix Workspace de Windows envía una propiedad de nombre, ruta y formato de archivo vacía desde la versión 2203 y versiones posteriores de la aplicación Citrix Workspace. Como resultado, la GUI de Citrix Analytics for Security muestra los valores NA para las columnas Nombre del archivo de descarga, Ruta del archivo de descarga y Formato de archivo de descarga. Este problema ya está solucionado. [CAS-73498]

31 de marzo de 2023

Eventos de grabación de sesiones en Citrix Analytics for Security

En Citrix Apps and Desktops, se han agregado dos nuevos tipos de eventos para ayudar a identificar y evaluar los eventos basados en la grabación de sesiones.

  • Citrix.EventMonitor.RDPConnection
  • Citrix.EventMonitor.UserAccountModification

Los administradores ahora pueden identificar y evaluar fácilmente los posibles riesgos de seguridad. Pueden utilizar estos eventos para recopilar información sobre datos vitales, como los identificadores de procesos, las direcciones IP de destino y las descripciones de las operaciones de las cuentas de usuario. Además, estos eventos también se pueden encontrar en la página de indicadores de riesgo personalizados y en la página de búsqueda por autoservicio.

  • Búsqueda automática: puede ver estos eventos junto con los detalles de sus atributos.
  • Indicadores de riesgo personalizados: puede configurar cualquier indicador personalizado mediante estos tipos de eventos. Para obtener más información, consulte Tipos de eventos y campos compatibles.

Eventos de protección de aplicaciones en la búsqueda de autoservicio

Un nuevo evento denominado AppProtection.ScreenCapture se activa cuando intenta capturar una captura de pantalla mientras se encuentra en una sesión protegida en la fuente de datos de Citrix Apps and Desktops. Los eventos AppProtection.ScreenCapture también están disponibles en las páginas Búsqueda de autoservicio y Exportación de datos.

  • Búsqueda de autoservicio: Puede ver los resultados de AppProtection.ScreenCapture junto con todos los detalles de sus atributos.
  • Exportaciones de datos: puede ver el tipo de evento AppProtection.ScreenCapture en la sección Exportaciones de datos. Vaya a Configuración > Exportaciones de datos > Configuración > Eventos de datos para exportar > seleccione Aplicaciones y escritorios en la categoría Eventos de fuentes de datos (opcional).

También puede ver un nuevo atributo denominado Directivas de protección de aplicaciones para el evento Session.Logon.

Para obtener más información, consulte Tipos de eventos y campos compatibles.

30 de marzo de 2023

Soporte de roles personalizados

Se puede agregar un administrador para funciones personalizadas mediante grupos de Active Directory o Azure Active Directory o configurando una integración de Okta para Citrix Analytics for Security. Esta integración permite un enfoque simplificado para administrar los permisos de acceso a los servicios para todos los administradores de grupos.

Después de agregar correctamente un administrador a Active Directory o Azure Active Directory, el administrador puede crear grupos y asignar un rol personalizado a un grupo específico. Los permisos individuales tienen preferencia sobre los permisos de grupo si un administrador es miembro de ambos.

Para obtener más información, consulte Soporte de roles personalizados.

Panel de solución de problemas para la interfaz de usuario de SIEM

La interfaz de usuario de exportación de datos se ha mejorado con los siguientes cambios:

  • Ficha de resumen: la ficha Resumen describe las métricas de los eventos de SIEM, el estado de incorporación a la fuente de datos y el estado del consumo de datos en el siguiente escenario:

    • Datos disponibles en Citrix Analytics: proporciona el estado de incorporación de las diferentes fuentes de datos.
    • Eventos disponibles para el consumo de SIEM: proporciona la cantidad de información que se envía a su entorno de SIEM.
    • Consumo de datos por SIEM: proporciona el estado del consumo de datos.
  • Ficha Configuración: La ficha Configuración contiene información sobre la configuración de la cuenta, la configuración del entorno SIEM y la selección de eventos de datos.

  • Guía rápida de exportación de datos: los administradores ahora pueden utilizar la Guía rápida, que facilita la configuración y el mantenimiento de las integraciones de SIEM. Se puede acceder al enlace Guía rápida de exportación de datos desde las fichas Resumen y Configuración.

Para obtener más información, consulte Solución de problemas de exportación de datos.

24 de marzo de 2023

Cambio en la vista del perfil de usuario

Los datos del perfil de los usuarios relacionados con las aplicaciones, las ubicaciones, los dispositivos y el uso de datos de ShareFile no están disponibles en la página de información del usuario de la cronología del usuario. La siguiente información de usuario que proviene de Active Directory aún está disponible -

  • Título del puesto
  • Dirección
  • Correo electrónico
  • Teléfono
  • Ubicación
  • Organización

No hay cambios en los datos del perfil de usuario que se exportan a SIEM. Para obtener más información, consulte Perfil de usuario.

Eliminación de las sugerencias automáticas dinámicas de todas las vistas de búsqueda

La función de sugerencia automática para dimensiones basadas en los datos históricos del arrendatario ahora está en desuso en las siguientes páginas:

  • Búsqueda de autoservicio
  • Indicador de riesgo personalizado

Sin embargo, las sugerencias estáticas para dimensiones como el tipo de evento y las operaciones del portapapeles siguen disponibles en el cuadro de búsqueda.

Para obtener más información, consulta Cómo utilizar la búsqueda automática.

21 de marzo de 2023

Panel Recomendaciones para ayudar a integrar el origen de datos local de StoreFront

Se ha introducido el nuevo panel Recomendaciones en la página Orígenes de datos. El panel Recomendaciones de la página Orígenes de datos informa al usuario sobre la importancia de incorporar los orígenes de datos de StoreFront locales. Ayuda al usuario a incorporar fácilmente los orígenes de datos locales de StoreFront y también ofrece una opción para que el usuario revise y garantice la incorporación de todos los orígenes de datos disponibles.

Para obtener más información, consulte Conectarse a una implementación de StoreFront.

23 de febrero de 2023

Problemas resueltos

Las acciones fallan para las implementaciones locales de Citrix Apps and Desktop en las que la versión de Citrix Apps and Desktop es superior a 1912. Este problema se ha visto tanto en las acciones manuales como en las basadas en directivas. Este problema ya está solucionado. [CAS-69098]

La página Búsqueda de aplicaciones y escritorios de autoservicio muestra varios eventos de inicio y finalización de aplicaciones cuando las aplicaciones virtuales se inician solo una vez. Este problema se produce en las versiones cliente de la aplicación Citrix Workspace para Linux. Este problema ya está solucionado. [CAS-36236]

Es posible que los eventos de usuario de Secure Private Access Service posteriores al 4 de abril de 2022 y hasta finales de mayo de 2022 no estén disponibles en sus arrendatarios de Citrix Analytics. Este problema ya está solucionado. [CAS-66897]

22 de febrero de 2023

Mejora de las notificaciones semanales por correo electrónico

Citrix Analytics envía notificaciones semanales por correo electrónico que ayudan a resumir los riesgos de seguridad de su organización. La notificación semanal por correo electrónico se ha mejorado con las siguientes actualizaciones:

  • Proporciona una vista de la distribución de riesgos de los usuarios: total de usuarios descubiertos, número de usuarios con riesgo y sin riesgo durante una semana
  • Total de eventos procesados durante una semana
  • Total de indicadores activados durante una semana
  • Total de acciones realizadas durante una semana
  • Total de fuentes de datos que están activadas para el procesamiento de datos

Para obtener más información, consulta Notificación semanal por correo electrónico.

Se agregó el campo de formato de archivo de descarga para el tipo de evento App.SaaS.File.Download

En la página de búsqueda automática de la fuente de datos de Apps and Desktops, se ha añadido un nuevo campo de formato de archivo de descarga para el tipo de evento App.SaaS.File.Download. Con este cambio, ahora puede configurar indicadores de riesgo personalizados para el campo Formato de archivo de descarga y también exportar el campo como parte del formato Exportar a CSV.

Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Cambio en los campos derivados del navegador

Anteriormente, la página de búsqueda automática incluía los campos Navegador, Versión principal delnavegador y Versión secundaria del navegadorpara representar los nombres y las versiones del navegador. Sin embargo, para garantizar la claridad y la precisión, ahora estos tres campos están en desuso y se sustituyen porNombreyversión del navegador en la búsqueda automática, plantilla de indicadores personalizados y descarga de CSV para la fuente de datos de aplicaciones y escritorios.

Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

16 de febrero de 2023

Problema resuelto

Los correos electrónicos semanales se ven afectados para algunos de los clientes de la UE y APS al obtener el estado de enmascaramiento de nombre de usuario de un arrendatario. Como resultado, los administradores reciben 10 correos electrónicos semanales idénticos debido a la excepción. Una vez que se produjo la excepción, los arrendatarios sucesivos no recibieron el correo electrónico semanal. Este problema ya se ha solucionado. [CAS-76138]

03 de febrero de 2023

Soporte analítico para el servicio Citrix Secure Private Access disponible en las regiones de la Unión Europea y Asia Pacífico Sur

Citrix Analytics for Security ahora procesa los eventos de los usuarios de Citrix Secure Private Access, disponible en la región de la Unión Europea y la región de Asia Pacífico Sur. Si su organización se ha incorporado a Citrix Cloud desde la región de la Unión Europea o la región de Asia Pacífico Sur, puede ver la información sobre los riesgos de los usuarios que utilizan el servicio Secure Private Access.

Para obtener más información, consulte Orígenes de datos.

11 de enero de 2023

Eliminación de la capacidad de filtrado web de Secure Private Access

La capacidad de filtrado web se ha eliminado de la categoría Secure Private Access. Estas prestaciones de Citrix Analytics for Security se ven afectadas debido a que Secure Private Access ha dejado de utilizar el filtrado web basado en categorías:

  1. Los campos de datos como el grupo de categorías, la categoría y la reputación de las URL ya no están disponibles en el panel de control de Citrix Analytics for Security.

  2. El indicador de acceso a sitios web de riesgo, que se basa en los mismos datos, también se ha retirado y no se activa para los clientes.

  3. Los indicadores de riesgo personalizados existentes que utilicen los campos de datos (categoría-grupo, categoría y reputación de las URL) y sus directivas asociadas ya no se activan.

  4. Las fichas Acceso de los usuarios y Acceso a las aplicaciones.

  5. Las exportaciones de SIEM seguirán teniendo los atributos urlcategory, urlcategorygroup y urlcategoryreputation durante algún tiempo con los siguientes valores ficticios:

    • 99999 para categoría y grupo de categorías
    • 0 por reputación

Para obtener más información, consulte Búsqueda de autoservicio de Secure Private Access.

27 de diciembre de 2022

Menú desplegable de cambios en la fuente de datos para la búsqueda automática

La lista de fuentes de datos se cambia para reflejar Sesiones de forma predeterminada, en lugar de Aplicaciones y escritorios, en la página de búsqueda de autoservicio. Además, la sección Rendimiento se ha desplazado a la parte superior, seguida de la sección Seguridad, ya que los orígenes de datos de rendimiento no estaban visibles.

Para obtener más información, consulte Búsqueda de autoservicio.

13 de diciembre de 2022

Mejora del panel de usuarios

El panel de usuarios se ha renovado con resúmenes y gráficos para ayudar a los administradores a supervisar la situación de seguridad de la organización. La vista no solo proporciona detalles de los usuarios detectados, los indicadores de riesgo activados y las acciones aplicadas, sino que también proporciona una línea de tendencia basada en el tiempo de las métricas críticas para una mejor evaluación de los riesgos. Los administradores pueden analizar en detalle los datos de interés y acceder a los paneles pertinentes con el contexto adecuado para analizar los riesgos con mayor rapidez.

Para obtener más información, consulte Panel de control de usuarios.

05 de diciembre de 2022

Panel de mandos de Access Assurance: Red de inicio de sesión

La sección Red de inicio de sesión se agregó recientemente y proporciona los siguientes detalles de usuario:

  • Las organizaciones asociadas a las direcciones IP desde las que los usuarios han iniciado sesión.

  • La subred pública única total y la subred privada desde las que los usuarios han iniciado sesión.

  • Los detalles de que el usuario ha iniciado sesión mediante servidores proxy y servicios de VPN privadas.

Con estos detalles adicionales, un administrador puede validar los detalles de inicio de sesión del usuario y asegurarse de que el inicio de sesión del usuario cumple con las expectativas de seguridad de la organización.

Para obtener más información, consulte Panel de mandos de Access Assurance.

18 de noviembre de 2022

Problema resuelto

  • Se han corregido los indicadores de geocerca que se activaban por error sin tener ningún evento de origen. [CAS-73222]

08 de noviembre de 2022

Cambiar el nombre de las acciones

Se cambia el nombre de algunas de las acciones que se utilizan en Citrix Analytics for Security para proporcionar más claridad. Esas acciones son las siguientes:

  • Notificar a los administradores: Notifica a los administradores
  • Bloquear usuario: Bloquea la cuenta de usuario
  • Cerrar sesión de usuario: Cierra la sesión activa
  • Desbloquear usuario: Desbloquea la cuenta de usuario
  • Inhabilitar usuario: Inhabilita la cuenta de usuario

Para obtener más información, consulte ¿Cuáles son las acciones?

Problemas resueltos

  • Si selecciona una opción del menú desplegable de acciones de la línea de tiempo, no podrá activar ninguna acción manual, ya que los botones Borrar y Aplicar no están visibles. Esta afección se produce en la última versión de Firefox. Este problema ya está solucionado. [CAS-72051]

  • Las categorías HardDrive, harddrive y HDD se combinan en una sola categoría como Hard Disk Drive para el campo Tipo de dispositivo de descarga del origen de datos de aplicaciones y escritorios de la búsqueda de autoservicio de aplicaciones y escritorios. [CAS-67188]

  • A veces, Microsoft Graph recibe notificaciones duplicadas con el mismo identificador de alerta, lo que provoca la creación de eventos de riesgo duplicados. Se implementa un mecanismo de desduplicación en las aplicaciones para evitar este problema. [CAS-66731]

19 de octubre de 2022

Fecha, origen, selección y exportación de eventos

Ahora puede aprovechar el nuevo flujo de trabajo de exportación de eventos de datos para exportar eventos de fuentes de datos, además de los eventos de información de riesgo generados por el aprendizaje automático y los datos asociados.

Esto permite a los administradores de operaciones de seguridad y seguridad (SOC):

  • Correlacione los datos de Citrix Analytics con otros eventos de orígenes de datos agregados en la información de seguridad y la administración de eventos (SIEM)

  • Controlar qué eventos de datos fluyen a los SIEM para optimizar los costes de almacenamiento

Los eventos de datos se envían a sus integraciones de SIEM y conectores de datos existentes y de forma similar a lo que está disponible en nuestra vista de búsqueda de eventos de autoservicio.

Para obtener más información, consulte Eventos de datos exportados de Citrix Analytics for Security a su servicio SIEM.

18 de octubre de 2022

Permitir al administrador ejecutar una acción de grabación dinámica de sesiones en sitios de Citrix DaaS

Los administradores ahora pueden ejecutar acciones de grabación dinámica de sesiones en los sitios de Citrix DaaS y grabar dinámicamente las sesiones virtuales de los usuarios. Pueden configurar la acción con una directiva para iniciar automáticamente la grabación de las sesiones de los usuarios en caso de que Citrix Analytics for Security detecte una actividad arriesgada de un usuario determinado.

Para obtener más información, consulte ¿Cuáles son las acciones?

14 de octubre de 2022

Proporcione comentarios sobre los indicadores de riesgo del usuario

Los administradores de Citrix Analytics for Security ahora pueden informar de que los indicadores de riesgo de los usuarios son útiles o no útiles proporcionando comentarios en el panel de detalles de los indicadores. Esta función permite a los administradores denunciar falsos positivos, reducir el ruido de los indicadores que se activan con frecuencia y compartir contexto adicional con otros administradores. Como resultado adicional, el indicador de riesgo poco útil se oculta en la cronología del usuario y se recalibra la puntuación de riesgo del usuario.

Para obtener más información, consulte Proporcionar comentarios sobre los indicadores de riesgo de los usuarios.

26 de septiembre de 2022

Garantía de acceso para admitir la lista de geocercas bloqueados

Las fichas Ubicación segura y Ubicaciones de riesgo se agregan a los parámetros de geocercas.

  • Las geocercas de Ubicación segura ayudan a identificar y restringir el acceso fuera del área de una geocerca definida.
  • Las geocercas de ubicaciones de riesgos ayudan a detectar y restringir el acceso de los usuarios de riesgo según el comportamiento conocido de la organización.

Tanto las geocercas seguras como las de riesgo tienen sus propios indicadores de riesgo personalizados preconfigurados.

Para obtener más información, consulte Habilitar las geocercas.

Problemas resueltos

  • API de Citrix Cloud para mostrar el nombre del cliente en el cuerpo del correo electrónico. Ahora, el correo electrónico usa el apodo para mostrar el nombre del cliente en el cuerpo del correo electrónico enviado a los administradores. [CAS-65350]

  • La tarjeta de origen de datos de Citrix Gateway es común entre Citrix Analytics para seguridad y Citrix Analytics para el rendimiento. El procesamiento de datos invocaba constantemente el dispositivo de punto final de Citrix Analytics para seguridad y se interrumpió para los clientes que solo tenían derechos de Citrix Analytics para el rendimiento. [CAS-70817]

  • Cuando se recibe más de un mensaje de autorización simultáneamente de Citrix Cloud, se produce una condición de carrera al actualizar la caché de Redis. En tal caso, se actualiza un mensaje de autorización en la memoria caché y el resto desaparece. Ahora se ha solucionado este problema para actualizar todos los mensajes de derechos de la caché. [CAS-70823]

13 de septiembre de 2022

El panel de control de Sharelink se ha renovado con una vista resumida y detallada. La vista de resumen consiste en las acciones más activas y las acciones con mayor riesgo. La vista detallada proporciona más información al administrador con la introducción de los atributos creados por, el recuento de actividades, el tipo de autenticación, el permiso, el tipo de recurso compartido y el contenido. El administrador puede profundizar y filtrar aún más según sea necesario y cambiar/proporcionar el marco de tiempo para ver los datos de interés.

Para obtener más información, consulte Panel de control Compartir vínculos.

9 de septiembre de 2022

Mejora de RI para trayectos imposibles

Los indicadores de riesgo de trayecto imposible se han mejorado para indicar la organización que registra y el tipo de ruta de las direcciones IP de los clientes. Estos nuevos campos están disponibles tanto en las vistas detalladas de los indicadores de la cronología del usuario como en los detalles de los indicadores enviados al SIEM.

Para obtener más información sobre las directivas predeterminadas, consulte los siguientes artículos:

19 de agosto de 2022

Habilitar telemetría de impresión de VDA

Un evento denominado VDA.Print se activa cuando se inicia un trabajo de impresión en Citrix Apps and Desktops. Los eventos de impresión del VDA también están disponibles en las páginas Búsqueda de autoservicio e Indicadores de riesgo personalizados.

  • Búsqueda de autoservicio: Puede ver los resultados de VDA.Print junto con todos los detalles de sus atributos.
  • Indicadores de riesgo personalizados: Se proporcionan nuevos eventos para la telemetría de impresión del VDA a través de EventHub y también están disponibles en Indicador personalizado. Puede usar estos pares clave/valor de eventos para configurar desencadenantes de indicadores personalizados.

Para habilitar la telemetría de impresión y la transmisión de registros de impresión a Citrix Analytics for Security, debe crear claves de registro y configurar el VDA. Estos registros de impresión proporcionan información vital sobre las actividades de impresión, como los nombres de las impresoras, los nombres de los archivos de impresión y el total de copias impresas. Como administrador de seguridad, puede usar estos registros para analizar el riesgo e investigar a sus usuarios.

Para obtener más información, consulte Habilitar la telemetría de impresión para Citrix DaaS.

18 de agosto de 2022

Problema resuelto

  • En la búsqueda de autoservicio de aplicaciones y escritorios y en la página Inicio de sesión de usuarios del panel de control de ubicación de la garantía de acceso, el valor de la versión de la aplicación Workspace se rellenó como NA (no disponible) en el archivo CSV descargado, mientras estaba disponible en la vista de páginas. Este problema ya se ha solucionado. [CAS-70361]

17 de agosto de 2022

Personalización del correo electrónico del usuario final según la directiva

Ahora puede personalizar el contenido del correo electrónico enviado a los usuarios finales según la directiva. Específicamente, cuando se crea una directiva con la acción Solicitar respuesta del usuario final o una acción disruptiva en la cuenta del usuario (como Cerrar sesión del usuario y Bloquear usuario), el contenido del correo electrónico que se envía a los usuarios finales cuando se aplica la directiva se puede personalizar.

Para obtener más información sobre cómo personalizar el correo del usuario final por directiva, consulte Directivas y acciones.

11 de agosto de 2022

Se han agregado nuevas preguntas sobre la garantía de acceso: geolocalización en el artículo Preguntas frecuentes. Para obtener más información, consulte las preguntas frecuentes.

Problema resuelto

  • El botón Ver todas las notificaciones redirigía al administrador al enlace https://citrix.cloud.com/notifications del correo electrónico semanal que tenía un error tipográfico. [CAS-69236]

17 de junio de 2022

El procesamiento de datos está habilitado de forma predeterminada para los nuevos derechos de pago

Anteriormente, los clientes con un nuevo derecho de pago a Citrix Analytics for Security tenían que activar el procesamiento de datos en la tarjeta de sitio de orígenes de datos específicas para comenzar a procesar los datos de esos orígenes de datos.

Con esta versión, cuando se aprovisiona el nuevo derecho de pago a Citrix Analytics for Security, el procesamiento de datos se activa de forma predeterminada para los siguientes servicios de Citrix Cloud:

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix DaaS

Para obtener más información, consulte Introducción.

9 de junio de 2022

Problema resuelto

  • Los indicadores de riesgo de Microsoft Graph generados por la protección de identidad de Azure AD y Microsoft Defender for Endpoint pueden mostrarse varias veces en Security Analytics. Este problema ya se ha solucionado. [CAS-66593,CAS-66731]

2 de junio de 2022

Problemas resueltos

  • En la búsqueda de autoservicio de directivas, al seleccionar la dimensión Nombre de directiva en la consulta de búsqueda para filtrar eventos, se sugirió una lista de directivas no válidas junto con las directivas válidas para Security Analytics. [CAS-66838]

  • El tamaño del archivo de descarga de los eventos File.Download de Windows Citrix Receiver no se mostraba correctamente en la búsqueda de autoservicio. Este problema surgió porque el valor real estaba en KB y la interfaz de usuario trataba el valor como bytes, lo que provocaba que se mostraran valores incorrectos a los usuarios. [CAS-67105]

24 de mayo de 2022

Presentación de los indicadores de riesgo de trayecto imposibles para Content Collaboration, Citrix DaaS y Citrix Virtual Apps and Desktops, y orígenes de datos

Si el usuario inicia sesión desde dos ubicaciones que están demasiado separadas para viajar dentro del tiempo transcurrido, Citrix Analytics detecta esta actividad como un caso de trayecto imposible y activa el indicador de riesgo de trayecto imposible. Para obtener más información sobre los indicadores de riesgo de trayecto imposible, consulte los siguientes artículos:

17 de mayo de 2022

El nombre de Virtual Apps and Desktops pasa a llamarse Aplicaciones y escritorios

En los paneles e informes de Security Analytics y en los datos enviados por Security Analytics a su servicio SIEM, todas las etiquetas de Virtual Apps and Desktops ahora se actualizan como aplicaciones y escritorios para alinearlas con el nombre del producto cambiado de marca.

Por ejemplo, en la página Orígenes de datos, las etiquetas Virtual Apps and Desktops pasan a llamarse Aplicaciones y escritorios.

La etiqueta Aplicaciones y escritorios representa tanto Citrix Virtual Apps and Desktops local como Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) de su organización.

Problemas resueltos

Citrix Analytics no descubre automáticamente los sitios de Citrix DaaS Cloud Monitor o Director que están asociados a su cuenta de Citrix Cloud. [CAS-66801]

5 de abril de 2022

Novedades

Se cambia el nombre de Secure Workspace Access a Secure Private Access

En los paneles e informes de Analytics, todas las etiquetas de Secure Workspace Access ahora se actualizan como Secure Private Access para alinearse con el nombre del producto con el que se ha cambiado la marca.

Por ejemplo, en la página Orígenes de datos y en la página de búsqueda de autoservicio, las etiquetas Secure Workspace Access se renombran como Acceso privado seguro.

21 de marzo de 2022

Problema resuelto

  • En la página Crear indicador de riesgo, las sugerencias automáticas para dimensiones y operadores no funcionan si la condición anterior de la consulta de búsqueda contiene un valor de dimensión que está separado por un espacio.

    Por ejemplo, en la siguiente consulta, las sugerencias automáticas dejan de funcionar después de seleccionar la ciudad como San Jose. Este problema ya se ha solucionado. [CAS-64126]

    La sugerencia automática falla

10 de marzo de 2022

Novedades

Mejoras en el correo electrónico del administrador

  • La notificación por correo electrónico para la acción Notificar a los administradores ahora proporciona los detalles de los múltiples indicadores de riesgo asociados con una directiva desencadenada.

  • Puede ver el nombre, el nivel de gravedad y la fecha de activación de cada indicador de riesgo asociado a la directiva.

  • Haga clic en Ver detalles del riesgo para abrir la página de línea de tiempo del usuario en Citrix Analytics y ver el indicador de riesgo más reciente que desencadenó la directiva. En la página de cronograma del usuario, también puede ver todos los indicadores de riesgo activados para el usuario.

Mejoras en el correo electrónico del administrador

Para obtener más información sobre la acción Notificar a los administradores, consulte Directivas y acciones.

Problema resuelto

Citrix Analytics no recibe eventos de usuario del origen de datos de Secure Workspace Access. Por lo tanto, no verá los eventos del usuario en la página de búsqueda de autoservicio correspondiente. Además, no puede crear indicadores de riesgo personalizados para el origen de datos Secure Workspace Access. [CAS-64619]

3 de marzo de 2022

Novedades

Aplicar la respuesta del usuario final de solicitud manualmente

Anteriormente, solo podía aplicar la acción Solicitar respuesta del usuario final en una cuenta de usuario mediante la creación de una directiva. Con esta versión, puede seleccionar la acción de la lista Acciones en la línea de tiempo del usuario y aplicar esta acción manualmente en un indicador de riesgo.

Para obtener más información sobre la acción y cómo aplicar acciones manualmente, consulte Directivas y acciones.

Solicitar respuesta del usuario final de forma manual

Solicitar mejoras en la respuesta del usuario final para la directiva

Al crear una directiva con la acción Solicitar respuesta del usuario final, verá las siguientes mejoras:

  • Después de seleccionar Notificar a los administradores como la siguiente acción, ahora puede ver las listas de distribución de correo electrónico predeterminadas y creadas entre las que puede elegir.

    Notificar lista de distribución de administrador

  • Ahora puede seleccionar una de las acciones de Citrix Content Collaboration o Citrix Virtual Apps and Desktops y Citrix DaaS como acción siguiente. Anteriormente, solo podía seleccionar una de las acciones globales o las acciones de Citrix Gateway.

    Acciones de seguimiento

Para obtener más información sobre la acción, consulte Directivas y acciones.

23 de febrero de 2022

Novedades

Medidas recomendadas para un indicador de riesgo

Citrix Analytics le sugiere aplicar acciones como Notificar a los administradores, Agregar a la lista de seguimientoy Crear una directiva cuando se desencadenen los siguientes indicadores de riesgo para un usuario:

Cuando vaya a la línea de tiempo del usuario y seleccione el indicador de riesgo, puede ver todas las acciones sugeridas en la sección ACCIÓN RECOMENDADA.

Por ejemplo, en el indicador de riesgo de error de autenticación inusual, puede ver las siguientes acciones recomendadas:

Acción recomendada

Esta función proporciona orientación para elegir una acción que puede tomar en función de la gravedad del riesgo que presente el usuario. Sin embargo, también puede tomar una acción apropiada que esté fuera de la lista recomendada y en función de su análisis de riesgos.

Problema resuelto

  • Si su organización se incorpora a Citrix Cloud en la región de origen de Asia Pacífico Sur, es posible que Citrix Analytics no reciba eventos de usuario del origen de datos de autenticación. Por lo tanto, es posible que no consulte los eventos de usuario en la página de búsqueda de autoservicio correspondiente. Este problema se ha solucionado. [CAS-62300]

17 de febrero de 2022

Novedades

Recopilación de datos e informes mejorados para el origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS

En esta versión, verá los siguientes cambios:

  • Mejoras en la recopilación de datos, la correlación y los informes de eventos de los clientes de la aplicación Citrix Workspace y el servicio Citrix Monitor.

  • Mejoras en la calidad de los eventos recibidos de los usuarios y las versiones de los clientes, que se pueden utilizar para la búsqueda de autoservicio, los indicadores de riesgo personalizados y la detección general de riesgos.

Compatibilidad con plantillas contextuales para los eventos de sesión y los eventos de aplicaciones en Content Collaboration

En la página de búsqueda de autoservicio, ahora puede ver los detalles de solo los campos relevantes asociados con el archivo, la carpeta, la sesión, el recurso compartido y los eventos del usuario. Se eliminan los campos no aplicables a los eventos.

Por ejemplo, puede ver los siguientes detalles de los eventos de File.Copy:

  • ID de archivo

  • ID de copia de archivo

  • Ruta de archivo

  • Ruta del archivo de destino

  • ID de transmisión

  • ID. de zona

Estos detalles lo ayudan durante la investigación y el análisis de riesgos de una cuenta de usuario asociada con un comportamiento de riesgo. Puede profundizar en los atributos específicos de un evento que parezca con riesgos.

Para obtener más información sobre los campos, consulte Búsqueda de autoservicio de Content Collaboration.

10 de febrero de 2022

Novedades

Valores sugeridos automáticamente para las dimensiones en el indicador de riesgo personalizado

En la página del indicador de riesgo personalizado, cuando selecciona una dimensión y un operador válido en la barra de condiciones, los valores de la dimensión se muestran automáticamente. Seleccione un valor de la lista de sugerencias automáticas o introduzca un valor manualmente en función de sus casos de uso. Cuando escribe un valor, los valores coincidentes disponibles en los registros se sugieren automáticamente.

La lista de valores sugeridos para una dimensión está predefinida (valores conocidos) en la base de datos o se basa en eventos históricos.

Por ejemplo, cuando selecciona la dimensión Event-Type y el operador de asignación, los valores conocidos se sugieren automáticamente. Puede seleccionar un valor en función de sus requisitos.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Sugerencia automática de indicadores de riesgo personalizados

9 de febrero de 2022

Novedades

Nuevas funciones personalizadas para los administradores

Como administrador de Citrix Cloud con permiso de acceso completo, puede invitar a otros administradores a administrar Security Analytics en su organización. Ahora puede asignar las siguientes funciones personalizadas a los administradores invitados:

  • Análisis de seguridad: administrador total

  • Análisis de seguridad: administrador de solo lectura

Con el rol personalizado, puede proporcionar permisos de solo lectura o de acceso completo a sus administradores y permitirles administrar las diversas funciones de Security Analytics.

Para obtener más información sobre los permisos de acceso para estas funciones personalizadas, consulte Administrar funciones de administrador para Security Analytics.

Roles personalizados

Soporte para notificaciones por correo electrónico para administradores de acceso personalizados

Si es administrador de Citrix Cloud con permisos de acceso personalizados (solo lectura o acceso completo) para administrar Security Analytics, ahora recibe las siguientes notificaciones:

  • Notificaciones semanales sobre los riesgos de seguridad detectados en su organización. Para obtener más información, consulte Notificación por correo electrónico semanal.

  • Notificaciones sobre los indicadores de riesgo cuando la acción Notificar a los administradores se aplica manualmente o se desencadena por una directiva. Para obtener más información, consulte Directivas y acción.

28 de enero de 2022

Novedades

Presentación de indicadores de riesgo de inicio de sesión sospechosos para orígenes de datos de Content Collaboration

Citrix Analytics for Security detecta ahora los inicios de sesión de usuario sospechosos en función de varios factores contextuales, tales como:

  • La ubicación se considera inusual con respecto al usuario y al historial de la organización

  • El dispositivo se considera inusual con respecto al usuario y al historial de la organización

  • La red se considera inusual con respecto al usuario y al historial de la organización.

  • La dirección IP se considera sospechosa en función de las fuentes de inteligencia de amenazas IP

Cuando un usuario inicia sesión desde un contexto sospechoso en función de la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual asociado a los orígenes de datos de Citrix Content Collaboration y Citrix Gateway. Todas las directivas existentes basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al nuevo indicador de riesgo: inicio de sesión sospechoso.

Para obtener más información sobre los indicadores de riesgo, consulte Suspicious Logon- Content Collaboration y Suspicious logon- Gateway.

Para obtener más información sobre el esquema de los indicadores de riesgo, consulte Formato de datos de Citrix Analytics para SIEM.

20 de enero de 2022

Novedades

Integración de Microsoft Azure Active Directory

Ahora puede conectar su Azure Active Directory con Citrix Analytics for Security para:

  • Importe los detalles de los usuarios y los grupos de usuarios del dominio de su organización a Citrix Analytics for Security.

  • Enriquezca los perfiles de usuario con detalles adicionales, como el cargo, la organización, la ubicación de la oficina, el correo electrónico y los detalles de contacto, que lo ayudarán durante la investigación y el análisis de riesgos.

Para obtener más información, consulte Integración de Azure Active Directory.

18 de enero de 2022

Novedades

Soporte para las acciones de enlace compartido en todos los indicadores de riesgo de Content Collaboration

Anteriormente, puede aplicar las acciones de enlace compartido: caducar todos los enlaces y Cambiar enlace para compartir de solo lectura en los siguientes indicadores de riesgo basados en enlaces compartidos asociados con el servicio Content Collaboration:

  • Descarga de enlace compartido confidencial anónimo

  • Descargas excesivas de enlaces compartidos

  • Uso compartido excesivo de archivos

Con esta versión, ahora puede aplicar las acciones de enlace compartido en los siguientes indicadores de riesgo basados en el usuario asociados con el servicio de Content Collaboration:

  • Acceso desde una ubicación inusual

  • Acceso excesivo a archivos confidenciales

  • Subidas excesivas de archivos

  • Descargas excesivas de archivos

  • Eliminación excesiva de archivos o carpetas

  • Archivos de malware detectados

  • Actividad de ransomware sospechosa

  • Fallas de autenticación inusuales

También puede aplicar las acciones de enlace compartido en los indicadores de riesgo personalizados asociados con el servicio de Content Collaboration.

Para obtener más información sobre las acciones y los indicadores de riesgo, consulte los siguientes artículos:

La integración con SIEM ya está disponible de forma general

Puede integrar Citrix Analytics for Security con sus servicios de administración de eventos e información de seguridad (SIEM) y exportar los datos de los usuarios desde el entorno de TI de Citrix a su SIEM. La integración le ayuda a correlacionar los datos recopilados de varias fuentes y a obtener una visión integral de la seguridad de su organización.

Actualmente, puede integrar Citrix Analytics for Security con los siguientes servicios:

  • Splunk

  • Microsoft Sentinel

  • Elasticsearch

  • Otros servicios SIEM mediante el uso de un conector de datos basado en Kafka o Logstash

Para obtener más información, consulte Integración de la información de seguridad y la gestión de eventos (SIEM).

23 de diciembre de 2021

Novedades

Mejoras en los indicadores de riesgo de enlaces

Se han realizado las siguientes mejoras:

  • Ahora puede crear una directiva con el indicador de riesgo de descarga de enlace compartido confidencial anónimo.

  • El indicador de riesgo de descarga de acciones confidenciales anónimascambia su nombre a Descarga de enlace compartido confidencial anónimo para distinguirlo como un indicador de riesgo de enlace compartido.

  • El indicador de riesgo de descargas excesivas se renombra como Descargas excesivas de enlaces compartidos para distinguirlo como un indicador de riesgo de enlace compartido y diferenciarlo del indicador de riesgo de descargas excesivas de archivos basado en el usuario.

Para obtener más información, consulte Indicadores de riesgo de vínculos compartidos de Citrix.

21 de diciembre de 2021

Novedades

Envíe notificaciones sobre los indicadores de riesgo a los administradores que no sean de Citrix Cloud

Ahora puede notificar a los administradores de su organización que no son de Citrix Cloud con la acción Notificar a los administradores.

Para notificar a estos administradores, cree una lista de distribución de correo electrónico. Seleccione los administradores en la lista de distribución de correo electrónico de los dominios externos que están conectados a Citrix Cloud o mediante sus direcciones de correo electrónico directamente. Al aplicar la acción Notificar a los administradores, seleccione la lista de distribución de correo electrónico que contiene a los administradores que no son de Citrix Cloud.

Para obtener más información, consulte Lista de distribución de correo electrónico.

20 de diciembre de 2021

Novedades

Enviar notificaciones de respuesta del usuario a los usuarios de Content Collaboration

Además de los usuarios de Active Directory, ahora puede aplicar la acción Solicitar respuesta del usuario final a los usuarios de Content Collaboration.

Esta acción envía notificaciones por correo electrónico a los usuarios cuando Citrix Analytics detecta cualquier actividad inusual en sus cuentas de Citrix. Para obtener más información sobre la acción Solicitar respuesta del usuario final, consulte Directivas y acciones.

El nombre de Control de acceso cambia a Secure Workspace Access

En los paneles e informes de Security Analytics, todas las etiquetas de control de acceso ahora se actualizan como Secure Workspace Access para alinearse con el nombre del producto con el que se ha cambiado la marca.

Por ejemplo, en la página Orígenes de datos, la página de búsqueda de autoservicio y la página Directivas, las etiquetas de Control de acceso se renombran como Secure Workspace Access.

Problema resuelto

  • Para el origen de datos de Apps and Desktops, cuando descarga el informe de búsqueda como archivo CSV, algunos valores de campo del archivo CSV se muestran como no disponibles (N/A), aunque sus valores sí están disponibles. Por ejemplo, los valores de los campos como Download File Name, Session Launch Type y Workspace App Version se muestran en la página de búsqueda de autoservicio, pero en el archivo CSV descargado, ve estos valores como no disponibles (N/A). Este problema ya se ha solucionado. [CAS-62299]

9 de diciembre de 2021

Novedades

Crear sus indicadores de riesgo personalizados fácilmente con plantillas

Ahora puede seleccionar una plantilla en función de su caso de uso y crear un indicador de riesgo personalizado. Las plantillas lo guían al proporcionarle consultas y parámetros predefinidos. Facilita su esfuerzo a la vez que crea un indicador de riesgo personalizado.

Para obtener más información, consulte Indicadores de riesgo personalizados.

7 de diciembre de 2021

Problema resuelto

  • En Citrix Analytics for Security, no recibe los eventos de los usuarios que utilizan Citrix Secure Browser que se publicó en septiembre de 2021. El problema existe porque la directiva de seguimiento de nombres de host no está visible en Citrix Secure Browser posterior a la versión de septiembre de 2021 y, por lo tanto, no se puede habilitar para integrarse con Citrix Analytics for Security. Este problema ya se ha solucionado. [CAS-62254]

2 de diciembre de 2021

Novedades

Indicador de riesgo detectado por archivos de malware

Ahora puede recibir una alerta cuando un usuario cargue un archivo infectado en Content Collaboration.

El indicador de riesgo detecta un archivo infectado por un malware como un troyano, un virus o cualquier otra amenaza maliciosa. Proporciona visibilidad de los detalles del archivo malicioso, como el propietario del archivo, el nombre del virus y la ubicación del archivo.

El factor de riesgo asociado con el indicador de riesgo de archivos de malware detectados es el indicador de riesgo basado en archivos.

Para obtener más información sobre el indicador de riesgo y las acciones que puede aplicar, consulte el indicador de riesgo de archivos de malware detectados.

Nuevas acciones para el origen de datos Content Collaboration

Puede aplicar las siguientes acciones cuando se activa el indicador de riesgo de archivos de malware detectados para un usuario:

  • Elimina el permiso de acceso a carpetas. Puede bloquear el permiso de acceso del usuario que carga el archivo infectado. El usuario no puede acceder a la carpeta en la que se cargó el archivo infectado.

  • Elimina el permiso de carga en la carpeta. Puede bloquear el permiso de carga del usuario que carga el archivo infectado. El usuario no puede cargar un archivo en la carpeta en la que se cargó el archivo infectado.

Para obtener más información sobre las acciones de Content Collaboration, consulte Directivas y acciones.

Actions

29 de noviembre de 2021

Novedades

Mejoras en la configuración del correo electrónico para las notificaciones a los usuarios

Como administrador, ahora puede agregar imagen de encabezado, texto de encabezado y pie de página en la plantilla de correo electrónico de respuesta del usuario. Estos campos mejoran la legitimidad de su correo electrónico, lo que aumenta la atención y las respuestas de los usuarios hacia su correo electrónico.

Para obtener más información, consulte Configuración del correo electrónico del usuario final.

Parámetros del correo electrónico

26 de noviembre de 2021

Novedades

Cambios en el menú de directivas e indicadores de riesgo

Se actualizan los enlaces de navegación de las siguientes funciones:

25 de noviembre de 2021

Novedades

Mejoras en la integración de la gestión de información y eventos de seguridad (SIEM)

Nota

Esta integración está en versión preliminar.

Ahora puede integrar Citrix Analytics for Security con los siguientes servicios de SIEM:

  • Microsoft Sentinel

  • Elasticsearch con servicios de visualización como Kibana y servicio SIEM como LogRythm

  • Cualquier otro servicio SIEM que utilice el motor de recopilación de datos Logstash

En función de sus necesidades empresariales, importe los datos de los usuarios de Citrix Analytics for Security a su servicio SIEM. Esta integración permite a sus equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares dentro de los servicios de SIEM en su organización, lo que les ayuda a identificar y remediar rápidamente los riesgos de seguridad.

Para obtener más información, consulte Integración de la información de seguridad y la gestión de eventos (SIEM).

9 de noviembre de 2021

Problema resuelto

  • En algunos arrendatarios, las directivas de usuario no funcionan. Este problema se producía cuando las alertas de las aplicaciones virtuales tenían valores de cadena vacíos para los dominios. Este problema ya se ha solucionado. [CAS-60920]

2 de noviembre de 2021

Novedades

Ver los perfiles de acceso y los detalles de inicio de sesión de los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS

En el panel Ubicación de control de acceso, puede ver los perfiles de acceso y los detalles de inicio de sesión de los usuarios que han iniciado sesión en aplicaciones virtuales y escritorios virtuales. Esta información le ayuda durante la investigación y el análisis de amenazas.

  • La página Perfil de acceso proporciona el resumen de los accesos de los usuarios desde las ubicaciones seleccionadas. Puede ver el análisis de tendencias y los eventos de acceso superior del total de usuarios y los inicios de sesión de usuarios únicos.

    Accede a la página de perfil

  • La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de los usuarios en aplicaciones virtuales y escritorios virtuales desde las ubicaciones seleccionadas.

    Página de inicio de sesión del usuario

Para obtener más información, consulte el panel de control Ubicación de Access Assurance.

Ver los registros de malware en la página de búsqueda de autoservicio de Content Collaboration

En la página de autoservicio de Content Collaboration, ahora puede ver el evento de malware File.VirusInfected y sus registros asociados. Este evento se desencadena cuando un usuario de Content Collaboration carga un archivo que está infectado con un malware.

Para obtener más información, consulte Búsqueda de autoservicio de Content Collaboration

Evento de malware

Problema resuelto

  • Algunos usuarios de Content Collaboration se configuran incorrectamente como no empleados al procesar los eventos en Citrix Analytics. Por lo tanto, los usuarios no se identifican como usuarios descubiertos. Este problema ya se ha solucionado. [CAS-59608]

20 de octubre de 2021

Novedades

Integración del servidor de grabación de sesiones

Para su implementación de Citrix Virtual Apps and Desktops y Citrix DaaS, ahora puede configurar sus servidores de Grabación de sesiones para enviar los eventos de los usuarios a Citrix Analytics for Security. Estos eventos de los usuarios se procesan para proporcionar información útil sobre el comportamiento de los usuarios.

En la página Orígenes de datos > Seguridad, vaya a la tarjeta del sitio Virtual Apps and Desktops. En la tarjeta del sitio Grabación de sesiones, haga clic en puntos suspensivos verticales () y, a continuación, seleccione Conectar servidor de grabación de sesiones.

Para obtener más información, consulte Implementación de Conectarse a la grabación de sesiones.

Implementación de grabación de sesiones

19 de octubre de 2021

Novedades

Mejoras en la plantilla de correo electrónico de notificación al administrador

La notificación por correo electrónico que recibe un administrador después de aplicar la acción Notificar a los administradores se ha mejorado para proporcionar una mejor información sobre los eventos de riesgo del usuario.

  • La notificación ahora proporciona información detallada sobre el indicador de riesgo desencadenado o la directiva aplicada. Por ejemplo, puede ver la gravedad y el tiempo de activación de los indicadores de riesgo predeterminados y personalizados. La estructura del contenido se ha mejorado para una mejor legibilidad.

  • Los administradores ahora pueden acceder a la línea de tiempo del usuario directamente desde la notificación por correo electrónico y ver los detalles sobre los eventos de riesgo.

  • Se agrega una opción de valoración en la notificación. Esta opción ayuda a recopilar las respuestas de los administradores y a mejorar continuamente el contenido de la notificación en función de las respuestas.

Para obtener más información sobre la acción Notificar a los administradores, consulte Directivas y acciones.

Mejoras en el resumen de inicio de sesión del usuario

  • Ahora puede ver la tendencia ascendente o descendente de los inicios de sesión de los usuarios para el total de inicios de sesión de usuarios en todo el mundo y los inicios de sesión de usuarios únicos en todo el mundo.

    Tendencia de inicio de sesión

  • La columna DESVIACIÓN de la tabla Ubicaciones de inicio de sesión únicas muestra el cambio hacia arriba o hacia abajo en los inicios de sesión de usuario únicos para una ubicación en particular.

    Tendencia única de inicio

Estas métricas le ayudan a entender cómo han cambiado los inicios de sesión de los usuarios (positivos o negativos) con respecto al período anterior. Proporciona visibilidad de las interacciones de los usuarios con sus implementaciones de Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

Problema resuelto

  • En el panel de control Ubicación de Access Assurance, las tarjetas de resumen de inicio de sesión de usuario no muestran las métricas de inicio de sesión de los usuarios (total de inicios de sesión de usuarios en todo el mundo, inicios de sesión de usuario únicos en todo el mundo y los países tienen inicios de sesión de usuario) cuando ningún usuario inicia sesión desde fuera de las áreas de geocercas. Este problema ya se ha solucionado. [CAS-59595]

1 de octubre de 2021

Novedades

Ver los registros de auditoría en la búsqueda de autoservicio de Content Collaboration

En la búsqueda de autoservicio de Content Collaboration, ahora puede ver los registros de auditoría. Estos registros proporcionan información sobre los permisos y las acciones que los administradores de Content Collaboration aplican a las cuentas de usuario. Con estos datos, puede verificar si los administradores de Content Collaboration han tomado medidas válidas en sus cuentas de usuario. Como administrador de seguridad, le ayuda durante la investigación y el análisis de riesgos.

Para obtener más información sobre los registros de auditoría, consulte Búsqueda de autoservicio de Content Collaboration.

Problema resuelto

Los administradores que inician sesión en Citrix Cloud mediante Azure AD no pueden acceder al servicio Citrix Analytics cuando el identificador de sesión caducado anterior viene con el nuevo ID de sesión. Este problema ya se ha solucionado. [CAS-59385]

29 de septiembre de 2021

Novedades

El panel de control de ubicación de garantía de acceso ahora está disponible de forma general

El panel proporciona visibilidad de las ubicaciones de sus usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS. Puede identificar a los usuarios cuyas ubicaciones son inusuales habilitando la geocerca y aplicando las acciones apropiadas para evitar cualquier amenaza.

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso. Seleccione el período de tiempo para el que quiere ver los detalles de la ubicación.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

15 de septiembre de 2021

Novedades

Mejoras en los indicadores de riesgo personalizados

  • Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la línea de tiempo del usuario. Sin embargo, el resumen de riesgos y la puntuación de riesgo del usuario se actualizan al cabo de unos minutos (aproximadamente 15-20 minutos).

  • Si modifica los atributos como condición, categoría de riesgo, gravedad y nombre de un indicador de riesgo personalizado existente, en el cronograma del usuario, podrá ver las apariciones anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

  • Si elimina un indicador de riesgo personalizado, en el cronograma del usuario, podrá seguir viendo las apariciones anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Para obtener más información, consulte Indicadores de riesgo personalizados.

14 de septiembre de 2021

Novedades

Introducción del indicador de riesgo de inicio de sesión sospechoso

Citrix Analytics for Security detecta ahora los inicios de sesión de usuario sospechosos en función de varios factores contextuales, tales como:

  • La ubicación se considera inusual con respecto al usuario y al historial de la organización

  • El dispositivo se considera inusual con respecto al usuario y al historial de la organización

  • La red se considera inusual con respecto al usuario y al historial de la organización.

  • La dirección IP se considera sospechosa en función de las fuentes de inteligencia de amenazas IP

Cuando un usuario de Citrix Virtual Apps and Desktops y Citrix DaaS inicia sesión desde un contexto sospechoso en función de la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual asociado al origen de datos de Citrix Virtual Apps and Desktops. Todas las directivas existentes basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al nuevo indicador de riesgo: inicio de sesión sospechoso.

Para obtener más información sobre el indicador de riesgo, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

Mejora de mensajes SIEM

Citrix Analytics for Security envía ahora los detalles del esquema del indicador de riesgo de inicio de sesión sospechoso al servicio SIEM. Puede ver el esquema del resumen del indicador y los detalles del evento del indicador de riesgo de inicio de sesión sospechoso. Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

Problema resuelto

  • Para la búsqueda de autoservicio de Apps and Desktops, falta el valor de la IP del cliente en el archivo CSV descargado. Este problema ya se ha solucionado. [CAS-58426]

19 de agosto de 2021

Novedades

Presentación de la aplicación Citrix Analytics para Splunk

Nota

La aplicación se halla en Tech Preview.

La aplicación Citrix Analytics para Splunk le permite ver los datos recopilados de Citrix Analytics for Security en forma de paneles detallados en su Splunk. Los paneles proporcionan información sobre los eventos de riesgo de los usuarios. También puede correlacionar los datos de Citrix Analytics con los registros recopilados de otros orígenes de datos. La correlación le ayuda a encontrar relaciones entre los eventos y a tomar medidas oportunas para proteger su entorno de TI.

Para descargar la aplicación, vaya a Splunk base. Instala la aplicación en su buscador de Splunk.

Para obtener más información, consulte Aplicación Citrix Analytics para Splunk.

Esquema indicador de riesgo personalizado para SIEM

En su servicio SIEM, ahora puede ver el esquema de los indicadores de riesgo personalizados creados para Citrix Virtual Apps and Desktops y Citrix DaaS. Estos datos le ayudan a obtener información sobre la postura de riesgo de seguridad de su organización.

Para obtener más información sobre el esquema de indicador de riesgo personalizado, consulte Formato de datos de Citrix Analytics para SIEM.

Compatibilidad con Citrix Director como origen de datos

Ahora puede configurar sus sitios locales en Citrix Director para enviar eventos a Security Analytics. Estos eventos se utilizan para descubrir a los usuarios conectados a Security Analytics y determinar las versiones de la aplicación Workspace instaladas en los dispositivos de los usuarios.

De forma predeterminada, el procesamiento de datos está habilitado tras el descubrimiento de los sitios. En la tarjeta Monitoring, puede ver todos los sitios conectados.

Para obtener más información sobre cómo configurar sus sitios en Director, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Compatibilidad con geocercas en el panel de control de ubicación de Access assurance

Ahora puede utilizar la configuración de geocercas del tablero de mandos para seleccionar y habilitar las áreas geocercadas. Tras habilitar la geocerca, el mapa muestra las áreas geocercadas (países) y el usuario inicia sesión desde el exterior y desde el interior de la geocerca. Esta función utiliza la sesión de CVAD iniciada fuera del indicador de riesgo de geocerca para supervisar los inicios de sesión de los usuarios.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

Estado de la aplicación Workspace en la página Usuarios

En la página Usuarios, ahora puede ver el estado de los clientes de la aplicación Citrix Workspace admitidos por Citrix Analytics. La página muestra el siguiente estado:

  • Compatible
  • Compatible parcialmente
  • No compatible
  • No disponible
  • Inactivo

El estado le ayuda a identificar cualquier versión de cliente no admitida utilizada por los usuarios y recomienda a los usuarios que actualicen sus clientes a una versión compatible. Una versión de cliente compatible envía los eventos de usuario a Citrix Analytics.

Nota

Para ver el estado de la aplicación Citrix Workspace, debe incluir el origen de datos de Citrix Director. De lo contrario, el estado de cada usuario de Citrix Virtual Apps and Desktops y Citrix DaaS se muestra como Inactivo.

Para obtener más información, consulte el panel Usuarios.

Compatible con el operador IS EMPTY

Al crear un indicador de riesgo personalizado, ahora puede utilizar el operador IS EMPTY en su condición para comprobar si hay una dimensión nula o vacía.

Nota

El operador solo funciona para dimensiones de tipo cadena como Nombre de aplicación, Explorador y País.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Puntuación de riesgo mejorada

En la cronología del usuario, ahora puede ver el resumen de riesgos de un usuario. El resumen de riesgos proporciona información sobre los factores de riesgo asociados a los eventos de los usuarios. El factor de riesgo ayuda a identificar el tipo de anomalías en los eventos de usuario y también determina la puntuación de riesgo. Los factores de riesgo son los siguientes:

  • Indicadores de riesgo basados en dispositivos

  • Indicadores de riesgo basados en la ubicación

  • Indicadores de riesgo basados en IP

  • Indicadores de riesgo basados en fallos de inicio de sesión

  • Indicadores de riesgo basados en datos

  • Indicadores de riesgo basados en archivos

  • Indicadores de riesgo personalizados

  • Otros indicadores de riesgo

En la línea de tiempo del usuario, ahora puede aplicar el filtro para ver los eventos del usuario en función de los factores de riesgo.

Para obtener más información, consulte estos temas:

29 de julio de 2021

Función obsoleta

Acciones obsoletas asociadas a Citrix Endpoint Management

Las acciones siguientes se quitan del origen de datos de Citrix Endpoint Management. Ya no puede aplicar estas acciones en los indicadores de riesgo ni crear directivas con estas acciones.

  • Bloquear dispositivo

  • Notificar Endpoint Management

  • Notificar al usuario

  • Revocar dispositivo

  • Borrar datos del dispositivo

En las directivas existentes, si estas acciones ya están en uso, se sustituyen automáticamente por la acción Agregar a la lista de seguimiento. Y puede supervisar a esos usuarios desde la lista de seguimiento.

14 de julio de 2021

Novedades

Compatible con el operador IS NOT EMPTY

Al crear un indicador de riesgo personalizado, ahora puede utilizar el operador NO ESTÁ VACÍO en su condición para comprobar si la dimensión no está vacía (ni en blanco).

Nota

El operador solo funciona para dimensiones de tipo cadena como Nombre de aplicación, Explorador y País.

Por ejemplo, la siguiente condición detecta sucesos de inicio de sesión de usuario de cualquier país en el que el valor del país no sea nulo. En otras palabras, se especifica el nombre del país.

Event-Type = “Session.logon” AND Country IS NOT EMPTY

Para obtener más información, consulte Indicadores de riesgo personalizados.

6 de julio de 2021

Novedades

Ver usuarios no con riesgos en el panel Usuarios

En el panel Usuarios, ahora puede ver el número de usuarios sin riesgo durante el período de tiempo seleccionado. Estos usuarios descubiertos se identifican como no con riesgos en función de la puntuación de riesgo cero para el período seleccionado. Haga clic en la tarjeta Usuarios sin riesgo para ver todos los usuarios que tienen una puntuación de riesgo cero.

Para obtener más información, consulte Panel de control de usuarios.

Usuarios no con riesgos

1 de julio de 2021

Novedades

Mejoras en el panel de control de ubicación de Access Assurance

  • En la tabla Diez ubicaciones de inicio de sesión únicas principales, puede ver el número de inicios de sesión de usuario únicos desde ubicaciones desconocidas. Esta lista es un subconjunto de las 10 ubicaciones de inicio de sesión únicas principales. También puede encontrar los motivos por los que se desconocen las ubicaciones y las posibles formas de obtener la ubicación de los usuarios.

    Ubicaciones desconocidas

  • En la página Ubicación de acceso, si selecciona varias ubicaciones, puede ver y comparar los detalles del cronograma de los inicios de sesión de los usuarios de todas las ubicaciones, las cinco ubicaciones principales y las cinco ubicaciones inferiores.

    Comparación de cronología

  • En la página Ubicación de acceso, puede utilizar las facetas anidadas como país y sus ciudades, sistemas operativos, versiones principales y secundarias. Estas facetas permiten filtrar los eventos de forma granular.

    Facetas anidadas

Para obtener más información, consulte Ubicación de Access Assurance.

Actualización de la faceta del sistema operativo en la búsqueda de autoservicio de Virtual Apps and Desktops

Ahora puede filtrar los eventos de Apps and Desktops mediante la faceta de SO anidada. Seleccione la versión principal y la versión secundaria asociadas a un sistema operativo y filtre los eventos de forma granular. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Faceta anidada del sistema operativo

30 de junio de 2021

Novedades

Se agregó la versión de la aplicación Workspace en condición de indicador de riesgo personalizado para aplicaciones y escritorios

Para el origen de datos Apps and Desktops, ahora puede usar la dimensión Workspace App-Version para definir su condición y crear un indicador de riesgo personalizado. Para obtener más información sobre la dimensión, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Versión CWA

23 de junio de 2021

Novedades

Mejoras en los mensajes SIEM

Los siguientes campos se agregan ahora al esquema de los indicadores de riesgo:

  • indicator_vector_name- Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en la ubicación, indicadores de riesgo basados en fallos de inicio de sesión, indicadores de riesgo basados en IP, indicadores de riesgo basados en datos, indicadores de riesgo basados en archivos y otros indicadores de riesgo.

  • indicator_vector_id- Identificación asociada a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en fallos de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en IP, ID 6 = Indicadores de riesgo basados en datos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible.

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

7 de junio de 2021

Novedades

Mejoras en la acción notificar a los administradores

Al aplicar la acción Notificar a los administradores a un indicador de riesgo o crear una directiva con la acción, ahora puede seleccionar los administradores que reciben una notificación sobre el comportamiento de riesgo del usuario. Para obtener más información sobre la acción, consulte Directivas y acciones.

Se agregó compatibilidad con la acción de compartir de solo lectura

Si un usuario comparte archivos de forma excesiva, Citrix Analytics activa el indicador de riesgo de uso compartido excesivo de archivos. Desde el cronograma de riesgo del usuario, ahora puede aplicar la acción Cambiar vínculos al uso compartido de solo lectura al indicador Riesgo excesivo de uso compartido de archivos. También puede aplicar la acción en un enlace de recurso compartido concreto en el cronograma de riesgo del enlace de compartir. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información sobre la acción, consulte Directivas y acciones.

18 de mayo de 2021

Novedades

Migración de los indicadores de riesgo de incumplimiento a indicadores de riesgo personalizados

Los siguientes indicadores de riesgo por defecto se migran a indicadores de riesgo personalizados preconfigurados.

Indicador de riesgo de impago Origen de datos Indicador de riesgo personalizado preconfigurado
Acceso por primera vez desde un dispositivo nuevo Citrix Virtual Apps and Desktops y Citrix DaaS Acceso por primera vez al CVAD desde un nuevo dispositivo
Acceso por primera vez desde una nueva IP Citrix Gateway Acceso por primera vez a la puerta de enlace desde una nueva IP

Con esta migración a los indicadores de riesgo personalizados, los indicadores de riesgo predeterminados y los algoritmos de aprendizaje automático asociados quedan obsoletos.

Los indicadores de riesgo personalizados correspondientes se activan en función de las siguientes condiciones preconfiguradas:

  • Cuando un usuario accede desde un dispositivo nuevo por primera vez o desde un dispositivo existente que no se ha utilizado durante un mínimo de 90 días.

  • Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez o desde una dirección IP existente que no se ha utilizado durante un mínimo de 90 días.

Junto con las condiciones preconfiguradas, ahora puede agregar sus propias condiciones para estos indicadores de riesgo personalizados para identificar las amenazas en su entorno Citrix. Esta opción le da flexibilidad para configurar el indicador de riesgo personalizado en función de sus necesidades de seguridad. También puede crear directivas para aplicar acciones en los eventos de riesgo detectados por estos indicadores de riesgo personalizados.

Sin embargo, en la línea temporal del usuario, todavía se pueden ver los indicadores de riesgo predeterminados activados anteriormente y sus eventos.

Las directivas asociadas a estos indicadores de riesgo de incumplimiento se vinculan automáticamente a los indicadores de riesgo personalizados preconfigurados correspondientes.

Para obtener más información, consulte Directivas e indicadores de riesgo personalizados preconfigurados.

Mejoras en la búsqueda de autoservicio para Gateway

  • El filtro Tipo de evento se renombró ahora a Tipo de registro. Seleccione uno de los siguientes tipos de registro para filtrar sus eventos: VPN_AI, VPN_IF y VPN_ST.

  • En la tabla DATOS, expanda una fila de un evento de usuario para ver el tipo de evento correspondiente. Los tipos de eventos pueden ser uno de los siguientes: autenticación, archivo ICA o cierre de sesión.

En la tabla siguiente se describe la correlación entre los tipos de registro y los tipos de sucesos.

Tipo de registro Tipo de evento
VPN_AI Autenticación
VPN_IF Archivo ICA
VN_ST Cerrar sesión

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

Problema resuelto

  • El indicador de riesgo personalizado se activa en función de la sensibilidad entre mayúsculas y minúsculas de los valores condicionales. Por ejemplo, en los eventos de usuario que contienen ID de dispositivo de la lista de permitidos, se observa el siguiente comportamiento:

    • Si introduce el valor de la dimensión Device-ID en minúsculas, se activa el indicador personalizado.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • Si introduce el valor de la dimensión Device-ID en mayúsculas para el mismo dispositivo, el indicador personalizado no se activa.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    Este problema ya se ha solucionado y el indicador de riesgo personalizado se activa independientemente de la sensibilidad entre mayúsculas y minúsculas de los valores condicionales.

    [CAS-50153]

29 de abril de 2021

Novedades

Detalles de eventos para un indicador de riesgo personalizado

En la página del cronograma de riesgo del usuario, ahora puede ver los eventos que han desencadenado un indicador de riesgo personalizado. Anteriormente, solo podía ver las condiciones definidas, la descripción y la frecuencia de activación de un indicador de riesgo personalizado. Haga clic en Búsqueda de eventos para ver los detalles de los eventos asociados al usuario y el indicador de riesgo. Para obtener más información, consulte Indicadores de riesgo personalizados.

Problema resuelto

  • Un administrador no puede crear indicadores de riesgo personalizados incluso después de cambiar su permiso de acceso de administrador de solo lectura a administrador completo. [CAS-49628]

16 de abril de 2021

Novedades

Mejoras en los mensajes SIEM

Puede ver las siguientes mejoras en el formato del esquema del indicador de riesgo:

  • La dirección IP del cliente ya está disponible en el esquema de todos los indicadores de riesgo por lotes. Anteriormente, la dirección IP del cliente solo estaba disponible para unos pocos indicadores de riesgo por lotes:

    • Error en la exploración de la EPA
    • Fallos de autenticación excesivos
    • Inicio de sesión desde IP sospechosa
    • Acceso desde una ubicación inusual
    • Error de autenticación inusual
    • Descarga compartida confidencial anónima
    • Exfiltración potencial de datos
  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo: "latitide" = -999.

  • Si un valor de campo de tipo de datos de cadena de caracteres no está disponible, el valor asignado es NA. Por ejemplo: "city"= "NA".

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

26 de marzo de 2021

Novedades

Restricción de los mensajes SIEM

Citrix Analytics envía un máximo de 1000 detalles de eventos por cada aparición de indicador de riesgo a su servicio SIEM. Estos eventos se envían en orden cronológico de ocurrencia. Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

Agregados los campos ID de origen de datos y ID de categoría de indicador en los mensajes SIEM

Los campos siguientes se agregan en el esquema de resumen del indicador y en el esquema de detalles de eventos del indicador.

Campo Descripción
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

18 de marzo de 2021

Novedades

Panel de control de ubicación de control de acceso

Nota

La función se halla en Tech Preview.

El panel Ubicación de garantía de acceso proporciona una descripción general de las ubicaciones desde las que los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS iniciaron sesión durante un período seleccionado. Citrix Analytics recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios.

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso.

Puede ver la siguiente información de un período seleccionado:

  • Número total de inicios de sesión de usuarios desde una ubicación concreta y en todas las ubicaciones.

  • Número total de inicios de sesión de usuario únicos en todas las ubicaciones.

  • Número total de países desde los que los usuarios han iniciado sesión.

  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos.

Para obtener más información, consulte Ubicación de Access Assurance.

Página de resumen de inicio de sesión de usuario

Compatibilidad con el operador NOT LIKE (!~)

Para la consulta de búsqueda de autoservicio y la condición del indicador de riesgo personalizado, ahora puede usar el comando NOT LIKE (!~) operador. El operador comprueba los eventos de usuario para el patrón coincidente que ha especificado. Devuelve los eventos que no contienen el patrón especificado en ninguna parte de la cadena de eventos.

Por ejemplo, la consulta User-Name !~ “John” muestra los eventos de los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.

Para obtener más información, consulte Búsqueda de autoservicio.

Versión traducida del sistema operativo

Para el origen de datos Citrix Virtual Apps and Desktops y Citrix DaaS, la dimensión Plataforma ahora se traduce como las dimensiones OS-Major-Version, OS-Minor-Version y OS-Extra-Details. Según los detalles del sistema operativo de un usuario, Citrix Analytics muestra estas dimensiones en la página de búsqueda de autoservicio.

Puede utilizar estas dimensiones para definir las condiciones de un indicador de riesgo personalizado.

Para los indicadores de riesgo personalizados creados anteriormente, si ha utilizado la dimensión Plataforma como condición, Citrix Analytics sustituye automáticamente la dimensión de plataforma por la versión principal del sistema operativo, la versiónmenordel sistema operativo y los detalles adicionales del sistema operativo. Esta actualización no afecta a la integridad de la condición definida.

Para obtener más información sobre las nuevas dimensiones, consulte Búsqueda de autoservicio de Virtual Apps and Desktops.

Se actualizaron los campos de datos para aplicaciones y escritorios

En la búsqueda de autoservicio de aplicaciones y escritorios, consulte los campos de datos actualizados en función de la plantilla contextual.

Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Función obsoleta

Se han eliminado los eventos VPN_AF y VPN_SU de la página de búsqueda de autoservicio

En la página de búsqueda de autoservicio del origen de datos de Citrix Gateway, se quitan los siguientes tipos de registro.

Tipo de registro Nombre del registro
VPN_SU Registro de actualización de sesión
VPN_AF Registro de error de inicio de la aplicación

Por lo tanto, no puede filtrar ni ver sus eventos en función de estos tipos de registro. Cualquier indicador de riesgo personalizado basado en estos tipos de registro deja de funcionar.

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

11 de marzo de 2021

Novedades

Marca de tiempo actual del esquema de puntuación de riesgo del usuario

last_update_timestamp Se agrega un nuevo campo en el formato de esquema de puntuación de riesgo del usuario. Este campo indica el momento en que se actualizó por última vez la puntuación de riesgo. Para obtener más información sobre el formato del esquema, consulte Esquema de puntuación de riesgo del usuario.

3 de marzo de 2021

Novedades

Mejoras en el indicador de riesgo de inicio de sesión desde IP sospechosa

En la página de cronograma de riesgo del usuario, se muestra una nueva sección IP sospechosa para el indicador de riesgo de inicio de sesión desde IP sospechosa. En esta sección se proporciona la siguiente información:

Sección IP sospechosa

  • Dirección IP desde la que se detecta una actividad de inicio de sesión sospechosa.
  • Ubicación del usuario.
  • Cualquier patrón de actividad IP sospechosa que Citrix Analytics haya detectado recientemente en su organización.
  • Fuente de inteligencia a nivel comunitario sobre la dirección IP.

Para obtener más información, consulte el indicador de riesgo de inicio de sesión desde IP sospechosa.

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

  • En el indicador de riesgo de acceso desde una ubicación inusual de Citrix Content Collaboration, se agregó la columna NOMBRE DE HERRAMIENTA en la tabla de eventos. Se ha eliminado la columna EXPLORADOR DE DISPOSITIVOS de la tabla de eventos. Para obtener más información, consulte Indicadores de riesgo de Citrix Content Collaboration.

  • En el indicador de riesgo Acceso desde una ubicación inusual para Citrix Virtual Apps and Desktops y Citrix DaaS, se agregaron las columnas ID DE DISPOSITIVO y TIPO DE RECEIVER a la tabla de eventos. Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops.

Formato de datos de Citrix Analytics para SIEM

En este artículo se describe el esquema de los datos procesados generados por Citrix Analytics para su servicio SIEM.

Problema resuelto

  • Para un usuario de Content Collaboration, si el valor de Is Employee<!--NeedCopy--> es nulo, el usuario no se muestra en la lista de usuarios detectados. [CAS-47815]

18 de febrero de 2021

Novedades

Compatibilidad con el acceso por primera vez desde una nueva entidad en el indicador de riesgo personalizado

Ahora puede crear un indicador de riesgo que se active cuando Citrix Analytics recibe eventos de una nueva entidad por primera vez. Algunos ejemplos de entidades son IP del cliente, ciudad y país.

En la página Crear indicador, haga clic en la opción Primera vez. Active el botón Primera vez para un nuevo y seleccione una entidad válida de la lista en función del origen de datos. No es necesario asignar ningún valor específico a la entidad. Por ejemplo, si selecciona Ciudad de la lista, Citrix Analytics activa un indicador de riesgo cada vez que los usuarios inician sesión desde una nueva ciudad por primera vez.

Para obtener más información, consulte Creación de un indicador de riesgo personalizado.

Primera vez para una nueva opción

Límite máximo para crear un indicador de riesgo personalizado

Ahora puede crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanza este límite máximo, debe eliminar o modificar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Datos de ubicación de usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS

En la página Información del usuario, Citrix Analytics ahora muestra la ubicación del usuario en el origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información sobre la ubicación del usuario, consulte Perfil de usuario.

Clasificación de varias columnas

En la página de búsqueda de autoservicio, ahora puede ordenar los eventos de usuario por más de una columna. Haga clic en Ordenar por, agregue las columnas y el orden de clasificación. Haga clic en Aplicar para ordenar los eventos de usuario. Puede agregar hasta seis columnas para ordenar varias columnas.

Ordenación de varias columnas

Para obtener más información, consulte Búsqueda de autoservicio.

Funciones retiradas

Indicador de riesgo de fallo de autorización excesivo obsoleto

El indicador de riesgo de Citrix Gateway: error de autorización excesivo ha quedado obsoleto. Solo se pueden ver los datos históricos relacionados con este indicador.

Los siguientes cambios se aplican como parte de esta desuso:

  • Citrix Analytics ya no genera estos indicadores de riesgo.

  • Citrix Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.

  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

27 de enero de 2021

Novedades

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

En Citrix Content Collaboration, Citrix Gateway y Citrix Virtual Apps and Desktops, el indicador de riesgo de acceso desde una ubicación inusual ahora se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una nueva ciudad que se encuentre anómalamente lejos de cualquier inicio de sesión anterior ubicación. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad en todos los usuarios de la organización. En todos los casos, el historial de ubicaciones de usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

Para obtener más información sobre el indicador de riesgo, consulte los temas siguientes:

20 de enero de 2021

Problema resuelto

  • Para el origen de datos de Apps and Desktops con StoreFront local, el procesamiento de datos falla aunque la implementación de StoreFront se haya conectado correctamente.

    [CAS-46656]

19 de enero de 2021

Problema resuelto

  • En la página del indicador de riesgo personalizado, después de corregir una condición no válida en el campo de búsqueda, el enlace Activador de estimación no responde.

    Por ejemplo, escribe una condición no válida Client-IP = 10.10.10.10. Después de corregir esta condición y escribir como IP de cliente = “10.10.10.10”, el enlace Desencadenador de estimación no responde.

    Solución alternativa: actualice la página del indicador personalizado y, a continuación, cree el indicador personalizado con una condición válida.

    [CAS-46316]

13 de enero de 2021

Novedades

Ya está disponible una nueva versión del complemento Citrix Analytics para Splunk

El complemento Citrix Analytics versión 2.1.0 para Splunk ya está disponible. Vaya a la página de descargas para descargar el archivo.

Se agregó compatibilidad con Splunk Cloud Inputs Data Manager (IDM) y Splunk 8.1 de 64 bits

Ahora puede integrar Citrix Analytics for Security con Splunk Cloud IDM y Splunk 8.1 de 64 bits. Para obtener más información, consulte Integración de Splunk.

Compatibilidad retirada

Se ha eliminado la compatibilidad con Splunk 7.1 de 64 bits

Ya no puede integrar Citrix Analytics for Security con Splunk 7.1 de 64 bits. Para obtener información sobre las versiones de Splunk compatibles, consulte Integración de Splunk.

11 de enero de 2021

Problema resuelto

  • En la tarjeta de sitio Virtual Apps and Desktops, la etiqueta Usuarios cliente admitidos pasa a llamarse Eventos recibidos de los usuarios. La etiqueta Usuarios cliente no admitidos pasa a llamarse No se pueden recibir eventos de los usuarios.

    [CAS-44773]

17 de diciembre de 2020

Novedades

Utilice indicadores de riesgo personalizados preconfigurados y una directiva para bloquear el acceso desde ubicaciones inusuales (geocercas)

Citrix proporciona una lista de indicadores de riesgo personalizados preconfigurados y una directiva que le ayudan a supervisar la seguridad de su infraestructura Citrix. Con estos indicadores y una directiva, puede bloquear el acceso de usuario originario de países que están fuera de su país operativo habitual. De forma predeterminada, el país se establece en “Estados Unidos”. Puede establecer el país requerido para el geocercado.

A continuación se indican los indicadores de riesgo personalizados preconfigurados y una directiva:

  • Sesión CVAD iniciada fuera de la geocerca

  • Cruce de geocercas GW

  • Cruce de geocerca CCC

  • Inicio de sesión fuera de la geocerca

Para obtener más información, consulte Directivas e indicadores de riesgo personalizados preconfigurados.

Ver ubicaciones accedidas en el correo electrónico de respuesta del usuario

En lugar de la dirección IP de un dispositivo de usuario, el correo electrónico de respuesta del usuario muestra ahora todas las ubicaciones a las que ha accedido el usuario en los últimos 15 minutos. La ubicación se muestra en el formato <City>,<Country><!--NeedCopy--> . Si la ciudad o el país no están disponibles, el valor correspondiente se muestra como “Desconocido”.

Para obtener más información, consulte Solicitar respuesta del usuario.

Indicador de riesgo de Content Collaboration renombrado: acceso por primera vez desde una nueva ubicación

El indicador de riesgo de Citrix Content Collaboration cambia el nombre del primer acceso desde una nueva ubicación como Acceso desde una ubicación inusual.

Para obtener más información, consulte Acceso desde una ubicación inusual.

Funciones retiradas

Comentarios sobre los indicadores de riesgo

Se elimina el mecanismo de retroalimentación del indicador de riesgo. Si el indicador de riesgo de Content Collaboration (Acceso desde una ubicación inusual) se activa incorrectamente, ya no podrá denunciarlo como falso positivo ni proporcionar comentarios.

7 de diciembre de 2020

Novedades

Mejoras en el indicador de riesgo potencial de exfiltración de datos

Se han realizado las siguientes mejoras en el indicador de riesgo:

  • Se actualiza la información de la sección QUÉ HA OCURRIDO. El formato de hora se actualiza para mantener la coherencia.

  • La información de ubicación del dispositivo aparece en la lista de eventos.

Para obtener más información sobre el indicador de riesgo, consulte Exfiltración potencial de datos.

Mejoras en el indicador de riesgo de Content Collaboration: acceso por primera vez desde una nueva ubicación

En el cronograma de riesgo del usuario, seleccione Acceso por primera vez desde una nueva ubicación para ver la siguiente información:

  • Ubicaciones de inicio de sesión: muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales desde las que el usuario ha iniciado sesión.

  • Número de inicios de sesión desde ubicaciones habituales: últimos 30 días: muestra una vista de gráfico circular de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión en los últimos 30 días. También muestra el número de eventos de inicio de sesión de estas ubicaciones.

  • Detalles de sucesos para ubicaciones inusuales: proporciona la lista de los eventos de inicio de sesión de una ubicación inusual para el usuario.

Para obtener más información sobre el indicador de riesgo, consulte Acceso por primera vez desde una nueva ubicación.

30 de noviembre de 2020

Novedades

Mejoras en la página de búsqueda autoservicio

Se han realizado las siguientes mejoras para mejorar la usabilidad de la página de búsqueda de autoservicio:

  • El cuadro de búsqueda muestra un ejemplo de consulta para indicar cómo escribir su propia consulta.

    Consulta de cuadro de búsqueda

  • En macOS, la barra de desplazamiento de la lista de dimensiones aparece ahora de forma predeterminada.

    Barra de desplazamiento Mac

  • Los filtros aplicados aparecen ahora como fichas.

    Chips de filtro

  • La etiqueta Agregar o quitar columnas sustituye al icono +.

    Actualización de iconos

Para obtener más información, consulte Búsqueda de autoservicio.

Mejoras directivas

La página Directivas muestra ahora las directivas asociadas a los orígenes de datos que se han detectado correctamente y se han conectado a Citrix Analytics. En esta página no se muestran las directivas que tienen una condición definida para los orígenes de datos no detectadas. La desactivación del procesamiento de datos de un origen de datos ya conectada no afecta a las directivas existentes en la página Directivas.

Para obtener más información, consulte Configurar directivas y acciones.

4 de noviembre de 2020

Novedades

Error de autenticación inusual: indicador de riesgo de Citrix Gateway

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene errores de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo de errores de autenticación inusuales.

Este indicador de riesgo se activa cuando un usuario de su organización tiene errores de inicio de sesión desde una dirección IP inusual que es contraria a su comportamiento habitual.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Error de autenticación

20 de octubre de 2020

Problema resuelto

  • El indicador de riesgo Acceso por primera vez desde un dispositivo nuevo con la acción Cerrar sesión del usuario no funciona según lo esperado.

    [CAS-40743]

15 de octubre de 2020

Funciones nuevas

Acceso desde una ubicación inusual: indicador de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS

Citrix Analytics detecta las amenazas basadas en el acceso basándose en los accesos inusuales de Citrix Workspace y activa el indicador de riesgo correspondiente.

Ubicación inusual

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

  • La columna URL SHARE se sustituye ahora por la columna SHARE ID. Cada URL de recurso compartido se identifica ahora con un ID de recurso compartido.

  • Se elimina la selección de tiempo en el tablero de mandos. Ahora, este panel muestra todos los enlaces de recursos compartidos desde el estado activo hasta el estado caducado en lugar de un período seleccionado.

  • Todos los enlaces compartidos se ordenan primero según el orden de los enlaces activos y, a continuación, los enlaces caducados. De forma predeterminada, el enlace de compartir con el recuento de indicadores de riesgo más alto aparece en la parte superior de la lista.

  • Los vínculos de riesgo muestran ahora los vínculos activos que tienen un comportamiento de riesgo. No muestra los enlaces caducados. De forma predeterminada, el vínculo de riesgo con el recuento de indicadores de riesgo más alto aparece en la parte superior de la lista.

  • Se ha eliminado la vista de tendencias de la tarjeta Enlaces de recursos compartidos con riesgos y de la tarjeta Todos los vínculos a compartir.

Para obtener más información, consulte Panel de control Compartir vínculos.

El cronograma de riesgo ahora muestra el ID del recurso compartido en lugar de la URL del recurso compartido. Para obtener más información, consulte Cronología de riesgo de Share Link.

Funciones retiradas

El acceso desde un dispositivo con indicador de riesgo del sistema operativo (SO) no compatible está obsoleto

El indicador de riesgo de Citrix Virtual Apps and Desktops: El acceso desde un dispositivo con sistema operativo (SO) no compatible ha quedado obsoleto. Solo se pueden ver los datos históricos relacionados con este indicador.

Los siguientes cambios se aplican como parte de esta desuso:

  • La analítica ya no genera estos indicadores de riesgo.

  • Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.

  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

10 de septiembre de 2020

Funciones nuevas

Lista de comprobación para StoreFront

Citrix Analytics muestra ahora una lista de los requisitos previos que debe cumplir antes de descargar el archivo de configuración de StoreFront. Revise la lista de comprobación y asegúrese de que se han seleccionado todos los requisitos mínimos. Si no se seleccionan los requisitos mínimos, no podrá descargar el archivo de configuración. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops.

StoreFront-checklist

Búsqueda de autoservicio: Compatibilidad con el operador NOT EQUAL (!=)

Ahora puede usar el valor NOT EQUAL (! =) en su consulta en las siguientes funciones:

  • Indicador de riesgo personalizado

  • Búsqueda de autoservicio

Puede utilizar este operador para las siguientes condiciones:

Origen de datos Dimensiones
Content Collaboration País, ciudad, SO cliente
Control de acceso País, Ciudad, Acción, URL, Categoría de URL, Reputación, Explorador, SO, Dispositivo
Aplicaciones y escritorios País, ciudad, nombre de la aplicación, operación del portapapeles, explorador, sistema operativo
Gateway Etapa de autenticación, IP de cliente

Con el operador, cree una expresión de indicador personalizada con un único valor como “¡País! = XYZ” y ver la lista de usuarios. A continuación, cree una directiva para aplicar acciones como Agregar a lista de seguimiento, Notificar al administrador o Inhabilitar usuario. También puede utilizar el operador en la búsqueda de autoservicio de los orígenes de datos especificadas para filtrar los eventos de usuario.

Al introducir los valores de las dimensiones de la consulta, utilice los valores exactos que se muestran en la página de búsqueda de autoservicio de un origen de datos. Los valores de cota distinguen entre mayúsculas y minúsculas

8 de septiembre de 2020

Funciones nuevas

Correlación de usuarios

Analytics ahora correlaciona a los usuarios descubiertos de varios orígenes de datos. Este mecanismo elimina la mayoría de los usuarios duplicados de la lista de usuarios descubiertos. Los usuarios descubiertos en Analytics ahora muestran la lista de usuarios únicos junto con sus orígenes de datos y los indicadores de riesgo.

Por ejemplo, el usuario “Joe Smith” puede tener varios identificadores de usuario, JosephSm, joe.smith@citrix.com y joe.smith, según los orígenes de datos. Analytics ahora identifica a este usuario con un nombre de identificador único. Todos los demás identificadores de usuario están correlacionados y los eventos recibidos para Joe Smith de varios orígenes de datos están vinculados a este nombre único. Para obtener más información, consulte Usuarios descubiertos

Problema resuelto

En la lista Acciones, tras seleccionar las opciones de acción y hacer clic en Aplicar, aparece un mensaje de error.

[CAS-39914]

11 de agosto de 2020

Problemas resueltos

  • No puede integrar Microsoft Graph Security con Citrix Analytics. Este problema se produjo porque el portal de Microsoft no pudo redirigir a Citrix Analytics.

[CAS-38021]

31 de julio de 2020

Problemas resueltos

  • La opción Desencadenadores estimados del indicador de riesgo personalizado no predice las instancias del indicador de riesgo personalizado del último día.

[CAS-38129]

9 de julio de 2020

Funciones nuevas

La tarjeta de sitio de Virtual Apps and Desktops muestra a los usuarios clientes compatibles y no compatibles

En la tarjeta del sitio, ahora puede ver el número de usuarios que utilizan versiones compatibles y no compatibles de la aplicación Citrix Workspace o clientes de Citrix Receiver en sus dispositivos de punto final.

  • Haga clic en el recuento de usuarios de los clientes admitidos para ver la página Usuario que muestra todos los usuarios detectados.

  • Haga clic en el recuento de usuarios de los clientes no compatibles para descargar un archivo CSV. El archivo enumera los usuarios y sus versiones de cliente no compatibles. Analytics no recibe eventos de usuario de los clientes no admitidos y, por lo tanto, no agrega los usuarios como usuarios detectados. Con el archivo CSV, identifica a los usuarios que deben actualizar sus clientes a una versión compatible para que Analytics pueda proporcionar información de seguridad sobre su comportamiento.

Para ver la lista de clientes compatibles, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Estado del cliente

Acceso desde un indicador de riesgo de ubicación inusual

  • El indicador de riesgo de Citrix Gateway El primer acceso desde una nueva ubicación pasa a llamarse Acceso desde una ubicación inusual.

  • En la línea de tiempo de riesgo del usuario, se introducen un mapa geográfico y un gráfico circular en la sección de detalles del evento.

    • Ubicaciones de inicio de sesión: esta sección muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales del usuario. Las ubicaciones habituales e inusuales se indican mediante un código de color en la sección superior derecha del mapa geográfico. Puede hacer zoom en el mapa geográfico para ver más de cerca la ubicación.

      Acceso desde una ubicación inusual

    • Ubicaciones habituales: últimos 30 días: esta sección muestra un gráfico circular que ofrece una vista de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión. Cada ubicación está marcada con un código de color diferente. Puede ordenar la sección por ubicación para obtener una vista detallada de la ubicación seleccionada.

      Acceso desde una ubicación inusual

Para obtener más información, consulte Acceso desde una ubicación inusual.

Datos del panel de usuarios

El número de usuarios de riesgo, usuarios descubiertos, usuarios privilegiados y usuarios de la lista de seguimiento se muestra durante los últimos 13 meses, independientemente del período de tiempo seleccionado en el panel de control Usuarios y en la página Usuarios. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian.

Para obtener más información, consulte Panel de control de usuarios.

Datos del panel de usuario

Página Usuarios rediseñada

La página Usuarios se ha mejorado para ofrecer una mejor experiencia de usuario. Proporciona un resumen consolidado de los eventos de usuario en función de las puntuaciones de riesgo del usuario, el origen de datos y el tipo de usuario.

Para permitir una búsqueda más específica, la página Usuarios contiene la sección Filtros en el panel izquierdo y la barra de búsqueda en la parte superior. Puede buscar eventos de usuario para un tiempo preestablecido o un intervalo de tiempo personalizado.

Sección Usuarios descubiertos

Para ver la página Usuarios:

  • Vaya a Seguridad > Usuarios para ver el panel Usuarios y haga lo siguiente:

    • Haga clic en uno de los siguientes enlaces o en las tarjetas.

      Página Usuarios

    • En el panel Usuarios con riesgos, haga clic en Ver más.

    • En el panel Usuarios de lista de observación, haga clic en Ver más.

    • En el panel Usuarios con privilegios, haga clic en Ver más.

  • Vaya a Configuración > Orígenes de datos > Seguridad. Haga clic en el número de usuarios de cualquier tarjeta de sitio de origen de datos.

Para obtener más información, consulte Panel de control de usuarios.

Mejoras en el panel Usuarios con riesgos

La columna Cambio se sustituye por la columna Indicadores de riesgo. En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

Para obtener más información, consulte Usuarios con riesgos.

Panel de usuario con riesgos

Mejoras en el panel Lista de observación de usuarios

La columna Cambio se sustituye por la columna Indicadores de riesgo. En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

Para obtener más información, consulte Usuarios de la lista de seguimiento.

Panel Lista de seguimiento

Mejoras en el panel Usuarios privilegiados

  • La columna Cambio se sustituye por la columna Indicadores de riesgo. En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

  • Haga clic en Ver más para ver la página Usuarios. La página Usuarios que muestra la lista de usuarios con privilegios de administrador y ejecutivo. En esta página, puede agregar o quitar un usuario como usuario privilegiado.

Para obtener más información, consulte Usuarios con privilegios.

Panel Usuarios privilegiados

Funciones retiradas

Alertas

La función Alertas está obsoleta y ya no está disponible en la interfaz de usuario de Analytics.

Alerts

Página Usuarios con riesgos y lista de seguimiento

Las páginas Usuarios con riesgos y Lista de observación están obsoletas. Se sustituyen por la página Usuarios que resume todos los eventos de usuario de riesgo y los usuarios de la lista de seguimiento.

Página de usuario arriesgada

Página de lista de seguimiento

Panel Usuarios con riesgos

Las fichas Cambio de puntuación más alta y Cambio del indicador de riesgo se eliminan del panel Usuarios con riesgos.

Panel de usuario con riesgos

Panel Indicador de riesgo

  • Se quitan la ficha Cambio de ocurrencia y la columna CAMBIAR.

    Panel indicador de riesgo

  • La página Detalles del indicador de riesgo está obsoleta. Anteriormente, esta página se mostraba cuando se seleccionaba un indicador de riesgo en el panel Indicadores de riesgo o en la página Visión general de indicadores de riesgo.

    Página de detalles del indicador de riesgo

Vista de tendencias

En el panel Usuarios, la vista de tendencias del recuento de usuarios se elimina de las tarjetas Usuarios de alto riesgo, Usuarios de riesgo medio, Usuarios de bajo riesgo y Usuarios de la lista de seguimiento.

Vista de tendencias

Página Grupos de usuarios

La página Grupos de usuarios de la opción Configuración está obsoleta. Ya no se puede agregar ni quitar un grupo de usuarios como grupo privilegiado. Sin embargo, puede agregar o quitar usuarios individuales como usuarios privilegiados. Para obtener más información, consulte Usuarios con privilegios.

Página de grupo de usuarios

26 de junio de 2020

Funciones retiradas

Indicadores de riesgo de tiempo inusual de acceso a las aplicaciones (virtual/SaaS) obsoletos

Los indicadores de riesgo de Citrix Virtual Apps and Desktops: tiempo inusual de acceso a las aplicaciones (virtual) y tiempo inusual de acceso a las aplicaciones (SaaS) han quedado obsoletos. Solo se pueden ver los datos históricos relacionados con estos indicadores.

Los siguientes cambios se aplican como parte de esta desuso:

  • La analítica ya no genera estos indicadores de riesgo.
  • Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.
  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

2 de junio de 2020

Problemas resueltos

  • En el cronograma de riesgo del usuario, el estado de las acciones de Virtual Apps and Desktops (basadas en directivas o aplicadas manualmente) aparece como “Error” aunque las acciones se hayan aplicado correctamente en la cuenta de usuario. Por ejemplo, la acción Iniciar grabación de sesiones se aplica correctamente en la cuenta de usuario, pero el resultado se muestra como “Error”. [CAS-32773]

    Estado de error de acción

11 de mayo de 2020

Problemas resueltos

  • Para algunos usuarios, las acciones basadas en directivas no se desencadenan y no se puede aplicar el modo de aplicación de directivas. Este problema se produce cuando los ID de cliente no están en minúsculas.

    [CAS-34209], [CAS-34141]

  • No se pueden crear indicadores de riesgo personalizados para algunos usuarios. Este problema se produce cuando los ID de cliente no están en minúsculas.

    [CAS-34139]

29 de abril de 2020

Problemas resueltos

  • Las acciones aplicadas en los indicadores de riesgo de Citrix Virtual Apps and Desktops no surten efecto, aunque Analytics muestra un mensaje indicando que las acciones se han aplicado correctamente. Este problema se observa en la versión 7 1912 de Citrix Virtual Apps and Desktops.

    [CAS-31544]

2 de abril de 2020

Funciones nuevas

Inhabilitar el procesamiento de datos cuando no se agrega StoreFront

En la tarjeta del sitio de origen de datos Configuración > Orígenes de datos > Seguridad > Virtual Apps and Desktops, el botón Activar procesamiento de datos no se activa si no ha integrado StoreFront. Aparece el mensaje de advertencia de StoreFront no conectado en la tarjeta del sitio. Si tiene un sitio local activo desde el que quiere que Analytics reciba datos, debe comprobar que ha incorporado StoreFront en Citrix Analytics. Garantiza que sus cuentas de usuario estén protegidas.

En la tarjeta del sitio Virtual Apps and Desktops, seleccione los puntos suspensivos verticales () y haga clic en Conectar implementación de StoreFront. En la pantalla que se muestra, siga las instrucciones y complete la configuración de StoreFront.

Para obtener más información, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

Aviso de StoreFront

Problemas resueltos

  • Para los usuarios de Citrix Content Collaboration, las acciones basadas en directivas no surten efecto en las siguientes condiciones:

    • Cuando se definen las condiciones del indicador de riesgo personalizado

    • Hasta que se genere un indicador de riesgo para un usuario

    [CAS-29226]

4 de marzo de 2020

Problemas resueltos

  • Cuando los usuarios de Gateway se incorporan a Analytics por primera vez, ven el error Citrix ADC no responde o las credenciales son incorrectas. Al volver a intentarlo, ven el error El dispositivo con esta dirección IP ya existe.

[CAS-31180]

20 de febrero de 2020

Funciones nuevas

Oferta de Citrix Analytics para seguridad

Citrix Analytics for Security ya está disponible para suscripciones individuales. Puede suscribirse a Citrix Analytics for Security y obtener información específica de esta oferta. Para obtener más información, consulte Introducción.

Panel de control Categorías de riesgo

Citrix Analytics introduce la categorización de los indicadores de riesgo en función de los riesgos que tienen un impacto similar en el aspecto de seguridad de la organización. Este panel proporciona una visión completa de las exposiciones al riesgo y los riesgos críticos que requieren atención inmediata. Para los indicadores de riesgo de impago, Analytics asigna automáticamente una categoría de riesgo en función de la exposición al riesgo. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo adecuada en función de la exposición al riesgo.

Analytics admite las siguientes categorías de riesgo:

  • Exfiltración de datos
  • Amenazas internas
  • Usuarios comprometidos
  • Dispositivos de punto final comprometidos

Para obtener más información, consulte Categorías de riesgo.

Panel de categorías de riesgo

Columna Categoría de riesgo de la página Indicadores personalizados

La columna Categoría de riesgo se introduce en la página Indicador de riesgo personalizado. Según el tipo de exposición al riesgo, puede seleccionar una categoría de riesgo para su indicador de riesgo personalizado. Los indicadores de riesgo personalizados creados anteriormente se muestran en el panel de control Categorías de riesgo si los modifica seleccionando una categoría de riesgo.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Lista desplegable de categorías de riesgo

Cambio en los nombres de los indicadores de riesgo

Se han cambiado los nombres de los indicadores de riesgo siguientes:

Origen de datos Nombre antiguo Nuevo nombre
Citrix Virtual Apps and Desktops y Citrix DaaS Uso inusual de aplicaciones (virtual) Tiempo inusual de acceso a las aplicaciones (virtual)
Citrix Virtual Apps and Desktops y Citrix DaaS Uso inusual de aplicaciones (SaaS) Tiempo inusual de acceso a las aplicaciones (SaaS)
Citrix Content Collaboration Errores de inicio de sesión excesivos Fallos de autenticación excesivos
Citrix Content Collaboration Acceso de inicio de sesión inusual Acceso por primera vez desde una nueva ubicación
Citrix Access Control Volumen de descarga inusual Descarga excesiva de datos
Citrix Gateway Errores de inicio de sesión Fallos de autenticación excesivos
Citrix Gateway Errores de autorización Fallos excesivos de autorización
Citrix Gateway Acceso de inicio de sesión inusual Acceso por primera vez desde una nueva ubicación

Para obtener más información, consulte Indicadores de riesgo.

Problemas resueltos

  • Para algunos usuarios, Citrix Analytics no puede recibir datos de Virtual Apps and Desktops aunque el origen de datos se haya integrado correctamente y StoreFront esté habilitado. [CAS-24134]

  • Citrix Analytics no puede recibir eventos de descarga de Citrix Content Collaboration. Por lo tanto, no se activan los siguientes indicadores de riesgo:

    • Descarga compartida confidencial anónima

    • Descargas excesivas de enlaces compartidos

    • Acceso excesivo a archivos confidenciales

    • Descargas excesivas de archivos

    [CAS-29207]

  • Para los usuarios recién incorporados, las acciones manuales y basadas en directivas aplicadas en los indicadores de riesgo de Citrix Gateway no surten efecto alguno. [CAS-29029]

  • Algunos usuarios no pueden ver las tarjetas de sitio en la página Orígenes de datos. Este problema se resuelve rellenando de nuevo la caché. [CAS-28781]

9 de enero de 2020

Funciones nuevas

Evaluación continua del riesgo

Algunos desafíos a los que se enfrentan los usuarios de Citrix Workspace son que el acceso remoto expone los datos confidenciales a riesgos de seguridad a través de actividades cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas de abordar estos riesgos son implementar la autenticación multifactor, aplicar tiempos de espera de inicio de sesión cortos, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa tras la validación inicial.

Para mejorar el aspecto de la seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics presenta la solución de evaluación continua de riesgos. Esta solución le ayuda a supervisar continuamente los perfiles de usuario y a realizar diversas acciones cuando se detectan eventos de riesgo.

Para obtener más información, consulte Evaluación continua de riesgos.

Evaluación continua del riesgo

Configuración de directivas

Citrix Analytics le ayuda a administrar las configuraciones de directivas de forma más eficaz. Puede proteger las cuentas de usuario de ataques maliciosos con la ayuda de las siguientes capacidades:

  • Directivas predeterminadas: Citrix Analytics admite las siguientes directivas predeterminadas:

    • Explotación de credenciales correcta
    • Exfiltración potencial de datos
    • Acceso inusual desde una IP sospechosa
    • Acceso inusual a aplicaciones desde una ubicación inusual
    • Usuario de bajo riesgo: acceso por primera vez desde una nueva IP
    • Acceso por primera vez desde el dispositivo

    Puede modificar las directivas predeterminadas según sus requisitos.

    Directivas predeterminadas

  • Múltiples condiciones: una directiva puede contener hasta cuatro condiciones. Las condiciones se pueden establecer con combinaciones de puntuaciones de riesgo e indicadores de riesgo, o ambos.

    Agregar y quitar condición

  • Indicadores de riesgo predeterminados y personalizados: El menú de condiciones de la página Crear Directiva ahora está segregado en función de los indicadores de riesgo predeterminados y personalizados. Al crear una directiva, puede cambiar entre las fichas de indicadores de riesgo predeterminados y personalizados, y establecer las condiciones del indicador de riesgo.

    Agregar y quitar condición

  • Solicitar respuesta del usuario final: Citrix Analytics presenta la acción Solicitar respuesta del usuario final. Con esta acción, puede enviar una notificación por correo electrónico al usuario sobre la actividad de riesgo detectada. Una vez que el usuario responda sobre la actividad, puede determinar el siguiente curso de acción que se tomará en su cuenta. También puede configurar el tiempo de respuesta del usuario. Si no se recibe ninguna respuesta, Citrix Analytics considera el estado Sin respuesta.

    Solicitud de respuesta del usuario final

  • Aplicar acciones disruptivas: puede notificar a los usuarios cuando se aplica una acción disruptiva, como Cerrar sesión o Bloquear usuario. Se envía una notificación al usuario con detalles de la actividad y la acción aplicada. Esta acción interrumpe temporalmente los servicios de la cuenta del usuario para evitar un uso indebido posterior. Para continuar accediendo a la cuenta, el usuario debe ponerse en contacto con el administrador para obtener ayuda.

    Aplicar acción disruptiva

  • Modos de cumplimiento y supervisión: Puede establecer modos de cumplimiento o supervisión para sus directivas.

    Modos de directiva

Para obtener más información sobre las mejoras de directivas, consulte Directivas y acciones.

Bloquear acciones de usuario y desbloquear usuario

Citrix Analytics presenta las siguientes acciones de puerta de enlace:

  • Bloquear usuario
  • Desbloquear usuario

Puede aplicar estas acciones de forma manual o al configurar directivas.

Para obtener más información, consulte Qué son las acciones.

Luego haga lo siguiente

Panel de resumen de acceso

Citrix Analytics presenta el panel Resumen de acceso en el panel Usuarios. Resume el número total de intentos que han realizado los usuarios para acceder a los recursos de una organización.

Para obtener más información, consulte Resumen de Access.

Panel de resumen de acceso

Panel de directivas y acciones

Citrix Analytics presenta el panel Directivas y acciones en el panel Usuarios. Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario. Puede ordenar los datos según las directivas principales y las acciones principales durante un período de tiempo seleccionado.

Para obtener más información, consulte Directivas y acciones.

Panel de directivas y acciones

Búsqueda de directivas de autoservicio

Utilice la búsqueda de autoservicio para ver los eventos de usuario que cumplen las directivas definidas. También puede ver las acciones que Analytics ha aplicado para estos eventos anómalos. Utilice las facetas y el cuadro de búsqueda para buscar los eventos necesarios.

Para ver los eventos, en el cuadro de búsqueda, seleccione Directivas de la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de directivas.

Funciones retiradas

Se eliminó la condición basada en directivas de cambio de puntuación de riesgo

Al configurar directivas, ya no puede utilizar la condición basada en directivas de cambio de puntuación de riesgo. Citrix Analytics no admite esta condición.

Para obtener más información, consulte Directivas y acciones.

Se han eliminado varias acciones basadas en directivas

Al configurar directivas, ya no se pueden aplicar varias acciones. Citrix Analytics admite solo una acción para cada directiva.

Para obtener más información, consulte Directivas y acciones.

Problemas resueltos

  • Los administradores delegados de solo lectura encuentran un error al acceder a los paneles de control Acceso de usuario y Acceso a aplicaciones. [CAS-16297]

12 de diciembre de 2019

Funciones nuevas

Compatibilidad con la versión de Splunk

Citrix Analytics admite las siguientes versiones de Splunk:

  • Splunk 8.0 de 64 bits
  • Splunk 7.3 de 64 bits

Para obtener los máximos beneficios de seguridad de la integración de Splunk, actualice a la última versión de la aplicación complementaria de Splunk desde la página de descargas.

Para obtener más información sobre las versiones de Splunk compatibles, consulte Versiones compatibles.

04 diciembre 2019

Funciones nuevas

Indicador de riesgo personalizado para Citrix Gateway

Con los indicadores de riesgo personalizados, ahora puede definir las condiciones y la frecuencia de activación de los indicadores de riesgo de los eventos de Citrix Gateway. Cuando un evento de usuario cumple las condiciones, Analytics activa los indicadores de riesgo. Para obtener más información sobre cómo crear un indicador de riesgo personalizado, consulte Indicadores de riesgo personalizados.

Indicador personalizado de puerta de enlace

22 noviembre 2019

Funciones nuevas

Acceso por primera vez desde un dispositivo nuevo: indicador de riesgo de Citrix Virtual Apps and Desktops

Citrix Analytics detecta las amenazas de acceso en función del acceso desde un nuevo dispositivo y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso por primera vez desde un dispositivo nuevo se activa cuando un usuario inicia sesión desde un dispositivo después de 90 días. Este evento se desencadena porque Citrix Receiver no tiene registros de inicio de sesión de este dispositivo nuevo o desconocido durante los últimos 90 días. Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

Acceso por primera vez desde un dispositivo nuevo

Acceso por primera vez desde una nueva IP - Indicador de riesgo de Citrix Gateway

Citrix Analytics detecta las amenazas de acceso en función del acceso desde una nueva dirección IP y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso por primera vez desde una nueva IP se activa cuando un usuario inicia sesión desde una dirección IP después de 90 días. Este evento se desencadena porque Citrix Receiver no tiene registros de inicio de sesión de la dirección IP nueva o desconocida durante los últimos 90 días.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Acceso por primera vez desde una nueva IP

Inicio de sesión desde una IP sospechosa: indicador de riesgo de Citrix Gateway

Citrix Analytics detecta las amenazas de acceso de los usuarios en función de la actividad de inicio de sesión de IP sospechosa y activa el indicador de riesgo de inicio de sesión desde IP sospechosa.

Este indicador de riesgo se activa cuando un usuario intenta acceder a la red desde una dirección IP sospechosa. Analytics considera que una dirección IP es sospechosa en función de cualquiera de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuarios desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Iniciar sesión desde una IP sospechosa

Búsqueda de autoservicio de eventos de Citrix Gateway

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Citrix Gateway. Citrix Analytics recibe eventos como la etapa de autenticación, el tipo de autorización, el código de sesión VPN y el estado de la sesión VPN para los usuarios de Citrix Gateway. Utilice las facetas y el cuadro de búsqueda para buscar los eventos necesarios y explorar los datos subyacentes.

Para ver los eventos, en el cuadro de búsqueda, seleccione Puerta de enlace en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

Búsqueda de autoservicio de eventos de Citrix Remote Browser Isolation

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de navegación recibidos de Citrix Remote Browser Isolation Service. Citrix Analytics recibe eventos como conexión de sesión, inicio de sesión, aplicaciones publicadas y aplicaciones eliminadas para cada conexión de usuario. Utilice el cuadro de búsqueda para buscar los eventos necesarios y explorar los datos subyacentes.

Para ver los eventos, en el cuadro de búsqueda, seleccione Remote Browser Isolation en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio para Remote Browser Isolation.

Acción Eliminar de la lista de observación

Puede quitar a un usuario de la lista de seguimiento aplicando el método manual o aplicando un método basado en directivas. Para obtener más información, consulte Lista de seguimiento.

Mensajes de incorporación mejorados al configurar una implementación de StoreFront

Citrix Analytics ahora proporciona los siguientes mensajes para ayudarle a configurar las implementaciones de StoreFront:

  • Tras descargar el archivo de configuración, puede ver un mensaje que indica la fecha y hora de la descarga y el nombre de usuario. Al actualizar esta página, el botón Descargar archivo cambia de nuevo a Descargar archivo.

    Descargar archivo de StoreFront

  • Si la configuración de StoreFront está incompleta, aparece un mensaje de advertencia en el que se le indica que debe seguir los pasos de configuración y conectar la implementación de StoreFront con Analytics.

    Advertencia de configuración incompleta de StoreFront

Para obtener más información sobre cómo configurar la implementación de StoreFront, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

Funciones retiradas

Indicador de riesgo: eliminar el acceso desde un dispositivo nuevo

Citrix Analytics ya no activa el indicador de riesgo Acceso desde un nuevo dispositivo. Sin embargo, en el panel de control del usuario, el cronograma del usuario y el panel de directivas, puede ver los datos históricos relacionados con este indicador de riesgo.

Para las directivas creadas anteriormente basadas en Acceso desde un nuevo dispositivo, debe modificar la directiva o crear una directiva con el nuevo indicador de riesgo Acceso por primera vez desde un dispositivo nuevo.

Problemas resueltos

  • La búsqueda autoservicio de autenticación no muestra los eventos. [CAS-24959]

08 noviembre 2019

Problemas resueltos

  • Para los indicadores de riesgo de Citrix Content Collaboration, los usuarios no pueden aplicar acciones en el cronograma de riesgos. [CAS-24844]

  • La aplicación Citrix Workspace para Chrome anterior a la versión 1911 no envía los detalles del evento a Citrix Analytics. [CAS-24938]

21 de octubre de 2019

Funciones nuevas

Nombre modificado del agente de análisis

El nombre del agente se menciona ahora como agente de directivas de Analytics en las interfaces de usuario para indicar su función. Al incorporar los orígenes de datos de Citrix Virtual Apps and Desktops locales, Citrix Analytics notifica claramente que solo se necesita un agente de directivas para configurar directivas y acciones para su sitio. Este agente no tiene ninguna función en la transmisión de datos desde el origen de datos. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Agente de directivas

Compatibilidad con la dimensión temporal para informes personalizados

Ahora puede agrupar los eventos en función del tiempo seleccionando la dimensión de tiempo para el eje x. El informe muestra el total de eventos recibidos en función de los intervalos de tiempo del período seleccionado. Para obtener más información sobre cómo crear informes, consulte Informes personalizados.

Dimensión de tiempo de informe personalizada

Mejoras en los registros de auditoría

Se ha mejorado la experiencia del usuario de la página Registro de auditoría.

  • Puede ver los detalles de fecha y hora de la última actualización de la página Registro de auditoría y actualizar la página para ver los registros de auditoría más recientes.

  • Puede borrar todos los filtros aplicados en los registros de auditoría.

Para obtener más información sobre los datos de auditoría, consulte Registros de auditoría.

Actualizar registros de auditoría

Problemas resueltos

  • Citrix Analytics no puede generar el indicador de riesgo de direcciones IP anónimas aunque Microsoft Graph Security se haya incorporado correctamente. [CAS-21329]

  • La aplicación Citrix Workspace para HTML5 anterior a la versión 1910 no envía los detalles del evento a Citrix Analytics. [CAS-24938]

23 de septiembre de 2019

Problemas resueltos

  • En las tarjetas de sitio de orígenes de datos, el campo Último evento muestra información de fecha y hora incorrecta. [CAS-24087]

30 de agosto de 2019

Funciones nuevas

Cambio en el período de tiempo predeterminado en todos los paneles

El período de tiempo predeterminado de los paneles siguientes cambia de Última hora a Último mes:

  • Usuarios

  • Cronología del riesgo

  • Acceso de usuarios

  • Acceso a aplicaciones

  • Compartir enlaces

  • Historial de alertas

Ahora los paneles muestran los eventos del último mes de forma predeterminada. Obtendrá una experiencia más atractiva al utilizar estos paneles. Por ejemplo, al abrir el panel de control Acceso a aplicaciones, el panel muestra los eventos de acceso a aplicaciones del último mes de forma predeterminada.

Selección de período de tiempo predeterminado

Problemas resueltos

  • Para los indicadores de riesgo de Content Collaboration, la acción Inhabilitar basada en directivas de usuario no se puede aplicar correctamente. [CAS-17304]

  • Citrix Analytics no puede procesar eventos de Citrix Gateway 13.0. Este problema se produce porque Citrix Gateway 13.0 no proporciona nombres de usuario en los eventos de inicio de sesión enviados a Citrix Analytics. [CAS-21339]

20 de agosto de 2019

Funciones nuevas

Mejoras en la búsqueda de autoservicio

  • Se ha mejorado la experiencia del usuario de la página de autoservicio. Ahora puede cambiar sin problemas entre el cronograma de riesgo del usuario y la página de búsqueda de autoservicio.

  • Ahora puede ordenar sus eventos por tiempo. De forma predeterminada, los últimos eventos aparecen en primer lugar en la tabla de eventos. Haga clic en el icono de ordenación de la columna TIEMPO para ordenar los eventos según la última hora o la hora más temprana.

Para obtener más información sobre cómo utilizar la búsqueda de autoservicio, consulte Búsqueda de autoservicio.

Mejoras en los informes personalizados

  • Se agregan nuevas dimensiones para los orígenes de datos de Control de acceso, Content Collaboration y Apps and Desktops. Puede elegir estas dimensiones para crear informes. Se agregan las siguientes dimensiones para los orígenes de datos:

    • Access Control: Agente de usuario, nombre de usuario

    • Content Collaboration contenido: Correo electrónico de usuario, nombre de usuario, creado por, ID de cuenta, ID de cliente de OAuth, ID de evento, ID de carpeta, nombre de carpeta, ID de recurso, ID de formulario, IP de cliente

    • Aplicaciones y escritorios: nombre de usuario, dirección IP, identificador de dispositivo, jaula rota, tipo de inicio de sesión, nombre del servidor de sesión, nombre de usuario de la sesión, nombre del archivo de descarga, ruta del archivo de descarga, nombre de la impresora de impresión, nombre de archivo de detalles del trabajo de impresión, dirección URL de inicio de la aplicación SaaS, operación del portapapeles, resultado de detalles

  • La interfaz de usuario de informes personalizados se ha mejorado con la compatibilidad con la paginación y la opción Borrar todo para los filtros.

Para obtener más información sobre cómo crear un informe personalizado con estas dimensiones, consulte Informes personalizados.

Panel de indicadores de riesgo

El panel de indicadores de riesgo se introduce en la página Usuarios. Resume los cinco principales indicadores de riesgo por defecto y personalizados para un usuario. Un enlace Ver más le redirige a la página Visión general del indicador de riesgo. Esta página proporciona información detallada sobre los indicadores de riesgo generados durante un período de tiempo seleccionado.

Para obtener más información, consulte Panel de control de usuarios.

Panel de indicadores de riesgo

Mejoras en el panel de usuarios con riesgos

Citrix Analytics presenta las fichas Cambio de indicadores de riesgo e Indicadores de riesgo en el panel Usuarios con riesgos. Puede ver los cinco usuarios más con riesgos basándose en estas fichas. El panel también introduce la columna Indicadores de riesgo. Muestra el número de indicadores de riesgo de un usuario.

La página Usuarios con riesgos introduce las columnas Cambio de ocurrencias y ocurrencias. En estas columnas se resumen el total de ocurrencias y el cambio en las apariciones de los indicadores de riesgo personalizados y predeterminados.

Para obtener más información, consulte Panel de control de usuarios.

Usuarios con riesgos

Indicador de riesgo de enlace compartido - Descargas excesivas

Citrix Analytics detecta amenazas de acceso en función de descargas excesivas en un enlace compartido y activa el indicador de riesgo de descargas excesivas. Al identificar los enlaces compartidos con descargas excesivas, en función del comportamiento anterior, puede supervisar el enlace para compartir en busca de posibles ataques. Este indicador de riesgo ayuda a identificar una actividad excesiva de descarga de archivos.

Para obtener más información, consulte Descargas excesivas.

Búsqueda de autoservicio de los datos de autenticación

Utilice la búsqueda de autoservicio para obtener información sobre los eventos de autenticación. Citrix Analytics recibe los eventos de autenticación como inicio de sesión de usuario, cierre de sesión de usuario y actualización de clientes del servicio de administración de identidades y accesos de Citrix Cloud. La búsqueda proporciona un informe detallado sobre los eventos de autenticación, ayuda a identificar cualquier problema de autenticación y a solucionarlo. También puede definir una consulta de búsqueda para recuperar eventos que coincidan con los criterios definidos.

Para ver los eventos, seleccione Autenticación en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de autenticación.

11 de julio de 2019

Funciones nuevas

Indicadores de riesgo personalizados

Los indicadores de riesgo predeterminados que genera Citrix Analytics se basan en algoritmos de aprendizaje automático. Citrix Analytics ahora permite crear indicadores de riesgo personalizados. En función de los eventos de usuario, puede definir las condiciones y crear indicadores de riesgo personalizados.

Cuando se cumplen las condiciones definidas, Citrix Analytics genera indicadores de riesgo personalizados similares a los indicadores de riesgo predeterminados y los muestra en el cronograma de riesgo del usuario. Los indicadores de riesgo personalizados se indican con una etiqueta en la línea de tiempo de riesgo del usuario.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Estado privilegiado en el cronograma de riesgo

El cronograma de riesgo del usuario muestra los siguientes eventos siempre que se produzca un cambio en el estado de privilegios de administrador o ejecutivo de un usuario:

  • Agregado al grupo ejecutivo

  • Eliminado del grupo ejecutivo

  • Privilegio elevado a administrador

  • Privilegio de administrador eliminado

Cuando se activa un indicador de riesgo para un usuario, puede correlacionarlo con el evento de cambio de estado de privilegios especificado. Si es necesario, puede aplicar las acciones apropiadas en el perfil de usuario.

Para obtener más información, consulte Cronología de riesgos del usuario.

Acción de enlace de recurso compartido caducar

Citrix Analytics le permite aplicar acciones en indicadores de riesgo de vínculos compartidos. En la actualidad, la acción admitida es Vencimiento del enlace de recurso compartido.

Para obtener más información, consulte Indicadores de riesgo de vínculos compartidos de Citrix.

Mejoras en la búsqueda de autoservicio

  • Compatibilidad con el carácter comodín * en la consulta de búsqueda: Utilice el carácter asterisco (*) en su consulta de búsqueda para que coincida con cualquier carácter cero o más veces. Por ejemplo, la consulta de búsqueda Nombre de usuario = “John*” muestra los eventos de todos los nombres de usuario que comienzan por John.

  • Se ha agregado la opción Borrar todo para las facetas: haga clic en Borrar todopara eliminar todas las facetas seleccionadas a la vez.

  • Ver datos de columnas ocultas en la lista de eventos: tras quitar una columna de la tabla de eventos, puede ver los datos correspondientes en la lista de eventos de usuario. Expanda la fila de eventos de un usuario y visualice los datos.

Para obtener más información, consulte Búsqueda de autoservicio.

Estado de error de datos en las tarjetas de sitio

Las tarjetas de sitio muestran la etiqueta No se han recibido datos en rojo cuando Citrix Analytics no recibe eventos durante la última hora del origen de datos. También muestra el número de eventos recibidos y está vinculado a la página de búsqueda de autoservicio correspondiente. Esta función le ayuda a ver los eventos correspondientes en la página de búsqueda de autoservicio y a comprobar si hay problemas de transmisión de datos.

Nota

Actualmente, la búsqueda de autoservicio solo está disponible para los orígenes de datos de Access, Content Collaboration y Apps and Desktop.

Para obtener más información, consulte Habilitar Analytics en orígenes de datos de Citrix.

Problemas resueltos

  • En el origen de datos de Control de acceso, el número de eventos de la tarjeta del sitio no coincide con los resultados de la búsqueda de autoservicio. [CAS-18286]

19 de junio de 2019

Problemas resueltos

  • La página Registro de auditoría muestra el estado activado o desactivado de la transmisión de datos cada vez que se detecta el origen de datos de Active Directory. [CAS-17575]

  • El menú de períodos de tiempo del panel Usuarios no se carga correctamente. Muestra un mensaje de error de tiempo de espera. [CAS-19467]

  • Los usuarios reciben un mensaje de error en Citrix Analytics mientras se conectan a un arrendatario desde Splunk. En ocasiones, se produce un error en la incorporación de nuevos orígenes de datos. [CAS-19429]

17 de junio de 2019

Funciones nuevas

Configurar StoreFront

Si su organización utiliza StoreFront local, ahora puede configurar StoreFront para que se conecte a Citrix Analytics. La configuración se realiza mediante un archivo de configuración importado de Citrix Analytics. Una vez que la configuración se ha realizado correctamente, la aplicación Citrix Workspace envía eventos de usuario a Citrix Analytics para generar información útil sobre los comportamientos de los usuarios. La información le ayuda a detectar cualquier comportamiento anómalo de los usuarios y a gestionar de forma proactiva las amenazas a la seguridad de su organización. Para obtener más información, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

30 de mayo de 2019

Funciones nuevas

Errores de inicio de sesión excesivos

Citrix Analytics detecta las amenazas de acceso en función de una actividad de inicio de sesión excesiva y activa el indicador de riesgo de errores de inicio de sesión excesivos. Este indicador de riesgo se activa cuando un usuario experimenta varios intentos fallidos de inicio de sesión para acceder a Content Collaboration. Al identificar a los usuarios con errores de inicio de sesión excesivos, según el comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

Nota

Loserrores de inicio de sesión excesivos ahora se denominan Errores de autenticación excesivos.

Problemas resueltos

  • En el caso de algunos eventos de usuario transmitidos por las aplicaciones Citrix Workspace, el origen de datos se identifica incorrectamente como Endpoint Management en lugar de Citrix Virtual Apps and Desktops.

    [CAS-17323]

  • El panel Usuarios tarda mucho en cargarse durante el período de Último mes. Este problema se produce cuando el número de usuarios es elevado. En algunos casos, es posible que incluso se produzcan errores 601.

    [CAS-16300]

  • Citrix Content Collaboration no se descubre como origen de datos, aunque algunos usuarios se suscriben al servicio en Citrix Cloud.

    [CAS-16299]

09 de mayo de 2019

Funciones nuevas

Creación de informes personalizados

Ahora puede crear informes personalizados en función de sus requisitos operativos. Citrix Analytics proporciona una lista de dimensiones y métricas según el origen de datos seleccionado. Elija los parámetros necesarios y los tipos de visualización, como gráfico de barras, gráfico de eventos, gráfico de líneas o tabla, para crear sus informes. La creación de informes le ayuda a organizar y analizar sus datos de forma gráfica.

Para crear un informe personalizado, en la ficha Seguridad, haga clic en Informes > Crear informe. Para ver los informes creados anteriormente, en la ficha Seguridad, haga clic en Informes. Para obtener más información, consulte Informes personalizados.

Supervisión de usuarios privilegiados

Citrix Analytics le permite supervisar de cerca las anomalías de comportamiento de los usuarios con privilegios de una organización. Dado que los usuarios privilegiados son muy vulnerables a las amenazas de seguridad, resulta difícil distinguir sus actividades diarias de las maliciosas. Por lo tanto, las actividades maliciosas de los usuarios privilegiados permanecen desapercibidas durante mucho tiempo. Esta función le permite supervisar de forma proactiva dichas actividades y tomar las medidas adecuadas en las cuentas de usuario adecuadas. Los usuarios con privilegios se representan con un icono en el panel Usuarios.

Citrix Analytics admite la supervisión de los siguientes tipos de usuarios con privilegios:

  • Administradores: Usuarios a los que el servicio Citrix respectivo asigna privilegios de administrador. En la actualidad, Citrix Analytics admite la supervisión de usuarios con privilegios de usuario con privilegios de administrador en el servicio Content Collaboration.

  • Ejecutivos: En Citrix Analytics, puede marcar un grupo de AD como grupo de ejecutivos. Marcar un grupo de AD como grupo ejecutivo convierte a todos los usuarios del grupo en usuarios privilegiados. Si no es necesario seguir atendiendo las anomalías de comportamiento de los usuarios de un grupo de AD, puede quitar el grupo como grupo ejecutivo.

Para obtener más información, consulte Usuarios con privilegios.

Resumen semanal del correo electrónico

Citrix Analytics envía un correo electrónico semanal a los administradores en el que se resumen los riesgos de seguridad en el entorno de TI de su organización. La notificación por correo electrónico se envía todos los martes a los administradores y resalta los eventos de seguridad que se han producido en la semana anterior. Este correo electrónico garantiza que los administradores estén informados sobre los riesgos de seguridad sin iniciar sesión en Citrix Analytics. Para obtener más información, consulte Resumen semanal por correo electrónico.

26 de abril de 2019

Funciones nuevas

Administradores delegados

Citrix Analytics ahora admite funciones de administrador delegadas. Esta funcionalidad le permite invitar a otros administradores a su cuenta de Citrix Cloud para administrar Citrix Analytics para su organización. Si es administrador de Citrix Analytics con permiso de acceso completo, puede agregar otros administradores a su cuenta de Citrix Cloud. Estos administradores adicionales se denominan administradores delegados. En este momento, puede asignar acceso de solo lectura a los administradores delegados. Para obtener más información, consulte Administradores delegados.

Problemas resueltos

Pocos indicadores de riesgo para los orígenes de datos que utilizan la transmisión de datos no generan alertas. No recibe ninguna notificación de alerta y las acciones basadas en directivas no se aplican automáticamente si se activa alguno de los siguientes indicadores de riesgo:

  • Indicadores de riesgo de Citrix Endpoint Management: Dispositivo no administrado, dispositivo con jailbreak o rooteado y dispositivo con aplicaciones incluidas en la lista de bloqueados.

  • Indicador de riesgo de Citrix Virtual Apps and Desktops: Acceso desde un dispositivo con sistema operativo (SO) no compatible.

  • Indicador de riesgo de Citrix Content Collaboration: Acceso excesivo a archivos confidenciales.

[CAS-14590]

19 febrero 2019

Funciones nuevas

Integración de Splunk

Citrix Analytics se integra con Splunk para mejorar sus experiencias de supervisión de incidentes de seguridad y solución de problemas. Esta integración aumenta los orígenes de datos existentes con las capacidades de análisis de riesgos y la inteligencia de Citrix Analytics for Security, como indicadores de riesgo, puntuaciones de riesgo y perfiles de usuario. Citrix Analytics exporta información de análisis de riesgos a un canal. Splunk saca lo mismo de este canal.

La integración de Splunk implica la configuración en Citrix Analytics, la instalación del complemento Citrix Analytics para la aplicación Splunk y la configuración de la aplicación. Asegúrese de activar el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics a iniciar el proceso de integración de Splunk.

Para obtener más información, consulte Integración de Splunk.

Grabación dinámica de sesiones

Citrix Analytics introduce la capacidad de activar la grabación de sesiones de forma dinámica en las sesiones actuales de Virtual Apps and Desktops de los usuarios. Ayuda a capturar las evidencias necesarias para el análisis de riesgos y tomar las acciones adecuadas de respuesta a incidentes, como sesiones de desconexión y bloquear usuarios.

Para obtener más información, consulte Directivas y acciones.

Citrix Analytics introduce la visibilidad del riesgo de Share Links en función de los datos recopilados de Citrix Content Collaboration. Le ayuda a comprender la exposición al riesgo de los enlaces de acciones a través de los indicadores de riesgo que activan los enlaces de acciones.

Para obtener más información, consulte Panel de control Compartir vínculos.

Actualmente, el indicador de riesgo de descarga de acciones confidenciales anónimas se activa para un enlace para compartir. Cuando Content Collaboration detecta este comportamiento de riesgo, Citrix Analytics recibe los eventos. Se le notifica en el panel Alertas y el indicador de riesgo de descarga de acciones confidenciales anónimas se agrega a la línea de tiempo de riesgo del enlace compartido.

Para obtener más información, consulte Cronología de riesgo de Share Link e indicadores de riesgo de Citrix Share Link.

Integración Microsoft Active Directory

Ahora puede integrar Microsoft Active Directory con Citrix Analytics. Esta integración mejora el contexto de los usuarios de riesgo con información adicional, como el cargo, la organización, la ubicación de la oficina, el correo electrónico y los datos de contacto. Puede obtener una mejor visibilidad de un usuario en la página de perfil de usuario de Citrix Analytics.

Para obtener más información, consulte Integración de Analytics con Microsoft Active Directory.

Usuario de Active Directory

04 de enero de 2019

Funciones nuevas

Adición de la columna SOURCE para los indicadores de riesgo existentes

La columna ORIGEN se ha introducido en la sección DETALLES DEL EVENTO para los siguientes indicadores de riesgo:

  • Subidas excesivas de archivos

  • Descargas excesivas de archivos

  • Uso compartido excesivo de archivos

  • Eliminación excesiva de archivos o carpetas

Para obtener más información, consulte Indicadores de riesgo de Citrix Content Collaboration.

Perfil de usuario avanzado

Se ha mejorado la vista Información del usuario en el perfil de usuario. El enlace Vista de tendencias se ha introducido en la esquina superior derecha de las secciones Aplicación, Dispositivos y Uso de datos. El vínculo Vista de mapa se ha introducido en la esquina superior derecha de la sección Ubicaciones. Estos enlaces proporcionan una representación gráfica del comportamiento histórico del usuario durante un período de tiempo específico. Puede navegar a Información de usuario desde la línea de tiempo de riesgo del usuario o desde la página Orígenes de datos.

Nota

Los datos Autenticación y Dominios no están disponibles actualmente en el perfil Información de usuario.

Para obtener más información, consulte Cronología y perfil de riesgos del usuario.

Perfil de usuario avanzado

Indicadores de riesgo para Microsoft Graph Security

Microsoft Graph Security incorporada puede recibir detalles del indicador de riesgo de uno de los siguientes proveedores de seguridad y reenviarlos a Citrix Analytics:

  • Protección de identidad de Azure AD

  • Microsoft Defender para dispositivos de punto final

Para obtener más información, consulte Indicadores de riesgo para Microsoft Graph Security.

Formas de entrar en la página de búsqueda de autoservicio

Ahora puede acceder a la página de búsqueda de autoservicio mediante las siguientes opciones:

  • Barra superior: haga clic en Buscar en la barra superior para acceder directamente a la página de búsqueda.

    Búsqueda en la barra superior

  • Cronología de riesgos en la página de perfil del usuario: haga clic en Búsqueda de eventos para acceder a la página de búsqueda y ver los eventos correspondientes al indicador de riesgo de un usuario específico y a el origen de datos. Para obtener más información, consulte Búsqueda de autoservicio.

    Cronología del riesgo

Búsqueda de autoservicio de Content Collaboration

Utilice la búsqueda de autoservicio para obtener información sobre los eventos asociados a el origen de datos de Content Collaboration. Para ver los eventos, seleccione Content Collaboration de la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar. Para obtener más información, consulte Búsqueda de autoservicio para Content Collaboration.

Búsqueda de autoservicio de aplicaciones y escritorios

Use la búsqueda de autoservicio para obtener información sobre los eventos asociados con el origen de datos de Apps and Desktops. Para ver los eventos, selecciona Aplicaciones y escritorios en la lista, selecciona el período de tiempo y, a continuación, haga clic en Buscar. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Exportar eventos de búsqueda de autoservicio a un archivo CSV

Ahora puede exportar los eventos de búsqueda de autoservicio a un archivo CSV y descargarlo para utilizarlo en el futuro. Para obtener más información, consulte Búsqueda de autoservicio.

Integración mejorada para Citrix Virtual Apps and Desktops

El proceso de incorporación de la fuente de datos de Citrix Virtual Apps and Desktops ahora se ha mejorado para ofrecer una mejor experiencia de usuario. Se han modificado las fichas del sitio y los pasos de embarque. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

29 de noviembre de 2018

Funciones nuevas

Origen de datos Microsoft Security Graph

Microsoft Graph Security es un origen de datos externa que agrega datos de varios proveedores de seguridad. También proporciona acceso a los datos del inventario de usuarios.

Actualmente, Citrix Analytics admite los proveedores de seguridad de protección de identidad de Azure AD y Microsoft Defender for Endpoint asociados a este origen de datos.

Para integrar este origen de datos, debe obtener permisos de la plataforma de identidad de Microsoft. Para obtener más información, consulte Microsoft Graph Security.

Incorporación de MSG

Ver detalles de eventos y usuarios detectados en las tarjetas de sitio para orígenes de datos

Las tarjetas de sitio de los orígenes de datos muestran ahora los detalles de los eventos y el número de usuarios. Por ejemplo, puede ver los detalles del evento y los usuarios de Control de acceso en la tarjeta del sitio. Para obtener más información, consulte Habilitar análisis en orígenes de datos.

Imagen de control de acceso

16 de noviembre de 2018

Funciones nuevas

Búsqueda de autoservicio de datos de acceso

Puede utilizar la búsqueda de autoservicio para obtener información sobre los detalles de acceso de los usuarios de su empresa. Citrix Analytics recopila los detalles de acceso de los usuarios del servicio Citrix Access Control. Utilice las facetas y la consulta de búsqueda para reducir los resultados de búsqueda.

Para utilizar la página de búsqueda de autoservicio, en la ficha Seguridad, haga clic en Búsqueda de eventos.

Para obtener más información, consulte Búsqueda de autoservicio de Access.

Buscar imagen

Comentarios sobre los indicadores de riesgo

Con la función de comentarios sobre indicadores de riesgo de Citrix Analytics, puede proporcionar comentarios sobre un indicador de riesgo. Sus comentarios ayudan a confirmar si el incidente de seguridad denunciado es correcto o no.

Actualmente, esta función se admite en el indicador Riesgo de acceso de inicio de sesión inusual activado por el origen de datos de Content Collaboration. Si este indicador de riesgo activado es incorrecto, puede denunciarlo como un falso positivo y proporcionar comentarios. También puede modificar los comentarios que haya enviado anteriormente. Citrix Analytics captura sus comentarios y valida la información prevista para optimizar la detección de comportamientos anómalos.

Imagen falsa positiva

Problemas resueltos

  • No puede modificar ni guardar una directiva si accede a Citrix Analytics mediante Internet Explorer 11.0.
Novedades

En este artículo