Citrix Analytics para la seguridad

Indicadores de riesgo personalizados

Hay dos tipos de indicadores de riesgo que se ven en Citrix Analytics for Security:

  • Indicadores de riesgo predeterminados: Estos indicadores de riesgo se basan en el algoritmo de aprendizaje automático. Para obtener más información, consulte Indicadores de riesgo de usuarios de Citrix.

  • Indicadores de riesgo personalizados: Estos indicadores de riesgo los crean manualmente los administradores.

Cuando crea un indicador de riesgo personalizado, puede definir las condiciones desencadenantes y los parámetros en función de sus casos de uso. Si los eventos del usuario coinciden con los criterios definidos, Citrix Analytics activa el indicador de riesgo personalizado y lo muestra en el cronograma de riesgo del usuario.

Cree indicadores de riesgo personalizados para las siguientes fuentes de datos:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Indicadores de riesgo personalizados preconfigurados

Citrix también proporciona algunos indicadores de riesgo personalizados con condiciones preconfiguradas para ayudarle a supervisar la seguridad de su infraestructura de Citrix. Puede modificar las condiciones preconfiguradas en función de sus casos de uso. Para obtener más información, consulte Indicadores de riesgo personalizados preconfigurados.

Página de indicadores de riesgo personalizados

La página Indicadores de riesgo personalizados proporciona información sobre todos los indicadores de riesgo personalizados generados para un usuario, gravedad, origen de datos, número de directivas, categoría de riesgo, estado y la fecha y hora de la última modificación del indicador. Para crear un indicador de riesgo personalizado, consulte Creación de un indicador de riesgo personalizado.

Indicadores personalizados

Al seleccionar el indicador de riesgo, se le redirigirá a la página Modificar indicador de riesgo. Para obtener más información, consulte Modificación de un indicador de riesgo personalizado.

Análisis de un indicador de riesgo personalizado

Piense en un usuario cuya acción ha desencadenado un indicador de riesgo personalizado que ha definido. Citrix Analytics muestra el indicador de riesgo personalizado en el cronograma de riesgos del usuario.

Al seleccionar el indicador de riesgo personalizado en el cronograma de riesgos del usuario, el panel derecho muestra la siguiente información:

  • Condición (s) definida (s): muestra un resumen de las condiciones que define al crear un indicador de riesgo personalizado.

  • Descripción: proporciona un resumen de la descripción que proporciona al crear el indicador de riesgo personalizado. Si no se proporciona ninguna descripción al crear el indicador de riesgo personalizado, esta sección refleja Ninguno.

  • Frecuencia de disparo: Muestra la opción seleccionada en la sección Opciones avanzadasal crear el indicador de riesgo personalizado.

  • Detalles del evento: muestra el cronograma y los detalles de los eventos de usuario que han desencadenado el indicador de riesgo personalizado. Puede hacer clic en Búsqueda de eventos para ver los eventos de usuario en la página de búsqueda de autoservicio. La página de búsqueda de autoservicio muestra los eventos asociados al usuario y el indicador de riesgo personalizado. La consulta de búsqueda muestra las condiciones definidas para el indicador de riesgo personalizado.

Indicadores personalizados

Nota

Los indicadores de riesgo personalizados se representan con una etiqueta en el cronograma de riesgo del usuario.

Acciones que puede aplicar al usuario

Cuando se activa un indicador de riesgo personalizado para un usuario, puede aplicar una acción manualmente o crear una directiva para aplicar una acción automáticamente. Para obtener más información, consulte Directivas y acciones.

Creación de un indicador de riesgo personalizado

  1. Vaya a Seguridad > Indicadores de riesgo personalizados > Crear indicador.

    Crear un indicador de riesgo personalizado

  2. Seleccione la fuente de datos para la que quiere crear el indicador de riesgo personalizado.

  3. Defina las condiciones de su indicador de riesgo personalizado mediante las dimensiones y los operadores válidos del cuadro de condiciones. Para obtener más información sobre las dimensiones (facetas) de un origen de datos, consulte Búsqueda de autoservicio.

    El enlace Activadores estimados se activa en la sección Opciones avanzadas. Haga clic en el enlace para predecir las instancias aproximadas del indicador de riesgo personalizado que se activarían para las condiciones definidas. Estas instancias se calculan en función de los datos históricos que mantiene Citrix Analytics y cumplen las condiciones definidas.

    Nota

    Asegúrese de hacer clic en Activadores estimados para predecir el número de apariciones de indicadores de riesgo personalizados para la última condición definida.

  4. En la sección Opciones avanzadas, seleccione la frecuencia del evento para activar el indicador de riesgo personalizado. Cuando no selecciona ninguna opción, Citrix Analytics considera Cada vez: Generar el indicador de riesgo cada vez que se producen los eventos como opción predeterminada y genera el indicador de riesgo personalizado. Se pueden seleccionar una de las siguientes opciones:

    • Cada vez: El indicador de riesgo se activa siempre que los eventos cumplan las condiciones definidas.

    • Primera vez: El indicador de riesgo se activa cuando los eventos cumplen las condiciones definidas por primera vez.

      • Primera vez para una nueva: habilite esta opción para detectar los eventos recibidos de una nueva entidad por primera vez. Algunos ejemplos de las entidades son IP del cliente, país, ciudad e ID de dispositivo. Solo puede seleccionar una entidad en función de la fuente de datos. Esta opción permite crear un indicador de riesgo sin especificar un valor explícito para las entidades. Por ejemplo, al seleccionar la entidad como “Ciudad”, no es necesario especificar el nombre de la ciudad. El indicador de riesgo se activa cuando se reciben eventos de una nueva ciudad por primera vez.

        En la tabla siguiente se enumeran las entidades correspondientes a cada origen de datos y se describen las condiciones del desencadenador.

        Origen de datos Entidad Condición de activación
        Control de acceso, Content Collaboration Ciudad Cuando un usuario inicia sesión desde una nueva ciudad por primera vez.
          Cliente-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
          País Cuando un usuario inicia sesión desde un nuevo país por primera vez.
        Virtual Apps and Desktops Nombre de la aplicación Cuando un usuario abre una nueva aplicación virtual o una aplicación SaaS por primera vez.
          URL de la aplicación Cuando un usuario introduce una nueva URL de aplicación en un explorador de su escritorio virtual por primera vez.
          Ciudad Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde una nueva ciudad por primera vez.
          Cliente-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
          País Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde un nuevo país por primera vez.
          ID del dispositivo Cuando un usuario inicia por primera vez aplicaciones virtuales o escritorios virtuales desde un dispositivo nuevo, como un móvil, un portátil o una máquina de escritorio.
          Tipo de dispositivo de descarga Cuando un usuario utiliza por primera vez un nuevo medio de almacenamiento, como una unidad USB.
        Gateway Cliente-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.

        En el siguiente ejemplo se muestra un indicador de riesgo personalizado creado para el origen de datos de Virtual Apps and Desktops. El indicador de riesgo se activa cuando un usuario inicia un escritorio virtual o una aplicación virtual desde un dispositivo nuevo por primera vez.

        ID de dispositivo por primera vez

        También puede agregar una condición junto con la primera vez para una nueva opción. En este caso, el indicador de riesgo se activa cuando detecta los eventos de la nueva entidad por primera vez y cuando los eventos cumplen la condición definida.

        En el siguiente ejemplo se muestra una condición definida para el indicador de riesgo personalizado y la opción Primera vez para un nuevo ID de dispositivo habilitada. El indicador de riesgo se activa cuando un usuario ubicado en la India inicia una sesión de escritorio virtual desde un nuevo dispositivo por primera vez.

        Primera vez con afección

    • Excesivo: El indicador de riesgo se activa cuando se cumplen las siguientes condiciones:

      • Los eventos cumplen las condiciones definidas.

      • Los eventos se producen durante el número de veces especificado durante el período especificado.

    • Frecuentes: El indicador de riesgo se activa cuando se cumplen las siguientes condiciones:

      • Los eventos cumplen las condiciones definidas.

      • Los eventos se producen durante el número de veces especificado durante el período especificado.

      • El patrón de eventos se repite el número de veces especificado.

  5. Seleccione la categoría de riesgo del indicador de riesgo personalizado. Los indicadores de riesgo se agrupan según el tipo de exposición al riesgo del indicador de riesgo personalizado. Para obtener ayuda sobre la selección de categorías de riesgo, consulte Categorías de riesgo.

  6. Seleccione la gravedad del indicador de riesgo personalizado.

  7. Defina el nombre del indicador de riesgo personalizado en el cuadro de texto Nombre del indicador.

  8. En el cuadro de texto Descripción, proporcione una descripción válida del indicador de riesgo personalizado.

  9. En la parte inferior de la página Crear indicador, puede activar o desactivar el indicador de riesgo personalizado según sea necesario.

  10. Haga clic en Crear indicador.

    Indicadores personalizados

Notas

  • Puede crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanza este límite máximo, debe eliminar o modificar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

  • Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la línea de tiempo del usuario. Sin embargo, el resumen de riesgos y la puntuación de riesgo del usuario se actualizan al cabo de unos minutos (aproximadamente 15-20 minutos).

Operadores compatibles para definir una condición

Puede utilizar los siguientes operadores al definir una condición.

Operador Descripción Ejemplo Resultado
: Asigna un valor a la consulta de búsqueda. User-Name : John Muestra los eventos del usuario John.
= Asigna un valor a la consulta de búsqueda. User-Name = John Muestra los eventos del usuario John.
~ Busca valores similares. User-Name ~ test Muestra los eventos con nombres de usuario similares.
”” Encierra valores separados por espacios. User-Name = “John Smith” Muestra los eventos del usuario John Smith.
<, > Búsqueda de valor relacional. Volumen de datos > 100 Muestra los eventos en los que el volumen de datos es superior a 100 GB.
AND Busca valores en los que se cumplan ambas condiciones. User-Name : John AND Data Volume > 100 Muestra los eventos del usuario John en los que el volumen de datos es superior a 100 GB.
* Busca valores que coincidan con el carácter cero o más veces. User-Name = John* Muestra los eventos de todos los nombres de usuario que empiezan por John.
    User-Name = *John* Muestra los eventos de todos los nombres de usuario que contienen John.
    User-Name = *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
!~ Comprueba los eventos de usuario para el patrón coincidente que especifique. Este operador NOT LIKE devuelve los eventos que no contienen el patrón coincidente en ninguna parte de la cadena de eventos. User-Name !~ John Muestra los eventos de los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.
!= Comprueba los eventos de usuario de la cadena exacta que especifique. Este operador NOT EQUAL devuelve los eventos que no contienen la cadena exacta en ninguna parte de la cadena de eventos. Country != USA Muestra los eventos de los países excepto EE. UU.
IN Asigna varios valores a una dimensión para obtener los eventos relacionados con uno o varios valores. User-Name IN (John, Kevin) Encuentra todos los eventos relacionados con John o Kevin.
NOT IN Asigna varios valores a una dimensión y busca los eventos que no contienen los valores especificados. User-Name NOT IN (John, Kevin) Encuentra los eventos para todos los usuarios excepto John y Kevin.
IS EMPTY Comprueba si hay un valor nulo o un valor vacío para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS EMPTY Busca eventos en los que el nombre del país no está disponible o está vacío (no especificado).
IS NOT EMPTY Comprueba si hay un valor no nulo o un valor específico para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS NOT EMPTY Busca eventos en los que el nombre del país esté disponible o especificado.

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de su condición, utilice los valores exactos disponibles en la página de búsqueda de autoservicio de un origen de datos. Los valores de cota distinguen entre mayúsculas y minúsculas

Modificación de un indicador de riesgo personalizado

  1. Vaya a Seguridad > Indicadores de riesgo personalizados.

  2. Seleccione el indicador de riesgo personalizado que quiere modificar.

  3. En la página Modificar indicador, modifique la información según sea necesario.

  4. Haga clic en Guardar cambios.

Nota

Si modifica los atributos como condición, categoría de riesgo, gravedad y nombre de un indicador de riesgo personalizado existente, en el cronograma del usuario, podrá ver las apariciones anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

Por ejemplo, ha creado un indicador de riesgo personalizado con la condición País. = India. Por lo tanto, este indicador de riesgo personalizado se activa cuando un usuario inicia sesión desde fuera del país India. Ahora, modifica la condición del indicador de riesgo personalizado a País. = “Estados Unidos”. En este caso, puede seguir viendo las apariciones anteriores del indicador de riesgo personalizado con la condición País. = India en los plazos de los usuarios que activaron el indicador de riesgo.

Eliminación de un indicador de riesgo personalizado

  1. Vaya a Seguridad > Indicadores de riesgo personalizados.

  2. Seleccione el indicador de riesgo personalizado que quiere eliminar.

  3. Haga clic en Eliminar.

  4. En el cuadro de diálogo, confirma su solicitud para eliminar el indicador de riesgo personalizado.

Nota

Si elimina un indicador de riesgo personalizado, en el cronograma del usuario, podrá seguir viendo las apariciones anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Por ejemplo, elimina un indicador de riesgo personalizado existente con la condición País. = India. En este caso, puede seguir viendo las apariciones anteriores del indicador de riesgo personalizado con la condición País. = India en los plazos de los usuarios que activaron el indicador de riesgo.

Ejemplos de indicadores de riesgo personalizados

En los ejemplos siguientes se ilustra cómo crear indicadores de riesgo personalizados para el origen de datos de Citrix Gateway. Para obtener información sobre las dimensiones (facetas) y los operadores disponibles para la fuente de datos de Gateway, consulte Búsqueda de autoservicio de Gateway.

Indicadores de riesgo personalizados de gateway

  • Indicador de riesgo personalizado de credenciales no válidas: Puede crear el indicador de riesgo personalizado definiendo las siguientes condiciones:

    • Evento: Los usuarios introducen credenciales no válidas o incorrectas.

    • Frecuencia de eventos: Los eventos ocurren tres veces al día.

    Condiciones definidas de credenciales no válidas

    Cuando se cumplen las condiciones especificadas, Analytics activa el indicador de riesgo personalizado y se puede ver el indicador de riesgo en el cronograma de riesgo del usuario.

    Indicador de riesgo personalizado de credenciales no válidas

    Haga clic en Búsqueda de eventos en el indicador de riesgo personalizado para ver los detalles del evento en la página de búsqueda de autoservicio.

    Búsqueda de credenciales no válida

  • Indicador de riesgo personalizado de usuario de puerta de enlace no encontrado: Puede crear el indicador de riesgo personalizado definiendo las siguientes condiciones:

    • Evento: Un usuario intenta iniciar sesión en Citrix Gateway con un nombre de usuario no registrado.

    • Frecuencia de eventos: Los eventos ocurren tres veces al día y este patrón se repite al menos dos veces.

    Condiciones definidas de credenciales no registradas

    Cuando se cumplen las condiciones especificadas, Analytics activa el indicador de riesgo personalizado y se puede ver el indicador de riesgo en el cronograma de riesgo del usuario.

    Indicador de riesgo personalizado de credenciales no registradas

    Haga clic en Búsqueda de eventos en el indicador de riesgo personalizado para ver los detalles del evento en la página de búsqueda de autoservicio.

    Búsqueda de credenciales no registradas