Citrix Analytics for Security

Indicadores de riesgo personalizados

Hay dos tipos de indicadores de riesgo que se ven en Citrix Analytics for Security:

  • Indicadores de riesgo predeterminados: Estos indicadores de riesgo se basan en el algoritmo de aprendizaje automático. Para obtener más información, consulte Indicadores de riesgo de usuarios de Citrix.

  • Indicadores de riesgo personalizados: estos indicadores de riesgo los crean manualmente los administradores.

Cuando crea un indicador de riesgo personalizado, puede definir las condiciones desencadenantes y los parámetros en función de sus casos de uso. Si los eventos del usuario coinciden con los criterios definidos, Citrix Analytics activa el indicador de riesgo personalizado y lo muestra en el cronograma de riesgo del usuario.

Cree indicadores de riesgo personalizados para estos orígenes de datos:

  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops local
  • Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service)
  • Citrix Secure Browser

Indicadores de riesgo personalizados preconfigurados

Citrix también proporciona algunos indicadores de riesgo personalizados con condiciones preconfiguradas para ayudarle a supervisar la seguridad de su infraestructura de Citrix. Puede modificar las condiciones preconfiguradas en función de sus casos de uso. Para obtener más información, consulte Indicadores de riesgo personalizados preconfigurados.

Página de indicadores de riesgo personalizados

La página Indicadores de riesgo personalizados proporciona información sobre todos los indicadores de riesgo personalizados generados para un usuario, gravedad, origen de datos, número de directivas, categoría de riesgo, estado y la fecha y hora de la última modificación del indicador. Para crear un indicador de riesgo personalizado, consulte Creación de un indicador de riesgo personalizado.

Indicadores personalizados

Al seleccionar el indicador de riesgo, se le redirigirá a la página Modificar indicador de riesgo. Para obtener más información, consulte Modificación de un indicador de riesgo personalizado.

Análisis de un indicador de riesgo personalizado

Piense en un usuario cuya acción ha desencadenado un indicador de riesgo personalizado que ha definido. Citrix Analytics muestra el indicador de riesgo personalizado en el cronograma de riesgos del usuario.

Al seleccionar el indicador de riesgo personalizado en el cronograma de riesgos del usuario, el panel derecho muestra la siguiente información:

  • Condición (s) definida (s): muestra un resumen de las condiciones que define al crear un indicador de riesgo personalizado.

  • Descripción: proporciona un resumen de la descripción que proporciona al crear el indicador de riesgo personalizado. Si no se proporciona ninguna descripción al crear el indicador de riesgo personalizado, esta sección refleja Ninguno.

  • Frecuencia de disparo: Muestra la opción seleccionada en la sección Opciones avanzadasal crear el indicador de riesgo personalizado.

  • Detalles del evento: muestra el cronograma y los detalles de los eventos de usuario que han desencadenado el indicador de riesgo personalizado. Puede hacer clic en Búsqueda de eventos para ver los eventos de usuario en la página de búsqueda de autoservicio. La página de búsqueda de autoservicio muestra los eventos asociados al usuario y el indicador de riesgo personalizado. La consulta de búsqueda muestra las condiciones definidas para el indicador de riesgo personalizado.

Indicadores personalizados

Nota

Los indicadores de riesgo personalizados se representan con una etiqueta en el cronograma de riesgo del usuario.

Acciones que puede aplicar al usuario

Cuando se activa un indicador de riesgo personalizado para un usuario, puede aplicar una acción manualmente o crear una directiva para aplicar una acción automáticamente. Para obtener más información, consulte Directivas y acciones.

Plantillas de indicadores de riesgo personalizadas

Puede crear un indicador de riesgo personalizado mediante el uso de una de las plantillas predefinidas o continuar sin usar una plantilla.

Las plantillas actúan como punto de partida para crear un indicador de riesgo personalizado. Le guía para crear un indicador de riesgo personalizado al proporcionar consultas y parámetros predefinidos que puede seleccionar en función de sus casos de uso.

Puede utilizar una plantilla tal cual o modificarla para que cumpla con sus requisitos. Con las plantillas, los administradores pueden crear indicadores de riesgo de interés sin formación adicional.

Una plantilla se compone de la siguiente información:

  • Descripción: indica el propósito de la consulta definida en la plantilla.

  • Fuente de datos: indica la fuente de datos a la que se aplica la plantilla.

  • Categoría de riesgo: indica la categoría de riesgo asociada a los eventos buscados por la consulta. Hay cuatro categorías de eventos de riesgo: exfiltración de datos, amenazas internas, usuarios comprometidos y puntos finales de compromiso. Para obtener información, consulte las categorías de riesgo.

  • Frecuencia: indica la frecuencia con la que se activa la consulta.

  • Gravedad: indica la gravedad del riesgo asociado con el evento. El riesgo puede ser alto, medio o bajo.

  • Creado por: indica el creador de la plantilla. Las plantillas siempre están definidas por el sistema.

  • Consulta: indica las condiciones definidas en la plantilla. La consulta recupera los eventos del usuario que cumplen las condiciones.

La siguiente imagen muestra la plantilla para el uso del portapapeles de casos de uso en aplicaciones SaaS.

Plantilla uso del portapapeles

Si no encuentra una plantilla para su caso de uso o si desea definir su propia consulta, puede continuar sin una plantilla.

Creación de un indicador de riesgo personalizado

Para crear un indicador de riesgo personalizado:

  1. Vaya a Seguridad > Indicadores de riesgo personalizados > Crear indicador.

    Crear un indicador de riesgo personalizado

  2. Seleccione una plantilla para ver el caso de uso. Si cumple con sus requisitos, seleccione Aplicar plantilla al indicador.

    Nota

    También puede modificar las condiciones predefinidas y los parámetros de una plantilla.

    Seleccionar plantilla

  3. Si no encuentra la plantilla deseada o quiere crear su propia condición, seleccione Continuar sin plantilla.

    Seleccionar sin plantilla

  4. Siga las instrucciones que aparecen en pantalla para crear un indicador.

Notas

  • Puede crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanza este límite máximo, debe eliminar o modificar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

  • Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la línea de tiempo del usuario. Sin embargo, el resumen de riesgos y la puntuación de riesgo del usuario se actualizan al cabo de unos minutos (aproximadamente 15-20 minutos).

Definición de una condición para un indicador de riesgo personalizado

Use el cuadro de consulta para definir sus condiciones para el indicador de riesgo personalizado. Según la fuente de datos seleccionada, obtendrá las dimensiones correspondientes y los operadores válidos para definir sus condiciones.

Al seleccionar determinadas dimensiones, como Event-Type y Clipboard-Operation junto con un operador válido, los valores de la dimensión se muestran automáticamente. Puede elegir un valor de las opciones sugeridas o introducir un valor nuevo según sus requisitos.

La siguiente imagen muestra los valores sugeridos de la dimensión Event-Type.

Ejemplo de consulta

Si usa una plantilla, la condición está predefinida. Sin embargo, puede agregar o modificar la condición predefinida en función de su caso de uso.

Debajo del cuadro de consulta, verá el enlace Desencadenadores estimados. Haga clic en el enlace para predecir las instancias aproximadas del indicador de riesgo personalizado que se activarían para las condiciones definidas. Estas instancias se calculan en función de los datos históricos que Citrix Analytics mantiene y cumplen las condiciones definidas.

Asegúrese de hacer clic en Desencadenadores estimados para predecir el número de ocurrencias de indicadores de riesgo personalizados para la última condición definida.

Uso de las opciones avanzadas

En la sección Opciones avanzadas, seleccione la frecuencia del evento para activar el indicador de riesgo personalizado. Cuando no selecciona ninguna opción, Citrix Analytics considera Cada vez: Generar el indicador de riesgo cada vez que se producen los eventos como opción predeterminada y genera el indicador de riesgo personalizado. Se pueden seleccionar una de las siguientes opciones:

  • Cada vez: El indicador de riesgo se activa siempre que los eventos cumplan las condiciones definidas.

  • Primera vez: El indicador de riesgo se activa cuando los eventos cumplen las condiciones definidas por primera vez.

    • Primera vez para una nueva: habilite esta opción para detectar los eventos recibidos de una nueva entidad por primera vez. Algunos ejemplos de las entidades son IP del cliente, país, ciudad e ID de dispositivo. Solo puede seleccionar una entidad en función de la fuente de datos. Esta opción permite crear un indicador de riesgo sin especificar un valor explícito para las entidades. Por ejemplo, al seleccionar la entidad como “Ciudad”, no es necesario especificar el nombre de la ciudad. El indicador de riesgo se activa cuando se reciben eventos de una nueva ciudad por primera vez.

      En la tabla siguiente se enumeran las entidades correspondientes a cada origen de datos y se describen las condiciones del desencadenador.

      Origen de datos Entidad Condición de activación
      Secure Private Access City Cuando un usuario inicia sesión desde una nueva ciudad por primera vez.
        Client-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
        País Cuando un usuario inicia sesión desde un nuevo país por primera vez.
      Aplicaciones y escritorios Nombre de la aplicación Cuando un usuario abre una nueva aplicación virtual o una aplicación SaaS por primera vez.
        URL de la aplicación Cuando un usuario introduce una nueva URL de aplicación en un explorador de su escritorio virtual por primera vez.
        City Cuando un usuario inicia aplicaciones o escritorios desde una nueva ciudad por primera vez.
        Client-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
        País Cuando un usuario inicia aplicaciones o escritorios desde un nuevo país por primera vez.
        Device-ID Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde un dispositivo nuevo, como un dispositivo móvil, portátil o de escritorio, por primera vez.
        Download-Device-Type Cuando un usuario utiliza por primera vez un nuevo medio de almacenamiento, como una unidad USB.
        Formato de archivo de impresión Formato del archivo impreso.
        Print-File-Size Tamaño del archivo impreso en bytes.
        Print-File-Name Nombre del archivo impreso.
        Printer-Name Nombre de la impresora utilizada.
        Total-Copies-Printed Número total de copias impresas por el usuario.
        Total-Pages-Printed Número total de páginas del documento impresas por el usuario.
      Gateway Client-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
      Secure Browser User-Name El nombre del usuario que inició el evento.
        Acceso permitido Si se permite o deniega al usuario el acceso al servicio host.
        Client-IP Dirección IP del dispositivo del usuario.
        Nombre de host al que se ha accedido El servicio host al que accede el usuario a través de la red.
        ID de sesión El número único asignado a la sesión de usuario.

      En el siguiente ejemplo, se muestra un indicador de riesgo personalizado creado para la fuente de datos de Apps and Desktops. El indicador de riesgo se activa cuando un usuario inicia un escritorio virtual o una aplicación virtual desde un dispositivo nuevo por primera vez.

      ID de dispositivo por primera vez

      También puede agregar una condición junto con la primera vez para una nueva opción. En este caso, el indicador de riesgo se activa cuando detecta los eventos de la nueva entidad por primera vez y cuando los eventos cumplen la condición definida.

      En el siguiente ejemplo se muestra una condición definida para el indicador de riesgo personalizado y la opción Primera vez para un nuevo ID de dispositivo habilitada. El indicador de riesgo se activa cuando un usuario ubicado en la India inicia una sesión de escritorio virtual desde un nuevo dispositivo por primera vez.

      Primera vez con afección

  • Excesivo: El indicador de riesgo se activa cuando se cumplen las siguientes condiciones:

    • Los eventos cumplen las condiciones definidas.

    • Los eventos se producen un número determinado de veces durante el período especificado.

  • Frecuentes: El indicador de riesgo se activa cuando se cumplen las siguientes condiciones:

    • Los eventos cumplen las condiciones definidas.

    • Los eventos se producen durante el número de veces especificado durante el período especificado.

    • El patrón de eventos se repite el número de veces especificado.

Selección de la categoría de riesgo

Seleccione la categoría de riesgo para su indicador de riesgo personalizado.

Los indicadores de riesgo se agrupan según el tipo de exposición al riesgo del indicador de riesgo personalizado. Para obtener ayuda sobre la selección de categorías de riesgo, consulte Categorías de riesgo.

Selección de la gravedad

La gravedad indica el nivel de gravedad de un evento de riesgo, que se detecta mediante el indicador de riesgo. Cuando cree un indicador de riesgo personalizado, seleccione un nivel de gravedad alto, medio o bajo.

Si aplica una plantilla, se preselecciona la opción de gravedad. Puede modificar esta preselección en función de su caso de uso.

Operadores compatibles para definir una condición

Puede utilizar los siguientes operadores al definir una condición.

Operador Descripción Ejemplo Resultado
Asigna un valor a la consulta de búsqueda. User-Name: John Muestra los eventos del usuario John.
= Asigna un valor a la consulta de búsqueda. User-Name = John Muestra los eventos del usuario John.
~ Busca valores similares. User-Name ~ test Muestra los eventos con nombres de usuario similares.
”” Encierra valores separados por espacios. User-Name = “John Smith” Muestra los eventos del usuario John Smith.
<, > Búsqueda de valor relacional. Volumen de datos > 100 Muestra los eventos en los que el volumen de datos es superior a 100 GB.
AND Busca valores en los que se cumplan ambas condiciones. User-Name: John AND Data Volume > 100 Muestra los eventos del usuario John en los que el volumen de datos es superior a 100 GB.
* Busca valores que coincidan con el carácter cero o más veces. User-Name = John* Muestra los eventos de todos los nombres de usuario que empiezan por John.
    User-Name = John Muestra los eventos de todos los nombres de usuario que contienen John.
    User-Name = *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
!~ Comprueba los eventos de usuario para el patrón coincidente que especifique. Este operador NOT LIKE devuelve los eventos que no contienen el patrón coincidente en ninguna parte de la cadena de eventos. User-Name !~ John Muestra los eventos de los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.
!= Comprueba los eventos de usuario de la cadena exacta que especifique. Este operador NOT EQUAL devuelve los eventos que no contienen la cadena exacta en ninguna parte de la cadena de eventos. Country != USA Muestra los eventos de los países excepto EE. UU.
IN Asigna varios valores a una dimensión para obtener los eventos relacionados con uno o varios valores. User-Name IN (John, Kevin) Busca todos los eventos relacionados con John o Kevin.
NOT IN Asigna varios valores a una dimensión y busca los eventos que no contienen los valores especificados. User-Name NOT IN (John, Kevin) Busca los eventos para todos los usuarios excepto John y Kevin.
IS EMPTY Comprueba si hay un valor nulo o un valor vacío para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS EMPTY Busca eventos en los que el nombre del país no está disponible o está vacío (no especificado).
IS NOT EMPTY Comprueba si hay un valor no nulo o un valor específico para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS NOT EMPTY Busca eventos en los que el nombre del país esté disponible o especificado.
O BIEN Busca valores en los que una o ambas condiciones son verdaderas. (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” Muestra eventos de Session.Logon para todos los nombres de usuario que comienzan por John o terminan por Smith.

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de su condición, utilice los valores exactos disponibles en la página de búsqueda de autoservicio de un origen de datos. Los valores de cota distinguen entre mayúsculas y minúsculas

Modificación de un indicador de riesgo personalizado

  1. Vaya a Seguridad > Indicadores de riesgo personalizados.

  2. Seleccione el indicador de riesgo personalizado que quiere modificar.

  3. En la página Modificar indicador, modifique la información según sea necesario.

  4. Haga clic en Guardar cambios.

Nota

Si modifica los atributos como condición, categoría de riesgo, gravedad y nombre de un indicador de riesgo personalizado existente, en el cronograma del usuario, podrá ver las apariciones anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

Por ejemplo, ha creado un indicador de riesgo personalizado con la condición País. = India. Por lo tanto, este indicador de riesgo personalizado se activa cuando un usuario inicia sesión desde fuera del país India. Ahora, modifica la condición del indicador de riesgo personalizado a País. = “Estados Unidos”. En este caso, puede seguir viendo las apariciones anteriores del indicador de riesgo personalizado con la condición País. = India en los plazos de los usuarios que activaron el indicador de riesgo.

Eliminación de un indicador de riesgo personalizado

  1. Vaya a Seguridad > Indicadores de riesgo personalizados.

  2. Seleccione el indicador de riesgo personalizado que quiere eliminar.

  3. Haga clic en Eliminar.

  4. En el cuadro de diálogo, confirma su solicitud para eliminar el indicador de riesgo personalizado.

Nota

Si elimina un indicador de riesgo personalizado, en el cronograma del usuario, podrá seguir viendo las apariciones anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Por ejemplo, elimina un indicador de riesgo personalizado existente con la condición País. = India. En este caso, puede seguir viendo las apariciones anteriores del indicador de riesgo personalizado con la condición País. = India en los plazos de los usuarios que activaron el indicador de riesgo.