Documentación de productos
Citrix Analytics for Security™
Ver PDF

Indicadores de riesgo personalizados

September 16, 2025
Contribución de: 
C C

Hay dos tipos de indicadores de riesgo que verás en Citrix Analytics for Security™:

  • Indicadores de riesgo predeterminados: Estos indicadores de riesgo se basan en el algoritmo de aprendizaje automático. Para obtener más información, consulta Indicadores de riesgo de usuario de Citrix.

  • Indicadores de riesgo personalizados: Estos indicadores de riesgo los crean manualmente los administradores.

Cuando creas un indicador de riesgo personalizado, puedes definir las condiciones de activación y los parámetros según tus casos de uso. Si los eventos del usuario coinciden con los criterios definidos, Citrix Analytics activa el indicador de riesgo personalizado y lo muestra en la cronología de riesgo del usuario.

Crea indicadores de riesgo personalizados para las siguientes fuentes de datos:

  • Citrix Gateway
  • Citrix Secure Private Access™
  • Citrix Virtual Apps and Desktops™ local
  • Citrix DaaS (anteriormente, servicio Citrix Virtual Apps™ and Desktops)
  • Citrix Secure Browser

Indicadores de riesgo personalizados preconfigurados

Citrix también ofrece algunos indicadores de riesgo personalizados con condiciones preconfiguradas para ayudarte a supervisar la seguridad de tu infraestructura de Citrix. Puedes modificar las condiciones preconfiguradas según tus casos de uso. Para obtener más información, consulta Indicadores de riesgo personalizados preconfigurados.

Página de indicadores de riesgo personalizados

La página Indicadores de riesgo personalizados ofrece información sobre todos los indicadores de riesgo personalizados generados para un usuario, la gravedad, la fuente de datos, el número de directivas, la categoría de riesgo, el estado y la fecha y hora de la última modificación del indicador. Para crear un indicador de riesgo personalizado, consulta Crear un indicador de riesgo personalizado.

Indicadores personalizados

Cuando seleccionas el indicador de riesgo, se te redirige a la página Modificar indicador de riesgo. Para obtener más información, consulta Modificar un indicador de riesgo personalizado.

Analizar un indicador de riesgo personalizado

Considera un usuario cuya acción activó un indicador de riesgo personalizado que has definido. Citrix Analytics muestra el indicador de riesgo personalizado en la cronología de riesgo del usuario.

Cuando seleccionas el indicador de riesgo personalizado en la cronología de riesgo del usuario, el panel derecho muestra la siguiente información:

  • Condición(es) definida(s): Muestra un resumen de las condiciones que defines al crear un indicador de riesgo personalizado.

  • Descripción: Proporciona un resumen de la descripción que proporcionas al crear el indicador de riesgo personalizado. Si no se proporciona ninguna descripción al crear el indicador de riesgo personalizado, esta sección muestra Ninguno.

  • Frecuencia de activación: Muestra la opción que seleccionas en la sección Opciones avanzadas al crear el indicador de riesgo personalizado.

  • Detalles del evento: Muestra la cronología y los detalles de los eventos del usuario que activaron el indicador de riesgo personalizado. Puedes hacer clic en Búsqueda de eventos para ver los eventos del usuario en la página de búsqueda de autoservicio. La página de búsqueda de autoservicio muestra los eventos asociados con el usuario y el indicador de riesgo personalizado. La consulta de búsqueda muestra las condiciones definidas para el indicador de riesgo personalizado.

Indicadores personalizados

Nota

Los indicadores de riesgo personalizados se representan con una etiqueta en la cronología de riesgo del usuario.

Acciones que puedes aplicar al usuario

Cuando se activa un indicador de riesgo personalizado para un usuario, puedes aplicar una acción manualmente o crear una directiva para aplicar una acción automáticamente. Para obtener más información, consulta Directivas y acciones.

Plantillas de indicadores de riesgo personalizados

Puedes crear un indicador de riesgo personalizado usando una de las plantillas predefinidas o continuar sin usar una plantilla.

Las plantillas sirven como punto de partida para crear un indicador de riesgo personalizado. Te guían para crear un indicador de riesgo personalizado al proporcionar consultas y parámetros predefinidos que puedes seleccionar según tus casos de uso.

Puedes usar una plantilla tal cual o modificarla para satisfacer tus requisitos. Usando las plantillas, los administradores pueden crear indicadores de riesgo de interés sin necesidad de formación adicional.

Una plantilla consta de la siguiente información:

  • Descripción: Indica el propósito de la consulta definida en la plantilla.

  • Fuente de datos: Indica la fuente de datos a la que se aplica la plantilla.

  • Categoría de riesgo: Indica la categoría de riesgo asociada con los eventos buscados por la consulta. Hay cuatro categorías de eventos de riesgo: Exfiltración de datos, Amenazas internas, Usuarios comprometidos y Puntos finales comprometidos. Para obtener información, consulta Categorías de riesgo.

  • Frecuencia: Indica la frecuencia con la que se activa la consulta.

  • Gravedad: Indica la gravedad del riesgo asociado con el evento. El riesgo puede ser alto, medio o bajo.

  • Creado por: Indica el creador de la plantilla. Las plantillas siempre están definidas por el sistema.

  • Consulta: Indica las condiciones definidas en la plantilla. La consulta recupera los eventos del usuario que satisfacen las condiciones.

La siguiente imagen muestra la plantilla para el caso de uso: uso del portapapeles en aplicaciones SaaS.

Plantilla de uso del portapapeles

Si no encuentras una plantilla para tu caso de uso o quieres definir tu propia consulta, puedes continuar sin una plantilla.

Crear un indicador de riesgo personalizado

Para crear un indicador de riesgo personalizado:

  1. Ve a Seguridad > Indicadores de riesgo personalizados > Crear indicador.

    Crear indicador de riesgo personalizado

  2. Selecciona una plantilla para ver el caso de uso. Si cumple tus requisitos, selecciona Aplicar plantilla al indicador.

    Nota

    También puedes modificar las condiciones y los parámetros predefinidos de una plantilla.

    Seleccionar plantilla

  3. Si no encuentras la plantilla deseada o quieres crear tu propia condición, selecciona Continuar sin una plantilla.

    Seleccionar sin plantilla

  4. Sigue las instrucciones en pantalla para crear un indicador.

Notas

  • Puedes crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanzas este límite máximo, debes eliminar o modificar cualquier indicador de riesgo personalizado existente para crear uno nuevo.

  • Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la cronología del usuario. Sin embargo, el resumen de riesgo y la puntuación de riesgo del usuario se actualizan después de unos minutos (aproximadamente 15-20 minutos).

Definir una condición para un indicador de riesgo personalizado

Usa el cuadro de consulta para definir tus condiciones para el indicador de riesgo personalizado. Según la fuente de datos seleccionada, obtendrás las dimensiones correspondientes y los operadores válidos para definir tus condiciones.

Al seleccionar ciertas dimensiones como Event-Type y Clipboard-Operation junto con un operador válido, los valores de la dimensión se muestran automáticamente. Puedes elegir un valor de las opciones sugeridas o introducir un nuevo valor según tus requisitos.

La siguiente imagen muestra los valores sugeridos de la dimensión Event-Type.

Ejemplo de consulta

Si usas una plantilla, la condición está predefinida. Sin embargo, puedes agregar o modificar la condición predefinida según tu caso de uso.

Debajo del cuadro de consulta, verás el enlace Activaciones estimadas. Haz clic en el enlace para predecir las instancias aproximadas del indicador de riesgo personalizado que se activarían para las condiciones definidas. Estas instancias se calculan en función de los datos históricos que Citrix Analytics mantiene y que cumplen las condiciones definidas.

Asegúrate de hacer clic en Activaciones estimadas para predecir el número de ocurrencias del indicador de riesgo personalizado para la última condición definida.

Usar las opciones avanzadas

En la sección Opciones avanzadas, selecciona la frecuencia del evento para activar el indicador de riesgo personalizado. Si no seleccionas ninguna opción, Citrix Analytics considera Cada vez: Generar el indicador de riesgo cada vez que ocurra(n) el/los evento(s) como la opción predeterminada y genera el indicador de riesgo personalizado. Puedes seleccionar una de las siguientes opciones:

  • Cada vez: El indicador de riesgo se activa cada vez que los eventos cumplen las condiciones definidas.

  • Primera vez: El indicador de riesgo se activa cuando los eventos cumplen las condiciones definidas por primera vez.

    • Primera vez para una nueva: Habilita esta opción para detectar eventos recibidos de una nueva entidad por primera vez. Algunos ejemplos de entidades son IP de cliente, País, Ciudad e ID de dispositivo. Puedes seleccionar solo una entidad según la fuente de datos. Esta opción te permite crear un indicador de riesgo sin especificar un valor explícito para las entidades. Por ejemplo, cuando seleccionas la entidad como “Ciudad”, no necesitas especificar el nombre de la ciudad. El indicador de riesgo se activa cuando se reciben eventos de una nueva ciudad por primera vez.

      La siguiente tabla enumera las entidades correspondientes a cada fuente de datos y describe las condiciones de activación.

      Fuente de datos Entidad Condición de activación
      Secure Private Access Ciudad Cuando un usuario inicia sesión desde una ciudad nueva por primera vez.
        IP de cliente Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
        País Cuando un usuario inicia sesión desde un país nuevo por primera vez.
      Apps and Desktops Nombre de aplicación Cuando un usuario abre una nueva aplicación virtual o una aplicación SaaS por primera vez.
        URL de aplicación Cuando un usuario introduce una nueva URL de aplicación en un navegador de su escritorio virtual por primera vez.
        Ciudad Cuando un usuario inicia aplicaciones o escritorios desde una ciudad nueva por primera vez.
        IP de cliente Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
        País Cuando un usuario inicia aplicaciones o escritorios desde un país nuevo por primera vez.
        ID de dispositivo Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde un dispositivo nuevo, como un móvil, un portátil o un equipo de escritorio, por primera vez.
        Tipo de dispositivo de descarga Cuando un usuario utiliza un nuevo medio de almacenamiento, como una unidad USB, por primera vez.
        Formato de archivo de impresión Formato del archivo impreso.
        Tamaño de archivo de impresión Tamaño del archivo impreso en bytes.
        Nombre de archivo de impresión Nombre del archivo impreso.
        Nombre de impresora Nombre de la impresora utilizada.
        Copias totales impresas Número total de copias impresas por el usuario.
        Páginas totales impresas Número total de páginas del documento impresas por el usuario.
      Gateway IP de cliente Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
      Secure Browser Nombre de usuario El nombre del usuario que inició el evento.
        Acceso permitido Si se permite o se deniega el acceso del usuario al servicio de host.
        IP de cliente La dirección IP del dispositivo del usuario.
        Nombre de host al que se accedió El servicio de host al que accedió el usuario a través de la red.
        ID de sesión El número único asignado a la sesión del usuario.

      El siguiente ejemplo muestra un indicador de riesgo personalizado creado para la fuente de datos de Apps and Desktops. El indicador de riesgo se activa cuando un usuario inicia un escritorio virtual o una aplicación virtual desde un dispositivo nuevo por primera vez.

      ID de dispositivo por primera vez

      También puedes agregar una condición junto con la opción Primera vez para una nueva. En este caso, el indicador de riesgo se activa cuando detecta los eventos de la nueva entidad por primera vez y cuando los eventos cumplen la condición definida.

      El siguiente ejemplo muestra una condición definida para el indicador de riesgo personalizado y la opción Primera vez para un nuevo ID de dispositivo habilitada. El indicador de riesgo se activa cuando un usuario ubicado en la India inicia una sesión de escritorio virtual desde un dispositivo nuevo por primera vez.

      Primera vez con condición

  • Excesivo: El indicador de riesgo se activa después de que se cumplan las siguientes condiciones:

    • Los eventos cumplen las condiciones definidas.

    • Los eventos ocurren un número específico de veces durante el período especificado.

  • Frecuente: El indicador de riesgo se activa después de que se cumplan las siguientes condiciones:

    • Los eventos cumplen las condiciones definidas.

    • Los eventos ocurren un número específico de veces durante el período especificado.

    • El patrón de eventos se repite un número específico de veces.

Seleccionar la categoría de riesgo

Selecciona la categoría de riesgo para tu indicador de riesgo personalizado.

Los indicadores de riesgo se agrupan según el tipo de exposición al riesgo del indicador de riesgo personalizado. Para obtener ayuda sobre la selección de la categoría de riesgo, consulta Categorías de riesgo.

Seleccionar la gravedad

La gravedad indica el nivel de seriedad de un evento de riesgo, que es detectado por el indicador de riesgo. Cuando creas un indicador de riesgo personalizado, selecciona una gravedad: alta, media o baja.

Si aplicas una plantilla, la opción de gravedad está preseleccionada. Puedes modificar esta preselección según tu caso de uso.

Operadores admitidos para definir una condición

Puedes usar los siguientes operadores al definir una condición.

Operador Descripción Ejemplo Salida
Asigna un valor a la consulta de búsqueda. User-Name : John Muestra los eventos del usuario John.
= Asigna un valor a la consulta de búsqueda. User-Name = John Muestra los eventos del usuario John.
~ Busca valores similares. User-Name ~ test Muestra eventos con nombres de usuario similares.
”” Encierra los valores separados por espacios. User-Name = “John Smith” Muestra los eventos del usuario John Smith.
<, > Busca un valor relacional. Data Volume > 100 Muestra los eventos en los que el volumen de datos es superior a 100 GB.
AND Busca valores en los que ambas condiciones son verdaderas. User-Name : John AND Data Volume > 100 Muestra los eventos del usuario John en los que el volumen de datos es superior a 100 GB.
* Busca valores que coincidan con el carácter cero o más veces. User-Name = John* Muestra los eventos de todos los nombres de usuario que comienzan por John.
    User-Name = John Muestra los eventos de todos los nombres de usuario que contienen John.
    User-Name = *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
!~ Comprueba los eventos del usuario para el patrón coincidente que especificas. Este operador NOT LIKE devuelve los eventos que no contienen el patrón coincidente en ninguna parte de la cadena de eventos. User-Name !~ John Muestra los eventos de los usuarios, excepto John, John Smith o cualquier usuario que contenga el nombre coincidente “John”.
!= Comprueba los eventos del usuario para la cadena exacta que especificas. Este operador NOT EQUAL devuelve los eventos que no contienen la cadena exacta en ninguna parte de la cadena de eventos. Country != USA Muestra los eventos de todos los países, excepto EE. UU.
IN Asigna varios valores a una dimensión para obtener los eventos relacionados con uno o más valores. User-Name IN (John, Kevin) Busca todos los eventos relacionados con John o Kevin.
NOT IN Asigna varios valores a una dimensión y busca los eventos que no contienen los valores especificados. User-Name NOT IN (John, Kevin) Busca los eventos de todos los usuarios, excepto John y Kevin.
IS EMPTY Comprueba si hay un valor nulo o vacío para una dimensión. Este operador funciona solo para dimensiones de tipo cadena, como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número), como Upload-File-Size, Download-File-Size y Client-IP. Country IS EMPTY Busca eventos en los que el nombre del país no está disponible o está vacío (no especificado).
IS NOT EMPTY Comprueba si hay un valor no nulo o un valor específico para una dimensión. Este operador funciona solo para dimensiones de tipo cadena, como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número), como Upload-File-Size, Download-File-Size y Client-IP. Country IS NOT EMPTY Busca eventos en los que el nombre del país está disponible o especificado.
OR Busca valores en los que una o ambas condiciones son verdaderas. (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” Muestra los eventos Session.Logon de todos los nombres de usuario que comienzan por John o terminan en Smith.

Nota

Para el operador NO ES IGUAL A, al introducir los valores de las dimensiones en tu condición, usa los valores exactos disponibles en la página de búsqueda de autoservicio para una fuente de datos. Los valores de las dimensiones distinguen entre mayúsculas y minúsculas.

Modificar un indicador de riesgo personalizado

  1. Ve a Seguridad > Indicadores de riesgo personalizados.

  2. Selecciona el indicador de riesgo personalizado que quieres modificar.

  3. En la página Modificar indicador, modifica la información según sea necesario.

  4. Haz clic en Guardar cambios.

Nota

Si modificas atributos como la condición, la categoría de riesgo, la gravedad y el nombre de un indicador de riesgo personalizado existente, en la cronología del usuario, aún podrás ver las ocurrencias anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

Por ejemplo, has creado un indicador de riesgo personalizado con la condición País != India. Por lo tanto, este indicador de riesgo personalizado se activa cuando un usuario inicia sesión desde fuera de la India. Ahora, modificas la condición del indicador de riesgo personalizado a País != “Estados Unidos”. En este caso, aún podrás ver las ocurrencias anteriores del indicador de riesgo personalizado con la condición País != India en las cronologías de los usuarios que activaron el indicador de riesgo.

Eliminar un indicador de riesgo personalizado

  1. Ve a Seguridad > Indicadores de riesgo personalizados.

  2. Selecciona el indicador de riesgo personalizado que quieres eliminar.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo, confirma tu solicitud para eliminar el indicador de riesgo personalizado.

Nota

Si eliminas un indicador de riesgo personalizado, en la cronología del usuario, aún podrás ver las ocurrencias anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Por ejemplo, eliminas un indicador de riesgo personalizado existente con la condición País != India. En este caso, aún podrás ver las ocurrencias anteriores del indicador de riesgo personalizado con la condición País != India en las cronologías de los usuarios que activaron el indicador de riesgo.

Indicadores de riesgo personalizados
September 16, 2025
Contribución de: 
C C
September 16, 2025
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.