Citrix Analytics para seguridad

Indicadores de riesgo personalizados

Los indicadores de riesgo de usuario que Citrix Analytics detecta de forma predeterminada se basan en algoritmos de aprendizaje automático. Citrix Analytics ahora le permite crear indicadores de riesgo personalizados. Puede definir condiciones basadas en los eventos de usuario y crear un indicador de riesgo personalizado. Si los eventos coinciden con los criterios definidos, Citrix Analytics activa el indicador de riesgo personalizado y lo muestra en la línea de tiempo de riesgo del usuario.

Puede crear indicadores de riesgo personalizados en los siguientes orígenes de datos:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Página de indicadores de riesgo personalizados

La página Indicadores de riesgo personalizados proporciona información sobre todos los indicadores de riesgo personalizados generados para un usuario, gravedad, origen de datos, número de directivas, categoría de riesgo, estado y fecha y hora de última modificación del indicador. Para crear un indicador de riesgo personalizado, consulte Creación de un indicador de riesgo personalizado.

Indicadores personalizados

Al seleccionar el indicador de riesgo, se le redirigirá a la página Modificar indicador de riesgo. Para obtener más información, consulte Modificación de un indicador de riesgo personalizado.

Análisis de un indicador de riesgo personalizado

Considere un usuario cuya acción activó un indicador de riesgo personalizado que haya definido. Citrix Analytics muestra el indicador de riesgo personalizado en la cronología de riesgo del usuario.

Al seleccionar el indicador de riesgo personalizado en la escala de tiempo de riesgo del usuario, el panel derecho muestra la siguiente información:

  • Condición (s) Definida (s): Muestra un resumen de las condiciones que se definen al crear un indicador de riesgo personalizado.

  • Descripción: Proporciona un resumen de la descripción que proporciona al crear el indicador de riesgo personalizado. Si no se proporciona ninguna descripción al crear el indicador de riesgo personalizado, esta sección refleja Ninguno.

  • Frecuencia de disparo: Muestra la opción seleccionada en la sección Opciones avanzadasal crear el indicador de riesgo personalizado.

Indicadores personalizados

Nota

Los indicadores de riesgo personalizados se representan con una etiqueta en la línea de tiempo de riesgo del usuario.

Acciones que puede aplicar al usuario

Actualmente, la capacidad de tomar las medidas adecuadas en las cuentas de usuario que activan indicadores de riesgo personalizados no está disponible.

Creación de un indicador de riesgo personalizado

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la ficha Indicadores, seleccione Crear indicador.

    Indicadores personalizados

  3. Seleccione el origen de datos para el que quiere crear el indicador de riesgo personalizado.

  4. Defina las condiciones para el indicador de riesgo personalizado mediante las dimensiones y el válido operadores en el cuadro de condición. Para obtener más información sobre las dimensiones (facetas) de un origen de datos, consulte Búsqueda de autoservicio.

    El enlace Disparadores estimados se activa en la sección Opciones avanzadas. Haga clic en el enlace para predecir las instancias aproximadas del indicador de riesgo personalizado que se activarían para las condiciones definidas. Estas instancias se calculan en función de los datos históricos que Citrix Analytics mantiene y que cumplen las condiciones definidas.

    Nota

    Asegúrese de hacer clic en Disparadores estimadospara predecir el número de ocurrencias de indicadores de riesgo personalizados para la última condición definida.

  5. En la sección Opciones avanzadas, seleccione la frecuencia del evento para activar el indicador de riesgo personalizado. Cuando no selecciona ninguna opción, Citrix Analytics considera Cada vez: Generar el indicador de riesgo cada vez que se produzcan los eventos como opción predeterminada y generar el indicador de riesgo personalizado. Se pueden seleccionar una de las siguientes opciones:

    • Cada vez: El indicador de riesgo se activa siempre que los eventos cumplan las condiciones definidas.

    • Primera vez: El indicador de riesgo se activa cuando los eventos cumplen las condiciones definidas por primera vez.

      • Primera vez para un nuevo: habilite esta opción para detectar eventos recibidos de una nueva entidad por primera vez. Algunos ejemplos de las entidades son la IP del cliente, el país, la ciudad y el ID del dispositivo. Solo puede seleccionar una entidad basada en el origen de datos. Esta opción permite crear un indicador de riesgo sin especificar un valor explícito para las entidades. Por ejemplo, cuando selecciona la entidad como “Ciudad”, no es necesario especificar el nombre de la ciudad. El indicador de riesgo se activa cuando se reciben eventos de una nueva ciudad por primera vez.

        En la tabla siguiente se enumeran las entidades correspondientes a cada origen de datos y se describen las condiciones del desencadenador.

        Origen de datos Entidad Condición de activación
        Control de acceso, Content Collaboration Cliente-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.
          País Cuando un usuario inicia sesión desde un nuevo país por primera vez.
          Ciudad Cuando un usuario inicia sesión desde una ciudad nueva por primera vez.
        Escritorios y aplicaciones virtuales ID del dispositivo Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde un dispositivo nuevo como móvil, portátil o equipo de escritorio por primera vez.
          Medios de almacenamiento Cuando un usuario utiliza por primera vez un nuevo medio de almacenamiento, como una unidad USB.
          Nombre de la aplicación Cuando un usuario abre una nueva aplicación virtual o una aplicación SaaS por primera vez.
          URL de aplicación Cuando un usuario introduce una nueva URL de aplicación en un explorador de su escritorio virtual por primera vez.
          País Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde un nuevo país por primera vez.
          Ciudad Cuando un usuario inicia aplicaciones virtuales o escritorios virtuales desde una nueva ciudad por primera vez.
        Gateway Cliente-IP Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez.

        En el siguiente ejemplo se muestra un indicador de riesgo personalizado creado para el origen de datos Virtual Apps and Desktops. El indicador de riesgo se activa cuando un usuario inicia un escritorio virtual o una aplicación virtual desde un dispositivo nuevo por primera vez.

        Identificador de dispositivo por primera vez

        También puede agregar una condición junto con la Primera vez para una nueva opción. En este caso, el indicador de riesgo se activa cuando detecta los eventos de la nueva entidad por primera vez y cuando los eventos cumplen la condición definida.

        En el ejemplo siguiente se muestra una condición definida para el indicador de riesgo personalizado y la opción Primera vez para un nuevo ID de dispositivo habilitada. El indicador de riesgo se activa cuando un usuario ubicado en India inicia una sesión de escritorio virtual desde un dispositivo nuevo por primera vez.

        Primera vez con condición

    • Excesivo: El indicador de riesgo se activa después de que se cumplan las siguientes condiciones:

      • Los eventos cumplen las condiciones definidas.

      • Los eventos se producen durante el número especificado de veces durante el período especificado.

    • Frecuentes: El indicador de riesgo se activa después de que se cumplan las siguientes condiciones:

      • Los eventos cumplen las condiciones definidas.

      • Los eventos se producen durante el número especificado de veces durante el período especificado.

      • El patrón de eventos se repite para el número de veces especificado.

  6. Seleccione la categoría de riesgo del indicador de riesgo personalizado. Los indicadores de riesgo se agrupan en función del tipo de exposición al riesgo del indicador de riesgo personalizado. Para obtener ayuda sobre la selección de categorías de riesgo, consulte Categorías de riesgo.

  7. Seleccione la gravedad del indicador de riesgo personalizado.

  8. Defina el nombre del indicador de riesgo personalizado en el cuadro de texto Nombre del indicador.

  9. En el cuadro de texto Descripción, proporcione una descripción válida para el indicador de riesgo personalizado.

  10. En la parte inferior de la página Crear Indicador, puede activar o desactivar el indicador de riesgo personalizado según sea necesario.

  11. Haga clic en Crear indicador.

    Indicadores personalizados

Nota

Puede crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanza este límite máximo, debe eliminar o modificar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

Operadores compatibles para definir una condición

Puede utilizar los siguientes operadores al definir una condición.

Operador Descripción Ejemplo Resultado
: Asignar un valor a la consulta de búsqueda Nombre de usuario: John Muestra eventos para el usuario John
= Asignar un valor a la consulta de búsqueda Nombre de usuario = John Muestra eventos para el usuario John
~ Buscar valores similares Nombre de usuario ~ prueba Muestra eventos con nombres de usuario similares
”” Encerrar valores separados por espacios Nombre de usuario = “John Smith” Muestra eventos para el usuario John Smith
<, > Búsqueda de valor relacional Volumen de datos > 100 Muestra eventos en los que el volumen de datos es superior a 100 GB
Y Valores de búsqueda donde ambas condiciones son verdaderas Nombre de usuario: John AND Data Volume > 100 Muestra eventos del usuario John donde el volumen de datos es mayor que 100 GB
* Valores de búsqueda que coincidan con el carácter cero o más veces Nombre de usuario = John* Muestra eventos de todos los nombres de usuario que comienzan por John
    Nombre de usuario = *John* Muestra eventos para todos los nombres de usuario que contienen John
    Nombre de usuario = *Smith Muestra eventos de todos los nombres de usuario que terminan con Smith
!= Buscar valores donde la condición no es verdadera ¡País! = ESTADOS UNIDOS Muestra eventos para los países excepto EE. UU.
EN Asignar varios valores a una dimensión para obtener los eventos relacionados con uno o más valores Nombre de usuario IN (“John”, “Kevin”) Buscar todos los eventos relacionados con John o Kevin
NO EN Asignar varios valores a una dimensión y buscar los eventos que no contienen los valores especificados Nombre de usuario NOT IN (“John”, “Kevin”) Encuentre los eventos para todos los usuarios excepto John y Kevin

El operador NOT EQUAL (! =) es válido para las siguientes dimensiones:

Origen de datos Dimensiones
Control de acceso País, Ciudad, Acción, URL, Categoría de URL, Reputación, Explorador, SO, Dispositivo
Content Collaboration País, Ciudad, SO cliente
Gateway Etapa de autenticación, IP de cliente
Escritorios y aplicaciones virtuales País, Ciudad, Nombre de la aplicación, Operación del Portapapeles, Explorador, SO

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de su condición, utilice los valores exactos disponibles en la página búsqueda de autoservicio para un origen de datos. Los valores de dimensión distinguen mayúsculas y minúsculas.

Modificación de un indicador de riesgo personalizado

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la ficha Indicadores, seleccione el indicador de riesgo personalizado que quiera modificar.

  3. En la página Modificar indicador, modifique la información según sea necesario.

  4. Haga clic en Guardar cambios.

Eliminación de un indicador de riesgo personalizado

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la ficha Indicadores, active la casilla de verificación del indicador de riesgo personalizado.

  3. Haga clic en Eliminar.

  4. En el cuadro de diálogo, confirme su solicitud para eliminar el indicador de riesgo personalizado.

Ejemplos personalizados de indicadores de riesgo

Los ejemplos siguientes ilustran cómo crear indicadores de riesgo personalizados para el origen de datos de Citrix Gateway. Para obtener información sobre las dimensiones (facetas) y los operadores disponibles para el origen de datos de puerta de enlace, consulte Búsqueda de autoservicio para Gateway.

Indicadores de riesgo personalizados de gateway

  • Indicador de riesgo personalizado de credenciales no válidas: Puede crear el indicador de riesgo personalizado definiendo las siguientes condiciones:

    • Evento: Los usuarios introducen credenciales no válidas o incorrectas.

    • Frecuencia de eventos: Los eventos ocurren tres veces al día.

    Condiciones definidas de credenciales no válidas

    Cuando se cumplen las condiciones especificadas, Analytics activa el indicador de riesgo personalizado y puede verlo en la línea de tiempo de riesgo del usuario.

    Indicador de riesgo personalizado de credencial no válido

    Haga clic en Búsqueda de eventos en el indicador de riesgo personalizado para ver los detalles del evento en la página de búsqueda de autoservicio.

    Búsqueda de credenciales no válida

  • Indicador de riesgo personalizado no encontrado del usuario de la puertade enlace: Puede crear el indicador de riesgo personalizado definiendo las siguientes condiciones:

    • Evento: un usuario intenta iniciar sesión en Citrix Gateway con un nombre de usuario no registrado.

    • Frecuencia de eventos: Los eventos ocurren tres veces al día y este patrón se repite al menos dos veces.

    Condiciones definidas de credenciales no registradas

    Cuando se cumplen las condiciones especificadas, Analytics activa el indicador de riesgo personalizado y puede verlo en la línea de tiempo de riesgo del usuario.

    Indicador de riesgo personalizado de credenciales no registradas

    Haga clic en Búsqueda de eventos en el indicador de riesgo personalizado para ver los detalles del evento en la página de búsqueda de autoservicio.

    Búsqueda de credenciales no registradas

Indicadores de riesgo personalizados preconfigurados

Citrix proporciona una lista de indicadores de riesgo personalizados preconfigurados para ayudarle a supervisar la seguridad de su infraestructura de Citrix. Las condiciones de estos indicadores de riesgo personalizados preconfigurados se definen de acuerdo con escenarios específicos de riesgo de seguridad, como usuarios comprometidos, amenazas internas y exfiltración de datos. Para obtener más información, consulte Indicadores de riesgo personalizados preconfigurados.