Citrix Analytics para seguridad

Directivas y acciones

Puede crear directivas en Citrix Analytics para ayudarle a realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Las directivas le permiten automatizar el proceso de aplicación de acciones, como inhabilitar un usuario, agregar usuarios a una lista de seguimiento. Cuando habilita directivas, se aplica una acción correspondiente inmediatamente después de que se produce un evento anómalo y se cumple la condición de directiva. También puede aplicar acciones manualmente en cuentas de usuario con actividades anómalas.

¿Qué son las directivas?

Una directiva es un conjunto de condiciones que deben cumplirse para aplicar una acción. Una directiva contiene una o varias condiciones y una sola acción. Puede crear una política con varias condiciones y una acción que se puede aplicar a la cuenta de un usuario.

Lapuntuación de riesgo es una condición global. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico. Puede mantener un reloj en las cuentas de usuario que muestran cualquier actividad inusual. Otras condiciones son específicas de las fuentes de datos y sus indicadores de riesgo. Las condiciones contienen combinaciones de puntuaciones de riesgo, indicadores de riesgo por defecto e indicadores de riesgo personalizados. Puede agregar hasta 4 condiciones al crear una directiva.

Crear directiva

Por ejemplo, si su organización utiliza datos confidenciales, es posible que quiera restringir la cantidad de datos compartidos o a los que tienen acceso los usuarios internamente. Pero si tienes una organización grande, no sería factible que un solo administrador administre y supervise muchos usuarios. Puede crear una directiva en la que cualquier persona que comparta datos confidenciales en exceso pueda agregarse a una lista de seguimiento o tener su cuenta desactivada inmediatamente.

Directivas predeterminadas

Las directivas predeterminadas están predefinidas y habilitadas en el panel Directivas. Se crean en función de condiciones predefinidas y se asigna una acción correspondiente a cada directiva predeterminada. Puede utilizar una directiva predeterminada o modificarla según sus requisitos.

Citrix Analytics admite las siguientes directivas predeterminadas:

  • Explotación de credenciales correcta
  • Exfiltración potencial de datos
  • Acceso inusual desde una IP sospechosa
  • Acceso inusual a aplicaciones desde una ubicación inusual
  • Usuario de bajo riesgo: Acceso por primera vez desde la nueva IP
  • Acceso por primera vez desde el dispositivo

Para obtener información sobre las condiciones y acciones predefinidas en relación con las directivas predeterminadas anteriores, consulte Evaluación continua del riesgo.

Directivas predeterminadas

Para obtener información acerca de la directiva predefinida para el caso de uso de geocercado, consulte Directiva preconfigurada.

¿Cómo agregar o eliminar condiciones?

Para agregar más condiciones, seleccione Agregar condición en la sección SI LA CONDICIÓN SIGUIENTE SE CUMPLE de la página Crear directiva. Para eliminar una condición, seleccione el icono - que aparece junto a la condición.

Agregar y quitar condición

Indicadores de riesgo predeterminados y personalizados

El menú condiciones se segrega en función de las fichas Indicadores de riesgo predeterminados e Indicadores de riesgo personalizados de la página Crear directiva. Mediante estas fichas, puede identificar fácilmente el tipo de indicador de riesgo que quiere elegir al seleccionar una condición para la configuración de directivas.

Agregar y quitar condición

¿Qué son las acciones?

Las acciones son respuestas a eventos sospechosos que impiden que ocurran eventos anómalos en el futuro. Puede aplicar acciones en cuentas de usuario que muestren comportamientos inusuales o sospechosos. Puede configurar políticas para aplicar acciones en la cuenta del usuario automáticamente o aplicar una acción específica manualmente desde el cronograma de riesgo del usuario.

Puede ver acciones o acciones globales para cada origen de datos de Citrix. También puede inhabilitar las acciones aplicadas anteriormente para un usuario en cualquier momento.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

En la tabla siguiente se describen las acciones que puede realizar.

Nombre de la acción Descripción Orígenes de datos aplicables en
Acciones mundiales    
Agregar a la lista de seguimiento Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento. Todas las fuentes de datos
  El panel Usuarios en Lista de seguimiento muestra todos los usuarios que quiere supervisar para detectar posibles amenazas en función de la actividad inusual de su cuenta. Según la política de su organización, puede agregar un usuario a la lista de seguimiento mediante la acción Agregar a la lista de seguimiento.  
  Para añadir un usuario a la lista de seguimiento, navegue hasta el perfil del usuario, desde el menú Acciones, seleccione Agregar a la lista de seguimiento. Haga clic en Aplicar para aplicar la acción.  
Notificar a los administradores Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, Citrix Analytics envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores a los que desea notificar. Nota: De forma predeterminada, las notificaciones por correo electrónico están deshabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, debes habilitarlas en tu cuenta de Cloud. Para obtener más información, consulte Reciba notificaciones por correo electrónico.  
Solicitar respuesta del usuario Cuando haya alguna actividad inusual o sospechosa en la cuenta del usuario, puede notificarlo para confirmar si el usuario identifica la actividad. En función de la actividad, puede determinar el siguiente curso de acción que se tomará en la cuenta del usuario. Puede aplicar esta acción solo cuando configure directivas. No puede aplicar esta acción manualmente. Nota: Para utilizar esta acción, debe conectar Active Directory con Citrix Cloud y asegurarse de que el correo electrónico del usuario esté disponible en Active Directory. Todas las fuentes de datos
Acciones de Citrix Gateway    
Cerrar sesión usuario Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway borre la acción Cerrar sesión Usuario. Esta acción cierra la sesión de usuario que está activa cuando se aplica la acción. No bloquea las sesiones futuras de los usuarios. Citrix Gateway local y Citrix Application Delivery Management
Bloquear usuario Cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta. Citrix Gateway local
Desbloquear usuario Cuando la cuenta de un usuario se bloquea accidentalmente aunque no se haya detectado un comportamiento anómalo, puede aplicar esta acción para desbloquearla y restaurar el acceso a la cuenta. Citrix Gateway local
Acciones de Citrix Content Collaboration    
Inhabilitar usuario Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration. Citrix Content Collaboration
  Después de desactivar su cuenta, el usuario verá una notificación. La notificación en la página de inicio de sesión de su cuenta les pide que se pongan en contacto con el administrador de Content Collaboration para obtener más información.  
Caducar todos los enlaces Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador. Citrix Content Collaboration
  Cuando un usuario comparte archivos en exceso, se activa el indicador de riesgo de uso compartido excesivo de archivos y los vínculos compartidos expiran. Cuando caduquen los vínculos compartidos, el vínculo se convierte en inválido y los usuarios con los que se compartió el vínculo no pueden acceder a él.  
Cambiar los vínculos para compartir solo lectura Cuando un usuario comparte archivos en exceso, puede aplicar esta acción. Esta acción impide que otros usuarios descarguen, copien o imprimen los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo visualización.  
Acciones de Citrix Virtual Apps and Desktops    
Cerrar sesión usuario Cuando un usuario cierra la sesión de su cuenta, no puede tener acceso al recurso a través de Virtual Desktops hasta que el administrador de escritorios virtuales borre la acción Cerrar sesión usuario. Esta acción cierra la sesión de usuario que está activa cuando se aplica la acción. No bloquea las sesiones futuras de los usuarios. Virtual Apps and Desktops locales y servicio Citrix Virtual Apps and Desktops
Iniciar grabación de sesiones Si hay un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede comenzar a registrar las actividades del usuario de futuras sesiones de inicio de sesión. Si el usuario está en Virtual Apps and Desktops 7.18 o una versión superior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario. Virtual Apps and Desktops locales
Acciones de Citrix Endpoint Management    
Bloquear dispositivo Cuando hay una actividad inusual en un dispositivo, lo que hace que la puntuación de riesgo del usuario supere un valor especificado, puede utilizar la acción Bloquear dispositivo. Servicio Citrix Endpoint Management
  Cuando se aplica la acción, se bloquean todos los dispositivos del usuario. Sin embargo, los usuarios pueden deslizar el dedo por la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.  

Nota

  • Si aplica la acción Deshabilitar usuario para un usuario de Content Collaboration, la cuenta del usuario no se deshabilita hasta que el administrador de Content Collaboration vea la notificación. Durante el período intermedio, el usuario puede usar su cuenta de Content Collaboration y Citrix Analytics continúa procesando los datos. Una vez que el administrador de Content Collaboration deshabilita la cuenta del usuario, el usuario debe ponerse en contacto con el administrador de Content Collaboration para que se reactive su cuenta. El administrador de Citrix Analytics no puede habilitar las cuentas de Content Collaboration inhabilitadas.

  • Para aplicaciones y escritorios virtuales locales, debe descargar un agente de Citrix Analytics e instalarlo en Delivery Controller para realizar las acciones Cerrar sesión de usuario e Iniciar grabación de sesiones. Para obtener más información sobre el agente, consulte Habilitar análisis en sitios Virtual Apps and Desktops.

Uso compartido de solo visualización

Puede cambiar un enlace para compartir al modo de uso compartido de solo lectura de las siguientes formas:

  • En el cronograma de riesgo de un usuario, seleccione el Indicador de riesgo excesivo para compartir archivos. Haga clic en Acciones > Cambiar vínculos a acciones de uso compartido de solo lectura . La acción se aplica a la cuenta de usuario que activó el indicador de riesgo.

    Nota

    La acción Cambiar enlaces a uso compartido de solo lectura funciona únicamente con el indicador de riesgo de uso compartido excesivo de archivos . Para cualquier otro indicador de riesgo, si aplica esta acción, no surtirá efecto.

    Aplicar vista de acción solo compartir

  • En el Tablero de vínculos compartidos, haz clic en una URL para compartir. Se le redirigirá a la Cronología de riesgo de enlaces compartidos. Haz clic en Acción > Cambiar vínculos para compartir solo lectura. La acción se aplica en el enlace de recurso compartido concreto.

    Aplicar vista de acción solo compartir en el enlace para compartir

Requisitos previos

  • El administrador debe tener una cuenta Enterprise en Content Collaboration para utilizar la acción Cambiar vínculos de uso compartido de solo lectura .

  • El uso compartido de solo visualización es una función disponible en una solicitud en las cuentas empresariales de Citrix Content Collaboration. Antes de aplicar la acción Cambiar vínculos a uso compartido de solo lectura en Citrix Analytics, asegúrese de que la función Compartir de solo lectura ya está habilitada en las cuentas de Content Collaboration Enterprise del usuario y del administrador. Para obtener más información, consulte el artículo de soporte de Citrix- CTX208601.

¿Qué pasa cuando aplicas esta acción?

Esta acción impide que otros usuarios descarguen, copien o imprimen los archivos asociados a los vínculos compartidos.

La acción de uso compartido de solo lectura se aplica únicamente a los siguientes tipos de archivos:

  • Archivos de Microsoft Office

  • PDF

  • Archivos de imagen (requiere SZC v3.4.1 o posterior):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Archivos de audio y vídeo almacenados en una Storage Zone administrada por Citrix.

Configurar directivas y acciones

Por ejemplo, siguiendo los pasos que se indican a continuación, puede crear una directiva de uso compartido excesivo de archivos. Con esta directiva, cuando un usuario de la organización comparte una cantidad inusualmente grande de datos, los vínculos del recurso compartido caducaron automáticamente. Se le notifica cuando un usuario comparte datos que superan el comportamiento normal de ese usuario. Al aplicar la política de uso compartido excesivo de archivos y tomar medidas inmediatas, puede evitar la filtración de datos de la cuenta de cualquier usuario.

Para crear una directiva, haga lo siguiente:

  1. Después de iniciar sesión en Citrix Analytics, en la barra de herramientas, vaya a Configuración > Indicadores y directivas de riesgo personalizados.

    Directiva de configuración

  2. En el panel Directivas, haga clic en Crear directiva.

    Botón Crear directiva

  3. En el cuadro de lista SI LA SIGUIENTE CONDICIÓN ES METIDA, seleccione las condiciones predeterminadas o personalizadas del indicador de riesgo en las que quiere aplicar una acción.

    Agregar y quitar condición

  4. En la lista LUEGO, HACER LO SIGUIENTE, seleccione una acción.

    A continuación, haga lo siguiente

  5. En el cuadro de texto Nombre de directiva, proporcione un nombre y habilite la directiva mediante el botón de alternancia proporcionado.

    Crear directiva

  6. Haga clic en Crear directiva.

Después de crear una directiva, la directiva aparece en el panel Directivas.

El panel Directivas muestra las directivas asociadas a los orígenes de datos que se detectaron correctamente y se conectaron a Citrix Analytics. El panel no muestra las directivas que tienen condiciones definidas para los orígenes de datos no descubiertos.

Por ejemplo, ha seleccionado un indicador de riesgo de Content Collaboration como condición para su directiva. Sin embargo, no tiene una suscripción para utilizar Citrix Content Collaboration y, por lo tanto, Citrix Analytics no descubre este origen de datos. Por lo tanto, su directiva no aparece en el panel Directivas.

Sin embargo, desactivar el procesamiento de datos para un origen de datos ya conectado no afecta a las directivas existentes en el panel Directivas.

Solicitar respuesta del usuario

Solicitar respuesta del usuario final es una acción global mediante la cual puede alertar a un usuario inmediatamente después de detectar una actividad inusual.

Requisito previo: Para utilizar esta acción, debe conectar Active Directory con Citrix Cloud y asegurarse de que el correo electrónico del usuario esté disponible en Active Directory. Para obtener información sobre cómo conectar Active Directory, consulte Conectar Active Directory con Citrix Cloud.

En función de la respuesta del usuario, puedes determinar el siguiente curso de acción que quieres llevar a cabo. Si recibe una respuesta de que el usuario realizó la actividad notificada, la actividad no es sospechosa y no es necesario que actúe en la cuenta del usuario. El límite diario para enviar alertas de seguridad al usuario es de tres correos electrónicos.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede alertar al usuario sobre este comportamiento inusual aplicando la acción Solicitar respuesta del usuario final. Se envía una alerta de seguridad al usuario desde el ID de correo electrónicosecurity-analytics@citrix.com.

El correo electrónico contiene la siguiente información:

  • Actividad del usuario que activó el indicador de riesgo

  • Dispositivo del usuario

  • Fecha y hora de la actividad del usuario

  • Ubicaciones (ciudades y países) desde las que se accede correctamente a los productos o servicios. Si la ciudad o el país no están disponibles, el valor correspondiente se muestra como «Desconocido»

La acción Solicitar respuesta del usuario final se agrega a la cronología de riesgo del usuario.

Solicitar respuesta del usuario

Nota

La acción Solicitar respuesta de usuario final solo se admite cuando su organización está incorporada a la región de los Estados Unidos. Si su organización está incorporada a la región de la Unión Europea en Citrix Cloud, no puede utilizar esta acción.

¿Cómo establecer el tiempo de respuesta del usuario?

Puede configurar el tiempo de respuesta del usuario a su correo electrónico de alerta de seguridad siguiendo los pasos siguientes:

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la página Directivas, seleccione el menú Configuración y actualice el número de minutos en el cuadro de texto.

  3. Haga clic en Guardar configuración.

    Tiempo de respuesta del usuario

Notificar al usuario después de aplicar la acción disruptiva

En este tipo de acción, puede aplicar una acción disruptiva, como Cerrar sesión del usuario y Bloquear usuario en la cuenta del usuario cuando se detecta una actividad inusual. Cuando se aplica una acción en la cuenta del usuario, es posible que los servicios de su cuenta se interrumpan. En tales casos, el usuario debe ponerse en contacto con el administrador para poder acceder a su cuenta como antes.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede cerrar la sesión del usuario. Una vez realizada esta tarea, el usuario no puede acceder a su cuenta y se envía una notificación por correo electrónico al usuario desde el ID de correo electrónicosecurity-analytics@citrix.com. El correo electrónico contiene detalles del evento, como la actividad, el dispositivo, la fecha y la hora, y la dirección IP. El usuario debe ponerse en contacto con el administrador para acceder a su cuenta como antes.

Aplicar acción disruptiva

Aplicar una acción manualmente

Considere un usuario, Lemuel que inicia sesión en una red mediante un nuevo dispositivo por primera vez. Para supervisar su cuenta, ya que su comportamiento es inusual, puede utilizar la acción Notificar a los administradores.

Para aplicar la acción al usuario manualmente, debe:

Desplácese hasta el perfil de un usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione la acción Notificar a los administradores y haga clic en Aplicar.

Lista de acciones

Debido a la actividad inusual y sospechosa de la cuenta de Lemuel, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud para supervisar su cuenta. La acción aplicada se agrega a su línea de tiempo de riesgo y los detalles de la acción se muestran en el panel derecho de la página de línea de tiempo de riesgo.

Acción aplicada

Nota:

De forma predeterminada, las notificaciones de correo electrónico están inhabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, debes habilitarlas en tu cuenta de Cloud. Para obtener más información, consulte Reciba notificaciones por correo electrónico.

Administrar directivas

Puede ver el panel de directivas para administrar todas las directivas creadas en Citrix Analytics para supervisar e identificar incoherencias en la red. En el panel Directivas, puede:

  1. Ver la lista de directivas

  2. Detalles de la directiva

    • Nombre de la directiva

    • Estado: Habilitado o inhabilitado.

    • Duración de la directiva: número de días en que la directiva ha estado activa o inactiva.

    • Ocurrencias: el número de veces que se activa la directiva.

    • Modificado: Marca de hora, solo si se ha modificado la directiva.

  3. Eliminar la directiva

    • Para eliminar una directiva, puede seleccionar la directiva que quiere eliminar y hacer clic en Eliminar.

    • O bien, puede hacer clic en el nombre de la directiva para dirigirse a la página Modificar directiva. Haga clic en Eliminar directiva. En el cuadro de diálogo, confirme su solicitud para eliminar la directiva.

  4. Crear una directiva

  5. Haga clic en el nombre de una directiva para ver más detalles. También puede modificar la directiva al hacer clic en su nombre. Otras modificaciones que se pueden hacer son las siguientes:

    • Cambie el nombre de la directiva.

    • Condiciones de la póliza.

    • Las acciones a aplicar.

    • Habilite o inhabilite la directiva.

    • Elimine la directiva.

Nota

  • Si no quieres eliminar la política, puedes optar por deshabilitarla.

  • Para volver a habilitar la directiva en el panel de directivas, haga lo siguiente:

    • En el panel Directivas, haga clic en el botón del control deslizante Estado y actualice la página. El botón del control deslizante Estado se vuelve verde.

    • En la página Modificar directiva, haga clic en el botón deslizante Activado en la parte inferior de la página.

Modelos compatibles

Citrix Analytics admite los siguientes modos en las directivas:

  • Modo de aplicación: En este modo, las directivas configuradas afectan a las cuentas de usuario.

  • Modo Monitor: En este modo, las directivas configuradas no afectan a las cuentas de usuario. Puede establecer directivas en este modo si quiere probar cualquier configuración de directiva.

Siga las instrucciones siguientes para configurar los modos en las directivas:

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la página Directivas, seleccione el icono situado en la esquina superior derecha, que se muestra junto a la barra de búsqueda. Aparece la ventana SELECCIONAR MODO.

  3. Seleccione el modo que quiera y haga clic en Guardar configuración.

Nota

Las directivas predeterminadas creadas por Analytics se configuran en modo de supervisión. Como resultado, las directivas existentes también heredan este modo. Puede evaluar el impacto de todas las directivas juntas y, a continuación, cambiarlas al modo de aplicación.

Modos de directiva

Búsqueda de directivas de autoservicio

En la página búsqueda de autoservicio, puede ver los eventos de usuario que han satisfecho las condiciones definidas en las directivas. La página también muestra las acciones aplicadas a estos eventos de usuario. Filtrar los eventos de usuario en función de las acciones aplicadas.

Directivas y acciones