Citrix Analytics para la seguridad

Directivas y acciones

Puede crear directivas en Citrix Analytics para ayudarle a realizar acciones en las cuentas de usuario cuando se producen actividades inusuales o sospechosas. Las directivas permiten automatizar el proceso de aplicación de acciones como inhabilitar a un usuario o agregar usuarios a una lista de seguimiento. Al habilitar directivas, se aplica una acción correspondiente inmediatamente después de que se produce un evento anómalo y se cumple la condición de la directiva. También puede aplicar acciones manualmente en cuentas de usuario con actividades anómalas.

¿Cuáles son las directivas?

Una directiva es un conjunto de condiciones que deben cumplirse para aplicar una acción. Una directiva contiene una o varias condiciones y una sola acción. Puede crear una directiva con varias condiciones y una acción que se puede aplicar a la cuenta de un usuario.

Lapuntuación de riesgo es una condición global. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico. Puede vigilar las cuentas de usuario que muestran actividades inusuales. Otras condiciones son específicas de los orígenes de datos y sus indicadores de riesgo. Las condiciones contienen combinaciones de puntuaciones de riesgo, indicadores de riesgo de impago e indicadores de riesgo personalizados. Puede agregar hasta 4 condiciones al crear una directiva.

Crear directiva

Por ejemplo, si su organización utiliza datos confidenciales, es posible que quiera restringir la cantidad de datos compartidos o a los que tienen acceso los usuarios internamente. Pero si tiene una organización grande, no sería factible que un solo administrador administre y supervise a muchos usuarios. Puede crear una directiva en la que cualquier persona que comparta datos confidenciales en exceso pueda agregarse a una lista de seguimiento o tener su cuenta desactivada inmediatamente.

Directivas predeterminadas

Las directivas predeterminadas están predefinidas y habilitadas en el panel Directivas. Se crean en función de condiciones predefinidas y se asigna una acción correspondiente a cada directiva predeterminada. Puede utilizar una directiva predeterminada o modificarla según sus requisitos.

Citrix Analytics admite las siguientes directivas predeterminadas:

  • Explotación de credenciales exitosas
  • Exfiltración potencial de datos
  • Acceso inusual desde una IP sospechosa
  • Acceso inusual a aplicaciones desde una ubicación inusual
  • Usuario de bajo riesgo: acceso por primera vez desde una nueva IP
  • Acceso por primera vez desde el dispositivo

Para obtener información sobre las condiciones y acciones predefinidas con respecto a las directivas predeterminadas anteriores, consulte Evaluación continua del riesgo.

Directivas predeterminadas

Para obtener información sobre la directiva predefinida para el caso de uso de geocercas, consulte Directiva preconfigurada.

¿Cómo agregar o eliminar condiciones?

Para agregar más condiciones, seleccione Agregar condición en la sección SI SE CUMPLE LA SIGUIENTE CONDICIÓN de la página Crear directiva. Para eliminar una condición, seleccione el icono - que aparece junto a la condición.

Agregar y quitar condición

Indicadores de riesgo de incumplimiento y personalizados

El menú de condiciones se segrega en función de las fichas Indicadores de riesgo predeterminados e Indicadores de riesgo personalizados de la página Crear directiva. Con estas fichas, puede identificar fácilmente el tipo de indicador de riesgo que quiere elegir al seleccionar una condición para la configuración de directivas.

Agregar y quitar condición

¿Cuáles son las acciones?

Las acciones son respuestas a eventos sospechosos que impiden que se produzcan eventos anómalos en el futuro. Puede aplicar acciones en cuentas de usuario que muestren comportamientos inusuales o sospechosos. Puede configurar directivas para aplicar acciones en la cuenta del usuario de forma automática o aplicar una acción específica manualmente desde el cronograma de riesgo del usuario.

Puede ver acciones o acciones globales para cada origen de datos de Citrix. También puede inhabilitar las acciones aplicadas previamente a un usuario en cualquier momento.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

En la tabla siguiente se describen las acciones que se pueden llevar a cabo.

| Nombre de acción | Descripción | Orígenes de datos aplicables | | ———– | ———– | ————————– | | Acciones globales | | Agregar a la lista de seguimiento | Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento. | Todas los orígenes de datos | | | El panel Usuarios en Lista de seguimiento muestra todos los usuarios que quiere supervisar para detectar posibles amenazas en función de la actividad inusual de su cuenta. Según la directiva de su organización, puede agregar un usuario a la lista de seguimiento mediante la acción Agregar a la lista de seguimiento. | | | Para agregar un usuario a la lista de seguimiento, navegue hasta el perfil del usuario, desde el menú Acciones, seleccione Agregar a la lista de seguimiento. Haga clic en Aplicar para aplicar la acción. | | Notificar a los administradores | Cuando se activa un indicador de riesgo para un usuario, puede notificar manualmente a los administradores o crear una directiva para la notificación automática. Puede seleccionar los administradores del dominio de Citrix Cloud y otros dominios que no sean de Citrix Cloud en su organización. Si es administrador de Citrix Cloud con permisos de acceso total, de forma predeterminada, las notificaciones por correo electrónico están deshabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, habilítelo en su cuenta de Citrix Cloud. Para obtener más información, consulte Recibir notificaciones por correo electrónico. Si es administrador de Citrix Cloud con permisos de acceso personalizados (solo lectura y acceso completo) para administrar Security Analytics, las notificaciones por correo electrónico están habilitadas para su cuenta de Citrix Cloud. Para dejar de recibir notificaciones por correo electrónico de Citrix Analytics, solicite al administrador de acceso total de Citrix Cloud que elimine su nombre de la lista de distribución de notificaciones a los administradores. Para obtener información sobre, consulte Lista de distribución de correo electrónico. | | Solicitar respuesta del usuario final | Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, puede notificar al usuario para confirmar si el usuario identifica la actividad. En función de la actividad, puede determinar el siguiente curso de acción que se tomará en la cuenta del usuario. Para obtener más información, consulte Solicitar la respuesta del usuario final. | | Acciones de Citrix Gateway | | | | Cerrar sesión del usuario | Cuando se aplica la acción, cierra la sesión de usuario que está activa actualmente. No bloquea ninguna sesión de usuario futura. | Citrix Gateway local y Citrix Application Delivery Management | | Bloquear usuario | Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway desbloquee la cuenta. locales | | Desbloquear usuario | Cuando la cuenta de un usuario se bloquea accidentalmente aunque no se detecte un comportamiento anómalo, puede aplicar esta acción para desbloquearla y restaurar el acceso a la cuenta. | Citrix Gateway local | | Acciones de Citrix Content Collaboration | | | | Deshabilitar usuario | Citrix Analytics le permite restringir o revocar el acceso del usuario deshabilitando su cuenta de Content Collaboration. Puede aplicar esta acción al usuario empleado y al usuario cliente. | Citrix Content Collaboration | | | Cuando su cuenta esté deshabilitada, el usuario verá una notificación. La notificación en la página de inicio de sesión de su cuenta les pide que se pongan en contacto con el administrador de Content Collaboration para obtener más información. | | | Caducar todos los enlaces | Citrix Analytics le permite hacer caducar todos los enlaces de recursos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y otros usuarios con los que se comparten los enlaces no pueden acceder a ellos. Nota: Esta acción solo funciona cuando hay vínculos compartidos activos asociados a la cuenta del usuario. | Citrix Content Collaboration | |Cambiar los vínculos a uso compartido de solo lectura | Citrix Analytics le permite cambiar los enlaces compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura. Nota: Esta acción solo funciona cuando hay vínculos compartidos activos asociados a la cuenta del usuario.| | | Eliminar el permiso de acceso a la carpeta | Cuando un usuario carga un archivo infectado, puede bloquear el permiso de acceso del usuario. El acceso del usuario está restringido a la carpeta en la que se cargó el archivo infectado.| | | Eliminar el permiso de carga en la carpeta | Cuando un usuario carga un archivo infectado, puede bloquear el permiso de carga del usuario. El permiso de carga del usuario está restringido a la carpeta en la que se cargó el archivo infectado. | | | Acciones de Citrix Virtual Apps and Desktops y Citrix DaaS | | | | Cerrar sesión del usuario | Cuando se aplica la acción, cierra la sesión de usuario que está activa actualmente . No bloquea ninguna sesión de usuario futura. | Citrix Virtual Apps and Desktops local y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) | | Iniciar la grabación de sesiones | Si se produce un suceso inusual en la cuenta de Virtual Desktops del usuario, el administrador puede empezar a grabar el actividades de sesiones de inicio de sesión futuras. Si el usuario tiene la versión 7.18 de Citrix Virtual Apps and Desktops o una posterior, el administrador puede iniciar y detener de forma dinámica la sesión de inicio de sesión actual del usuario. | Citrix Virtual Apps and Desktops local |

Notas

  • Puede aplicar cualquier acción a un indicador de riesgo independientemente de los orígenes de datos.

  • Si aplica la acción Inhabilitar usuario para un usuario de Content Collaboration, la cuenta del usuario no se inhabilita hasta que el administrador de Content Collaboration vea la notificación. Durante el período intermedio, el usuario puede usar su cuenta de Content Collaboration y Citrix Analytics continúa procesando los datos. Una vez que el administrador de Content Collaboration inhabilita la cuenta del usuario, el usuario debe ponerse en contacto con su administrador de Content Collaboration para que se reactive su cuenta. El administrador de Citrix Analytics no puede habilitar las cuentas de Content Collaboration deshabilitadas.

  • En el caso local Citrix Virtual Apps and Desktops, debe descargar un agente de Citrix Analytics e instalarlo en el Delivery Controller para realizar las acciones Cerrar sesión del usuario e Iniciar grabación de sesiones. Para obtener más información sobre el agente, consulte Habilitar análisis en sitios de Virtual Apps and Desktops.

Uso compartido de solo lectura

Antes de aplicar la acción Cambiar vínculos a uso compartido de solo lectura en la cuenta de un usuario, asegúrese de que se cumplen las siguientes condiciones:

Requisitos previos

  • El administrador debe tener una cuenta Enterprise en Content Collaboration para utilizar la acción Cambiar vínculos a uso compartido de solo lectura.

  • El uso compartido de solo lectura es una función disponible en una solicitud en las cuentas empresariales de Citrix Content Collaboration. Antes de aplicar la acción Cambiar vínculos al uso compartido de solo lectura en Citrix Analytics, asegúrese de que la función Compartir solo lectura ya esté habilitada en las cuentas de Content Collaboration Enterprise del usuario y del administrador. Para obtener más información, consulte el artículo de asistencia técnica de Citrix: CTX208601.

Tipos de archivo admitidos

La acción de compartir solo lectura se aplica a los siguientes tipos de archivo:

  • Archivos de Microsoft Office

  • PDF

  • Archivos de imagen (requiere SZC v3.4.1 o posterior):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Archivos de audio y vídeo almacenados en una zona de almacenamiento administrada por Citrix.

Configurar directivas y acciones

Por ejemplo, siguiendo los pasos que se indican a continuación, puede crear una directiva de uso compartido excesivo de archivos. Con esta directiva, cuando un usuario de la organización comparte una cantidad inusualmente grande de datos, los vínculos del recurso compartido caducaron automáticamente. Se le notifica cuando un usuario comparte datos que superan el comportamiento normal de ese usuario. Si aplica la directiva de uso compartido excesivo de archivos y toma medidas inmediatas, puede evitar la filtración de datos de la cuenta de cualquier usuario.

Para crear una directiva, haga lo siguiente:

  1. Después de iniciar sesión en Citrix Analytics, vaya a Seguridad > Directivas > Crear directiva.

    Crear directiva

  2. En el cuadro de lista SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione las condiciones predeterminadas o personalizadas del indicador de riesgo a las que quiere aplicar una acción.

    Agregar y quitar condición

  3. En la lista THEN DO THE FOLLOWING, seleccione una acción.

    Luego haga lo siguiente

  4. En el cuadro de texto Nombre de la directiva, proporcione un nombre y habilite la directiva mediante el botón de alternancia proporcionado.

    Crear directiva

  5. Haga clic en Crear directiva.

Después de crear una directiva, la directiva aparece en el panel de control Directivas.

El panel Directivas muestra las directivas asociadas a los orígenes de datos que se han detectado correctamente y se han conectado a Citrix Analytics. El panel no muestra las directivas que tienen condiciones definidas para los orígenes de datos no descubiertas.

Por ejemplo, ha seleccionado un indicador de riesgo de Content Collaboration como condición para su directiva. Sin embargo, no tiene una suscripción para utilizar Citrix Content Collaboration y, por lo tanto, Citrix Analytics no detecta esta fuente de datos. Por lo tanto, su directiva no aparece en el panel Directivas.

Sin embargo, desactivar el procesamiento de datos de un origen de datos ya conectada no afecta a las directivas existentes en el panel Directivas.

Solicitud de respuesta del usuario final

Solicitar respuesta del usuario final es una acción global mediante la cual puede alertar a un usuario inmediatamente después de detectar una actividad inusual en su cuenta de Citrix. Al aplicar la acción, se envía una notificación por correo electrónico al usuario. El usuario debe responder a través del correo electrónico sobre la legitimidad de su actividad.

Requisitos previos:

Antes de aplicar la acción Solicitar respuesta del usuario final a sus usuarios, asegúrese de que:

  • Las direcciones de correo electrónico de sus usuarios están disponibles en Active Directory. Además, debe conectar Active Directory con Citrix Cloud.

  • Las direcciones de correo electrónico de sus usuarios (empleados y clientes) están disponibles en sus cuentas de Content Collaboration. Para obtener información sobre cómo crear y administrar usuarios en Content Collaboration, consulte Configuración de personas.

No puede aplicar esta acción a usuarios anónimos. Estos usuarios no tienen direcciones de correo electrónico ni en Active Directory ni en Content Collaboration.

Determine qué acción quiere aplicar a sus usuarios:

En función de la respuesta del usuario, puede determinar el siguiente curso de acción que quiere tomar. Puede aplicar una acción global como Agregar a la lista de seguimiento, Notificar a los administradores. O puede aplicar una acción específica de origen de datos, como Citrix Gateway- Bloquear usuario, Citrix Content Collaboration- Deshabilitar usuario.

Si recibe una respuesta de que el usuario realizó la actividad denunciada, la actividad no es sospechosa y no es necesario que realice ninguna acción en la cuenta del usuario. El límite diario para enviar alertas de seguridad al usuario es de tres correos electrónicos.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede alertar al usuario sobre este comportamiento inusual aplicando la acción Solicitar respuesta del usuario final. Se envía una alerta de seguridad al usuario desde el ID de correo electrónico security-analytics@citrix.com.

El correo electrónico contiene la siguiente información:

  • Actividad del usuario que ha activado el indicador de riesgo

  • Dispositivo del usuario

  • Fecha y hora de la actividad del usuario

  • Ubicaciones (ciudades y países) desde las que se accede correctamente a los productos o servicios. Si la ciudad o el país no están disponibles, el valor correspondiente se muestra como “Desconocido”

La acción Solicitar respuesta del usuario final se agrega a la cronología de riesgo del usuario.

Si el usuario no reconoce la actividad detectada en su cuenta de Citrix, Citrix Analytics aplica la acción que ha definido.

Si el usuario no envía su respuesta en el plazo de una hora desde la recepción del correo electrónico, Citrix Analytics lo agrega a la lista de seguimiento. Puede monitorear al usuario y su cuenta para detectar cualquier actividad sospechosa y tomar las medidas correspondientes.

Solicitud de respuesta del usuario final

¿Cómo configurar el tiempo de respuesta del usuario?

Puede configurar el tiempo de respuesta del usuario a su correo electrónico de alerta de seguridad. Si el usuario no responde sobre la actividad informada dentro del período de tiempo especificado, el usuario se agrega a la lista de seguimiento para su supervisión.

Siga los pasos para configurar el tiempo de respuesta del usuario:

  1. Haga clic en Configuración > Configuración de alertas > Configuración del correo electrónico del usuario final.

    Navegación de ajustes de tiempo

  2. En la página Configuración del correo electrónico del usuario final, introduzca el número de minutos en el cuadro de texto.

    Ajustes de tiempo

  3. Haga clic en Guardar cambios.

También puede agregar un banner, un texto de encabezado y un texto de pie de página en el correo electrónico de alerta de seguridad para que parezca legítimo, atraiga la atención de los usuarios y aumente el tiempo de respuesta. Para obtener más información, consulte Configuración del correo electrónico del usuario final.

Notificar al usuario después de aplicar la acción disruptiva

En este tipo de acción, puede aplicar una acción perjudicial como Cerrar sesión del usuario y Bloquearusuario en la cuenta del usuario cuando se detecta una actividad inusual. Cuando se aplica una acción en la cuenta del usuario, es posible que se interrumpan los servicios de su cuenta. En tales casos, el usuario debe ponerse en contacto con el administrador para poder acceder a su cuenta como antes.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede cerrar la sesión del usuario. Una vez realizada esta tarea, el usuario no puede acceder a su cuenta y se envía una notificación por correo electrónico al usuario desde el ID de correo electrónico security-analytics@citrix.com. El correo electrónico contiene detalles del evento, como la actividad, el dispositivo, la fecha y la hora y la dirección IP. El usuario debe ponerse en contacto con el administrador para acceder a su cuenta como antes.

Aplicar acción disruptiva

Aplicar una acción manualmente

Piense en un usuario, Lemuel, que inicia sesión en una red mediante un dispositivo nuevo por primera vez. Para supervisar su cuenta, ya que su comportamiento es inusual, puede utilizar la acción Notificar a los administradores.

Para aplicar la acción manualmente al usuario, debe:

Navegue hasta el perfil de un usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione la acción Notificar a los administradores y haga clic en Aplicar.

Lista de acciones

Se envía una notificación por correo electrónico a todos los administradores o a los seleccionados para supervisar su cuenta. La acción aplicada se agrega a su línea de tiempo de riesgo y los detalles de la acción se muestran en el panel derecho de la página de línea de tiempo de riesgo.

Acción aplicada

Notas

  • Si es administrador de Citrix Cloud con permisos de acceso total, de forma predeterminada, las notificaciones por correo electrónico están deshabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, habilítelo en su cuenta de Citrix Cloud. Para obtener más información, consulte Recibir notificaciones por correo electrónico.

  • Si es administrador de Citrix Cloud con permisos de acceso personalizados (solo lectura y acceso completo) para administrar Security Analytics, las notificaciones por correo electrónico están habilitadas para su cuenta de Citrix Cloud. Para dejar de recibir notificaciones por correo electrónico de Citrix Analytics, solicite al administrador de acceso total de Citrix Cloud que elimine su nombre de la lista de distribución de notificaciones a los administradores. Para obtener información sobre, consulte Lista de distribución de correo electrónico.

Administrar directivas

Puede ver el panel Directivas para administrar todas las directivas creadas en Citrix Analytics para supervisar e identificar incoherencias en la red. En el panel de control Directivas, puede:

  1. Ver la lista de directivas

  2. Detalles de la directiva

    • Nombre de la directiva

    • Estado: habilitado o inhabilitado.

    • Duración de la directiva: Días que la directiva ha estado activa o inactiva.

    • Ocurrencias: Veces que se activa la directiva.

    • Modificada: Marca de tiempo, solo si se ha modificado la directiva.

  3. Eliminar la directiva

    • Para eliminar una directiva, puede seleccionar la directiva que quiere eliminar y hacer clic en Eliminar.

    • O bien, puede hacer clic en el nombre de la directiva para dirigirse a la página Modificar directiva. Haga clic en Eliminar directiva. En el cuadro de diálogo, confirme su solicitud para eliminar la directiva.

  4. Crear una directiva

  5. Haga clic en el nombre de una directiva para ver más detalles. También puede modificar la directiva al hacer clic en su nombre. Otras modificaciones que se pueden hacer son las siguientes:

    • Cambia el nombre de la directiva.

    • Condiciones de la directiva.

    • Acciones que se van a aplicar.

    • Habilite o inhabilite la directiva.

    • Elimine la directiva.

Nota

  • Si no quiere eliminar la directiva, puede optar por inhabilitarla.

  • Para volver a habilitar la directiva en el panel de directivas, haga lo siguiente:

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

Modelos compatibles

Citrix Analytics admite los siguientes modos de directivas:

  • Modo de aplicación: En este modo, las directivas configuradas afectan a las cuentas de usuario.

  • Modo de supervisión: En este modo, las directivas configuradas no afectan a las cuentas de usuario. Puede establecer directivas en este modo si quiere probar cualquier configuración de directivas.

Siga las instrucciones siguientes para configurar los modos de las directivas:

  1. Vaya a Seguridad > Directivas.

  2. En la página Directivas, seleccione el icono de la esquina superior derecha que aparece junto a la barra de búsqueda . Aparece la ventana SELECCIONAR MODO.

  3. Selecciona el modo que prefieras y haga clic en Guardar configuración.

Nota

Las directivas predeterminadas creadas por Analytics están configuradas en modo de supervisión. Como resultado, las directivas existentes también heredan este modo. Puede evaluar el impacto de todas las directivas conjuntamente y, a continuación, cambiarlas al modo de aplicación.

Modos de directiva

Búsqueda de directivas de autoservicio

En la página de búsqueda de autoservicio, puede ver los eventos de usuario que han cumplido las condiciones definidas en las directivas. La página también muestra las acciones aplicadas a estos eventos de usuario. Filtrar los eventos de usuario en función de las acciones aplicadas.

Directivas y acciones