Citrix Analytics para seguridad

Directivas y acciones

Puede crear directivas en Citrix Analytics para ayudarle a realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Las directivas le permiten automatizar el proceso de aplicación de acciones, como inhabilitar un usuario, agregar usuarios a una lista de seguimiento. Cuando habilita directivas, se aplica una acción correspondiente inmediatamente después de que se produce un evento anómalo y se cumple la condición de directiva. También puede aplicar acciones manualmente en cuentas de usuario con actividades anómalas.

¿Qué son las directivas?

Una directiva es un conjunto de condiciones que se deben cumplir para que se ejecute una acción. Una directiva contiene una o varias condiciones y una sola acción. Puede crear una directiva con varias condiciones y una acción que se pueda aplicar a la cuenta de un usuario.

Lapuntuación de riesgo es una condición global. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico. Puede mantener un reloj en las cuentas de usuario que muestran cualquier actividad inusual. Otras condiciones son específicas de las fuentes de datos y sus indicadores de riesgo. Las condiciones contienen combinaciones de puntuaciones de riesgo, indicadores de riesgo por defecto e indicadores de riesgo personalizados. Puede agregar hasta 4 condiciones al crear una directiva.

Crear directiva

Por ejemplo, si su organización utiliza datos confidenciales, es posible que quiera restringir la cantidad de datos compartidos o a los que tienen acceso los usuarios internamente. Pero si tiene una organización grande, no sería factible que un solo administrador administre y supervise muchos usuarios. Puede crear una directiva en la que cualquier persona que comparta datos confidenciales en exceso pueda agregarse a una lista de seguimiento o tener su cuenta desactivada inmediatamente.

Directivas predeterminadas

Las directivas predeterminadas están predefinidas y habilitadas en el panel Directivas. Se crean en función de condiciones predefinidas y se asigna una acción correspondiente a cada directiva predeterminada. Puede utilizar una directiva predeterminada o modificarla según sus requisitos.

Citrix Analytics admite las siguientes directivas predeterminadas:

  • Explotación de credenciales correcta
  • Exfiltración potencial de datos
  • Acceso inusual desde una IP sospechosa
  • Acceso inusual a aplicaciones desde una ubicación inusual
  • Usuario de bajo riesgo: Acceso por primera vez desde la nueva IP
  • Acceso por primera vez desde el dispositivo

Para obtener información sobre las condiciones y acciones preestablecidas de las directivas predeterminadas, consulte Evaluación continua del riesgo.

Directivas predeterminadas

¿Cómo agregar o eliminar condiciones?

Para agregar más condiciones, seleccione Agregar condición en la sección SI LA CONDICIÓN SIGUIENTE SE CUMPLE de la página Crear directiva. Para eliminar una condición, seleccione el icono - que aparece junto a la condición.

Agregar y quitar condición

Indicadores de riesgo predeterminados y personalizados

El menú condiciones se segrega en función de las fichas Indicadores de riesgo predeterminados e Indicadores de riesgo personalizados de la página Crear directiva. Mediante estas fichas, puede identificar fácilmente el tipo de indicador de riesgo que quiere elegir al seleccionar una condición para la configuración de directivas.

Agregar y quitar condición

¿Qué son las acciones?

Las acciones son respuestas a eventos sospechosos que impiden que ocurran eventos anómalos en el futuro. Puede aplicar acciones en cuentas de usuario que muestren comportamientos inusuales o sospechosos. Puede configurar directivas para que actúen automáticamente en la cuenta del usuario o aplicar manualmente una acción específica desde la línea de tiempo de riesgo del usuario.

Puede ver acciones o acciones globales para cada origen de datos de Citrix. También puede inhabilitar las acciones aplicadas anteriormente para un usuario en cualquier momento.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

En la tabla siguiente se describen las acciones que puede realizar.

Nombre de la acción Descripción Orígenes de datos aplicables en
Acciones mundiales    
Agregar a la lista de seguimiento Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento. Todas las fuentes de datos
  El panel Usuarios en Lista de seguimiento muestra todos los usuarios que quiere supervisar para detectar posibles amenazas en función de la actividad inusual de su cuenta. Según la directiva de su organización, puede agregar un usuario a la lista de seguimiento mediante la acción Agregar a la lista de seguimiento.  
  Para agregar un usuario a la lista de visualización, desplácese hasta el perfil del usuario, desde el menú Acciones, seleccione Agregar a la lista de visualización. Haga clic en Aplicar para aplicar la acción.  
Notificar al administrador Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.  
Solicitar respuesta del usuario Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, puede notificarle al usuario que confirme si el usuario identifica la actividad. En función de la actividad, puede determinar el siguiente curso de acción que se tomará en la cuenta del usuario. Todas las fuentes de datos
Acciones de Citrix Gateway    
Cerrar sesión usuario Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway borre la acción Cerrar sesión Usuario. Citrix Gateway local y Citrix Application Delivery Management
Bloquear usuario Cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta. Citrix Gateway
Desbloquear usuario Cuando la cuenta de un usuario se bloquea accidentalmente aunque no se haya detectado un comportamiento anómalo, puede aplicar esta acción para desbloquearla y restaurar el acceso a la cuenta. Citrix Gateway
Acciones de Citrix Content Collaboration    
Inhabilitar usuario Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration. Citrix Content Collaboration
  Después de desactivar su cuenta, el usuario verá una notificación. La notificación en la página de inicio de sesión de su cuenta les pide que se pongan en contacto con el administrador de Content Collaboration para obtener más información.  
Caducar todos los vínculos compartidos Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador. Citrix Content Collaboration
  Cuando un usuario comparte archivos en exceso, se activa el indicador de riesgo de uso compartido excesivo de archivos y los vínculos compartidos expiran. Cuando caduquen los vínculos compartidos, el vínculo se convierte en inválido y los usuarios con los que se compartió el vínculo no pueden acceder a él.  
Acciones de Citrix Virtual Apps and Desktops    
Cerrar sesión usuario Cuando un usuario cierra la sesión de su cuenta, no puede tener acceso al recurso a través de Virtual Desktops hasta que el administrador de escritorios virtuales borre la acción Cerrar sesión usuario. Virtual Apps and Desktops locales y servicio Citrix Virtual Apps and Desktops
Iniciar grabación de sesiones Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario. Virtual Apps and Desktops locales
Acciones de Citrix Endpoint Management    
Bloquear dispositivo Cuando hay actividad inusual en un dispositivo que hace que la puntuación de riesgo del usuario supere un valor especificado, puede utilizar la acción Bloquear dispositivo Servicio Citrix Endpoint Management
  Cuando se aplica la acción, todos los dispositivos del usuario están bloqueados. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.  

Nota

  • Si aplica la acción Inhabilitar usuario para un usuario de Content Collaboration, la cuenta del usuario no se inhabilita hasta que el administrador de Content Collaboration vea la notificación. Durante el período intermedio, el usuario puede usar su cuenta de Content Collaboration y Citrix Analytics continúa procesando los datos. Después de que el administrador de Content Collaboration inhabilite la cuenta del usuario, el usuario debe ponerse en contacto con el administrador de Content Collaboration para que se reactive su cuenta. El administrador de Citrix Analytics no puede habilitar las cuentas de Content Collaboration inhabilitadas.

  • Para Virtual Apps and Desktops local, debe descargar un agente de Citrix Analytics e instalarlo en Delivery Controller para realizar las acciones Usuario de cierre de sesión e Iniciar grabación de sesión. Para obtener más información sobre el agente, consulte Habilitar análisis en sitios Virtual Apps and Desktops.

Configurar directivas y acciones

Por ejemplo, siguiendo los pasos que se indican a continuación, puede crear una directiva de uso compartido excesivo de archivos. Con esta directiva, cuando un usuario de la organización comparte una cantidad inusualmente grande de datos, los vínculos del recurso compartido caducaron automáticamente. Se le notifica cuando un usuario comparte datos que superan el comportamiento normal de ese usuario. Al aplicar la directiva de uso compartido excesivo de archivos y tomar medidas inmediatas, puede evitar la exfiltración de datos de cualquier cuenta de usuario.

Para crear una directiva, haga lo siguiente:

  1. Después de iniciar sesión en Citrix Analytics, en la barra de herramientas, vaya a Configuración > Indicadores y directivas de riesgo personalizados.

    Directiva de configuración

  2. En el panel Directivas, haga clic en Crear directiva.

    Botón Crear directiva

  3. En el cuadro de lista SI LA SIGUIENTE CONDICIÓN ES METIDA, seleccione las condiciones predeterminadas o personalizadas del indicador de riesgo en las que quiere aplicar una acción.

    Agregar y quitar condición

  4. En la lista LUEGO, HACER LO SIGUIENTE, seleccione una acción.

    A continuación, haga lo siguiente

  5. En el cuadro de texto Nombre de directiva, proporcione un nombre y habilite la directiva mediante el botón de alternancia proporcionado.

    Crear directiva

  6. Haga clic en Crear directiva.

Solicitar respuesta del usuario

Solicitar respuesta del usuario es una acción global mediante la cual puede alertar a un usuario inmediatamente después de detectar una actividad inusual. En función de la respuesta del usuario, puede determinar el siguiente curso de acción que quiera realizar. Si recibe una respuesta de que el usuario realizó la actividad reportada, la actividad no es sospechosa y no necesita tomar medidas en la cuenta del usuario. El límite diario para enviar una alerta de seguridad al usuario es de tres correos electrónicos.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede alertar al usuario sobre este comportamiento inusual aplicando la acción Solicitar respuesta del usuario. Se envía una alerta de seguridad al usuario desde el ID de correo electrónicosecurity-analytics@citrix.com. El correo electrónico contiene información como la actividad, el dispositivo, la fecha y la hora, y la dirección IP. Además, la acción Solicitar respuesta del usuario se agrega a la línea de tiempo de riesgo del usuario.

Solicitar respuesta del usuario

¿Cómo establecer el tiempo de respuesta del usuario?

Puede configurar el tiempo de respuesta del usuario a su correo electrónico de alerta de seguridad siguiendo los pasos siguientes:

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la página Directivas, seleccione el menú Configuración y actualice el número de minutos en el cuadro de texto.

  3. Haga clic en Guardar configuración.

    Tiempo de respuesta del usuario

Notificar al usuario después de aplicar la acción disruptiva

En este tipo de acción, puede aplicar una acción disruptiva como Cerrar sesión de usuario y Bloquear usuario en la cuenta del usuario cuando se detecta una actividad inusual. Cuando se aplica una acción en la cuenta del usuario, es posible que se interrumpan los servicios de su cuenta. En tales casos, el usuario debe ponerse en contacto con el administrador para poder acceder a su cuenta como antes.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede cerrar la sesión del usuario. Una vez realizada esta tarea, el usuario no puede acceder a su cuenta y se envía una notificación por correo electrónico al usuario desde el ID de correo electrónicosecurity-analytics@citrix.com. El correo electrónico contiene detalles del evento, como la actividad, el dispositivo, la fecha y la hora, y la dirección IP. El usuario debe ponerse en contacto con el administrador para acceder a su cuenta como antes.

Aplicar acción disruptiva

Aplicar una acción manualmente

Considere a un usuario, Lemuel Kildow que inicia sesión en una red mediante un nuevo dispositivo por primera vez. Para supervisar su cuenta, ya que su comportamiento es inusual, puede utilizar la acción Notificar a los administradores.

Para aplicar la acción al usuario manualmente, debe:

Desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione la acción Notificar a los administradores y haga clic en Aplicar.

Lista de acciones

Debido a la actividad inusual y sospechosa en la cuenta de Lemuel, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud para supervisar su cuenta. La acción aplicada se agrega a su línea de tiempo de riesgo y los detalles de la acción se muestran en el panel derecho de la página de línea de tiempo de riesgo.

Acción aplicada

Administrar directivas

Puede ver el panel de directivas para administrar todas las directivas creadas en Citrix Analytics para supervisar e identificar incoherencias en la red. En el panel Directivas, puede:

  1. Ver la lista de directivas

  2. Detalles de la directiva

    • Nombre de la directiva

    • Estado: Habilitado o inhabilitado.

    • Duración de la directiva: Número de días en que la directiva ha estado activa o inactiva.

    • Hits: Número de veces que se activa la directiva.

    • Modificado: Marca de hora, solo si se ha modificado la directiva.

  3. Eliminar la directiva

    • Para eliminar una directiva, puede seleccionar la directiva que quiere eliminar y hacer clic en Eliminar.

    • O bien, puede hacer clic en el nombre de la directiva para dirigirse a la página Modificar directiva. Haga clic en Eliminar directiva. En el cuadro de diálogo, confirme su solicitud para eliminar la directiva.

  4. Crear una directiva

  5. Haga clic en el nombre de una directiva para ver más detalles. También puede modificar la directiva al hacer clic en su nombre. Otras modificaciones que se pueden hacer son las siguientes:

    • Cambie el nombre de la directiva.

    • Condiciones de la póliza.

    • Las acciones a aplicar.

    • Habilite o inhabilite la directiva.

    • Elimine la directiva.

Nota

  • Si no quiere eliminar la directiva, puede optar por desactivarla.

  • Para volver a habilitar la directiva en el panel de directivas, haga lo siguiente:

    • En el panel de control de directivas, haga clic en el botón deslizante Estado en verde.

    • En la página Modificar directiva, haga clic en el botón deslizante Activado en la parte inferior de la página.

Modelos compatibles

Citrix Analytics admite los siguientes modos en las directivas:

  • Modo de aplicación: En este modo, las directivas configuradas afectan a las cuentas de usuario.

  • Modo Monitor: En este modo, las directivas configuradas no afectan a las cuentas de usuario. Puede establecer directivas en este modo si quiere probar cualquier configuración de directiva.

Siga las instrucciones siguientes para configurar los modos en las directivas:

  1. Vaya a Configuración > Indicadores y directivas de riesgo personalizados.

  2. En la página Directivas, seleccione el icono situado en la esquina superior derecha, que se muestra junto a la barra de búsqueda. Aparece la ventana SELECCIONAR MODO.

  3. Seleccione el modo que quiera y haga clic en Guardar configuración.

Nota

Las directivas predeterminadas creadas por Analytics se configuran en modo de supervisión. Como resultado, las directivas existentes también heredan este modo. Puede evaluar el impacto de todas las directivas juntas y, a continuación, cambiarlas al modo de aplicación.

Modos de directiva

Búsqueda de directivas de autoservicio

En la página búsqueda de autoservicio, puede ver los eventos de usuario que han satisfecho las condiciones definidas en las directivas. La página también muestra las acciones aplicadas en estos eventos de usuario. Filtrar los eventos de usuario en función de las acciones aplicadas.

Directivas y acciones