Citrix Analytics para la seguridad

Directivas y acciones

Puede crear directivas en Citrix Analytics para ayudarle a realizar acciones en las cuentas de usuario cuando se producen actividades inusuales o sospechosas. Las directivas permiten automatizar el proceso de aplicación de acciones como inhabilitar a un usuario o agregar usuarios a una lista de seguimiento. Al habilitar directivas, se aplica una acción correspondiente inmediatamente después de que se produce un evento anómalo y se cumple la condición de la directiva. También puede aplicar acciones manualmente en cuentas de usuario con actividades anómalas.

¿Cuáles son las directivas?

Una directiva es un conjunto de condiciones que deben cumplirse para aplicar una acción. Una directiva contiene una o varias condiciones y una sola acción. Puede crear una directiva con varias condiciones y una acción que se puede aplicar a la cuenta de un usuario.

Lapuntuación de riesgo es una condición global. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico. Puede vigilar las cuentas de usuario que muestran actividades inusuales. Otras condiciones son específicas de los orígenes de datos y sus indicadores de riesgo. Las condiciones contienen combinaciones de puntuaciones de riesgo, indicadores de riesgo de impago e indicadores de riesgo personalizados. Puede agregar hasta 4 condiciones al crear una directiva.

Crear directiva

Por ejemplo, si su organización utiliza datos confidenciales, es posible que quiera restringir la cantidad de datos compartidos o a los que tienen acceso los usuarios internamente. Pero si tienes una organización grande, no sería factible que un solo administrador administre y supervise a muchos usuarios. Puede crear una directiva en la que cualquier persona que comparta datos confidenciales en exceso pueda agregarse a una lista de seguimiento o tener su cuenta desactivada inmediatamente.

Directivas predeterminadas

Las directivas predeterminadas están predefinidas y habilitadas en el panel Directivas. Se crean en función de condiciones predefinidas y se asigna una acción correspondiente a cada directiva predeterminada. Puede utilizar una directiva predeterminada o modificarla según sus requisitos.

Citrix Analytics admite las siguientes directivas predeterminadas:

  • Explotación de credenciales exitosas
  • Exfiltración potencial de datos
  • Acceso inusual desde una IP sospechosa
  • Acceso inusual a aplicaciones desde una ubicación inusual
  • Usuario de bajo riesgo: acceso por primera vez desde una nueva IP
  • Acceso por primera vez desde el dispositivo

Para obtener información sobre las condiciones y acciones predefinidas con respecto a las directivas predeterminadas anteriores, consulte Evaluación continua del riesgo.

Directivas predeterminadas

Para obtener información sobre la directiva predefinida para el caso de uso de geocercas, consulte Directiva preconfigurada.

¿Cómo agregar o eliminar condiciones?

Para agregar más condiciones, seleccione Agregar condición en la sección SI SE CUMPLE LA SIGUIENTE CONDICIÓN de la página Crear directiva. Para eliminar una condición, seleccione el icono - que aparece junto a la condición.

Agregar y quitar condición

Indicadores de riesgo de incumplimiento y personalizados

El menú de condiciones se segrega en función de las fichas Indicadores de riesgo predeterminados e Indicadores de riesgo personalizados de la página Crear directiva. Con estas fichas, puede identificar fácilmente el tipo de indicador de riesgo que quiere elegir al seleccionar una condición para la configuración de directivas.

Agregar y quitar condición

¿Cuáles son las acciones?

Las acciones son respuestas a eventos sospechosos que impiden que se produzcan eventos anómalos en el futuro. Puede aplicar acciones en cuentas de usuario que muestren comportamientos inusuales o sospechosos. Puede configurar directivas para aplicar acciones en la cuenta del usuario de forma automática o aplicar una acción específica manualmente desde el cronograma de riesgo del usuario.

Puede ver acciones o acciones globales para cada origen de datos de Citrix. También puede inhabilitar las acciones aplicadas previamente a un usuario en cualquier momento.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

En la tabla siguiente se describen las acciones que se pueden llevar a cabo.

Nombre de acción Descripción Orígenes de datos aplicables en
Acciones globales    
Agregar a la lista de seguimiento Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento. Todas los orígenes de datos
  El panel Usuarios en Lista de seguimiento muestra todos los usuarios que quiere supervisar para detectar posibles amenazas en función de la actividad inusual de su cuenta. Según la directiva de su organización, puede agregar un usuario a la lista de seguimiento mediante la acción Agregar a la lista de seguimiento.  
  Para agregar un usuario a la lista de seguimiento, navegue hasta el perfil del usuario, desde el menú Acciones, seleccione Agregar a la lista de seguimiento. Haga clic en Aplicar para aplicar la acción.  
Notificar a los administradores Cuando se activa un indicador de riesgo para un usuario, puede notificar manualmente a los administradores o crear una directiva para la notificación automática. Esta acción envía una notificación por correo electrónico solo a los administradores de Citrix Cloud de su organización. También puede seleccionar los administradores de Citrix Cloud a los que quiere notificar. Nota: De forma predeterminada, las notificaciones por correo electrónico están inhabilitadas en su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, debes habilitarlas en su cuenta de Cloud. Para obtener más información, consulte Recibir notificaciones por correo electrónico.  
Solicitar respuesta del usuario Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, puede notificar al usuario para confirmar si el usuario identifica la actividad. En función de la actividad, puede determinar el siguiente curso de acción que se tomará en la cuenta del usuario. Esta acción solo se puede aplicar cuando se configuran directivas. No puede aplicar esta acción manualmente. Nota: Para utilizar esta acción, debe conectar su Active Directory con Citrix Cloud y asegurarse de que el correo electrónico del usuario esté disponible en Active Directory. Todas los orígenes de datos
Acciones de Citrix Gateway    
Cerrar sesión usuario Cuando se aplica la acción, cierra la sesión de usuario que está activa actualmente. No bloquea ninguna sesión de usuario futura. Citrix Gateway local y Citrix Application Delivery Management
Bloquear usuario Cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta. Citrix Gateway local
Desbloquear usuario Cuando la cuenta de un usuario se bloquea accidentalmente aunque no se haya detectado un comportamiento anómalo, puede aplicar esta acción para desbloquearla y restaurar el acceso a la cuenta. Citrix Gateway local
Acciones de Citrix Content Collaboration    
Inhabilitar usuario Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration. Citrix Content Collaboration
  Una vez desactivada su cuenta, el usuario verá una notificación. La notificación en la página de inicio de sesión de su cuenta les pide que se pongan en contacto con el administrador de Content Collaboration para obtener más información.  
Caducar todos los enlaces Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador. Citrix Content Collaboration
  Cuando un usuario comparte archivos en exceso, se activa el indicador de riesgo de uso compartido excesivo de archivos y los vínculos compartidos caducan. Cuando caduquen los vínculos compartidos, el vínculo se convierte en inválido y los usuarios con los que se compartió el vínculo no pueden acceder a él.  
Cambiar los vínculos al uso compartido de solo lectura Cuando un usuario comparte archivos de forma excesiva, puede aplicar esta acción. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.  
Acciones de Citrix Virtual Apps and Desktops    
Cerrar sesión usuario Cuando se aplica la acción, cierra la sesión de usuario que está activa actualmente. No bloquea ninguna sesión de usuario futura. Virtual Apps and Desktops locales y servicio Citrix Virtual Apps and Desktops
Iniciar grabación de sesiones Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Si el usuario utiliza Virtual Apps and Desktops 7.18 o una versión posterior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario. Virtual Apps and Desktops locales

Notas

  • Si aplica la acción Inhabilitar usuario para un usuario de Content Collaboration, la cuenta del usuario no se inhabilita hasta que el administrador de Content Collaboration vea la notificación. Durante el período intermedio, el usuario puede usar su cuenta de Content Collaboration y Citrix Analytics continúa procesando los datos. Una vez que el administrador de Content Collaboration inhabilita la cuenta del usuario, el usuario debe ponerse en contacto con su administrador de Content Collaboration para que se reactive su cuenta. El administrador de Citrix Analytics no puede habilitar las cuentas de Content Collaboration inhabilitadas.

  • En el caso de Virtual Apps and Desktops locales, debe descargar un agente de Citrix Analytics e instalarlo en el Delivery Controller para realizar las acciones Cerrar sesión del usuario e Iniciar grabación de sesiones. Para obtener más información sobre el agente, consulte Habilitar análisis en sitios de Virtual Apps and Desktops.

Uso compartido de solo lectura

Puede cambiar un enlace para compartir al modo de uso compartido de solo lectura de las siguientes maneras:

  • En el cronograma de riesgo de un usuario, seleccione el indicador Riesgo excesivo de uso compartido de archivos. Haga clic en Acciones > Cambiar vínculos a acciones de uso compartido de solo lectura. La acción se aplica en la cuenta de usuario que activó el indicador de riesgo.

    Nota

    La acción Cambiar vínculos al uso compartido de solo lectura funciona únicamente con el indicador Riesgo excesivo de uso compartido de archivos. Para cualquier otro indicador de riesgo, si aplica esta acción, no surtirá efecto.

    Aplicar acción solo compartir

  • En el panel de control Share Links, haga clic en una URL para compartir. Se le redirigirá a la cronología de riesgo de compartir enlaces. Haga clic en Acción > Cambiar vínculos al uso compartido de solo lectura. La acción se aplica en el enlace de compartir en particular.

    Aplicar vista de acción solo compartir en enlace de compartir

Requisitos previos

  • El administrador debe tener una cuenta Enterprise en Content Collaboration para utilizar la acción Cambiar vínculos a uso compartido de solo lectura.

  • El uso compartido de solo lectura es una función disponible en una solicitud en las cuentas empresariales de Citrix Content Collaboration. Antes de aplicar la acción Cambiar vínculos al uso compartido de solo lectura en Citrix Analytics, asegúrese de que la función Compartir solo lectura ya esté habilitada en las cuentas de Content Collaboration Enterprise del usuario y del administrador. Para obtener más información, consulte el artículo de asistencia técnica de Citrix: CTX208601.

¿Qué pasa cuando aplicas esta acción?

Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos.

La acción de compartir solo lectura se aplica a los siguientes tipos de archivo:

  • Archivos de Microsoft Office

  • PDF

  • Archivos de imagen (requiere SZC v3.4.1 o posterior):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Archivos de audio y vídeo almacenados en una zona de almacenamiento administrada por Citrix.

Configurar directivas y acciones

Por ejemplo, siguiendo los pasos que se indican a continuación, puede crear una directiva de uso compartido excesivo de archivos. Con esta directiva, cuando un usuario de la organización comparte una cantidad inusualmente grande de datos, los vínculos del recurso compartido caducaron automáticamente. Se le notifica cuando un usuario comparte datos que superan el comportamiento normal de ese usuario. Si aplica la directiva de uso compartido excesivo de archivos y toma medidas inmediatas, puede evitar la filtración de datos de la cuenta de cualquier usuario.

Para crear una directiva, haga lo siguiente:

  1. Después de iniciar sesión en Citrix Analytics, vaya a Seguridad > Directivas > Crear directiva.

    Crear directiva

  2. En el cuadro de lista SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione las condiciones predeterminadas o personalizadas del indicador de riesgo a las que quiere aplicar una acción.

    Agregar y quitar condición

  3. En la lista ENTONCES HAZ LO SIGUIENTE, selecciona una acción.

    Luego haga lo siguiente

  4. En el cuadro de texto Nombre de la directiva, proporcione un nombre y habilite la directiva mediante el botón de alternancia proporcionado.

    Crear directiva

  5. Haga clic en Crear directiva.

Después de crear una directiva, la directiva aparece en el panel de control Directivas.

El panel Directivas muestra las directivas asociadas a los orígenes de datos que se han detectado correctamente y se han conectado a Citrix Analytics. El panel no muestra las directivas que tienen condiciones definidas para los orígenes de datos no descubiertas.

Por ejemplo, ha seleccionado un indicador de riesgo de Content Collaboration como condición para su directiva. Sin embargo, no tiene una suscripción para utilizar Citrix Content Collaboration y, por lo tanto, Citrix Analytics no detecta esta fuente de datos. Por lo tanto, su directiva no aparece en el panel Directivas.

Sin embargo, desactivar el procesamiento de datos de un origen de datos ya conectada no afecta a las directivas existentes en el panel Directivas.

Solicitar respuesta del usuario

Solicitar respuesta del usuario final es una acción global mediante la cual puede alertar a un usuario inmediatamente después de detectar una actividad inusual. Al aplicar la acción, se envía una notificación por correo electrónico a los usuarios para cualquier actividad habitual detectada en sus cuentas de Citrix. Los usuarios deben responder a través del correo electrónico sobre la legitimidad de su actividad.

Requisito previo: Para utilizar esta acción, debe conectar su Active Directory con Citrix Cloud y asegurarse de que el correo electrónico del usuario esté disponible en Active Directory. Para obtener información sobre cómo conectar Active Directory, consulte Conectar Active Directory a Citrix Cloud.

En función de la respuesta del usuario, puede determinar el siguiente curso de acción que quieres tomar. Si recibe una respuesta de que el usuario realizó la actividad denunciada, la actividad no es sospechosa y no es necesario que realice ninguna acción en la cuenta del usuario. El límite diario para enviar alertas de seguridad al usuario es de tres correos electrónicos.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede alertar al usuario sobre este comportamiento inusual aplicando la acción Solicitar respuesta del usuario final. Se envía una alerta de seguridad al usuario desde el ID de correo electrónico security-analytics@citrix.com.

El correo electrónico contiene la siguiente información:

  • Actividad del usuario que ha activado el indicador de riesgo

  • Dispositivo del usuario

  • Fecha y hora de la actividad del usuario

  • Ubicaciones (ciudades y países) desde las que se accede correctamente a los productos o servicios. Si la ciudad o el país no están disponibles, el valor correspondiente se muestra como “Desconocido”

La acción Solicitar respuesta del usuario final se agrega a la cronología de riesgo del usuario.

Solicitar respuesta del usuario

Nota

La acción Solicitar respuesta del usuario final solo se admite cuando su organización está incorporada a la región de Estados Unidos. Si su organización está incorporada a la región de la Unión Europea en Citrix Cloud, no puede utilizar esta acción.

¿Cómo configurar el tiempo de respuesta del usuario?

Puede configurar el tiempo de respuesta del usuario a su correo electrónico de alerta de seguridad. Si el usuario no responde sobre la actividad informada dentro del período de tiempo especificado, el usuario se agrega a la lista de seguimiento para su supervisión.

Siga los pasos para configurar el tiempo de respuesta del usuario:

  1. Haga clic en Configuración > Configuración de alertas > Configuración del correo electrónico del usuario final.

    Navegación de ajustes de tiempo

  2. En la página Configuración del correo electrónico del usuario final, introduzca el número de minutos en el cuadro de texto.

    Ajustes de tiempo

  3. Haga clic en Guardar cambios.

También puede agregar un banner, un texto de encabezado y un texto de pie de página en el correo electrónico de alerta de seguridad para que parezca legítimo, atraiga la atención de los usuarios y aumente el tiempo de respuesta. Para obtener más información, consulte Configuración del correo electrónico del usuario final.

Notificar al usuario después de aplicar la acción disruptiva

En este tipo de acción, puede aplicar una acción perjudicial como Cerrar sesión del usuario y Bloquear usuario en la cuenta del usuario cuando se detecta una actividad inusual. Cuando se aplica una acción en la cuenta del usuario, es posible que se interrumpan los servicios de su cuenta. En tales casos, el usuario debe ponerse en contacto con el administrador para poder acceder a su cuenta como antes.

Considere un usuario de Citrix Content Collaboration cuya puntuación de riesgo haya superado los 80 en una duración de 80 minutos. Puede cerrar la sesión del usuario. Una vez realizada esta tarea, el usuario no puede acceder a su cuenta y se envía una notificación por correo electrónico al usuario desde el ID de correo electrónico security-analytics@citrix.com. El correo electrónico contiene detalles del evento, como la actividad, el dispositivo, la fecha y la hora y la dirección IP. El usuario debe ponerse en contacto con el administrador para acceder a su cuenta como antes.

Aplicar acción disruptiva

Aplicar una acción manualmente

Piense en un usuario, Lemuel, que inicia sesión en una red mediante un dispositivo nuevo por primera vez. Para supervisar su cuenta, ya que su comportamiento es inusual, puede utilizar la acción Notificar a los administradores.

Para aplicar la acción manualmente al usuario, debe:

Navegue hasta el perfil de un usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione la acción Notificar a los administradores y haga clic en Aplicar.

Lista de acciones

De forma predeterminada, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud para supervisar su cuenta. También puede seleccionar los administradores de Citrix Cloud a los que quiere notificar. La acción aplicada se agrega a su línea de tiempo de riesgo y los detalles de la acción se muestran en el panel derecho de la página de línea de tiempo de riesgo.

Acción aplicada

Nota:

De forma predeterminada, las notificaciones de correo electrónico están inhabilitadas para su cuenta de Citrix Cloud. Para recibir notificaciones por correo electrónico, debes habilitarlas en su cuenta de Cloud. Para obtener más información, consulte Recibir notificaciones por correo electrónico.

Administrar directivas

Puede ver el panel Directivas para administrar todas las directivas creadas en Citrix Analytics para supervisar e identificar incoherencias en la red. En el panel de control Directivas, puede:

  1. Ver la lista de directivas

  2. Detalles de la directiva

    • Nombre de la directiva

    • Estado: habilitado o inhabilitado.

    • Duración de la directiva: Días que la directiva ha estado activa o inactiva.

    • Ocurrencias: Veces que se activa la directiva.

    • Modificada: Marca de tiempo, solo si se ha modificado la directiva.

  3. Eliminar la directiva

    • Para eliminar una directiva, puede seleccionar la directiva que quiere eliminar y hacer clic en Eliminar.

    • O bien, puede hacer clic en el nombre de la directiva para dirigirse a la página Modificar directiva. Haga clic en Eliminar directiva. En el cuadro de diálogo, confirme su solicitud para eliminar la directiva.

  4. Crear una directiva

  5. Haga clic en el nombre de una directiva para ver más detalles. También puede modificar la directiva al hacer clic en su nombre. Otras modificaciones que se pueden hacer son las siguientes:

    • Cambia el nombre de la directiva.

    • Condiciones de la directiva.

    • Acciones que se van a aplicar.

    • Habilite o inhabilite la directiva.

    • Elimine la directiva.

Nota

  • Si no quiere eliminar la directiva, puede optar por inhabilitarla.

  • Para volver a habilitar la directiva en el panel de directivas, haga lo siguiente:

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

Modelos compatibles

Citrix Analytics admite los siguientes modos de directivas:

  • Modo de aplicación : en este modo, las directivas configuradas afectan a las cuentas de usuario.

  • Modo de supervisión : en este modo, las directivas configuradas no afectan a las cuentas de usuario. Puede establecer directivas en este modo si quiere probar cualquier configuración de directivas.

Siga las instrucciones siguientes para configurar los modos de las directivas:

  1. Vaya a Seguridad > Directivas.

  2. En la página Directivas, seleccione el icono de la esquina superior derecha que aparece junto a la barra de búsqueda . Aparece la ventana SELECCIONAR MODO.

  3. Selecciona el modo que prefieras y haga clic en Guardar configuración.

Nota

Las directivas predeterminadas creadas por Analytics están configuradas en modo de supervisión. Como resultado, las directivas existentes también heredan este modo. Puede evaluar el impacto de todas las directivas conjuntamente y, a continuación, cambiarlas al modo de aplicación.

Modos de directiva

Búsqueda de directivas de autoservicio

En la página de búsqueda de autoservicio, puede ver los eventos de usuario que han cumplido las condiciones definidas en las directivas. La página también muestra las acciones aplicadas a estos eventos de usuario. Filtrar los eventos de usuario en función de las acciones aplicadas.

Directivas y acciones