Citrix Analytics para seguridad

Directivas e indicadores de riesgo personalizados preconfigurados

Citrix Analytics for Security proporciona una lista de preconfigurados indicadores de riesgo personalizados y un policy para ayudarlo a supervisar la seguridad de su infraestructura Citrix. Las condiciones de estos indicadores de riesgo personalizados preconfigurados y la política ya están definidas de acuerdo con escenarios de riesgo de seguridad específicos, tales como usuarios comprometidos, amenazas internas y filtración de datos. También puede modificar estas condiciones preconfiguradas o agregar sus propias condiciones según sus requisitos de seguridad y utilizar los indicadores de riesgo personalizados para mitigar los riesgos.

Actualmente, los indicadores de riesgo personalizados preconfigurados están disponibles para los siguientes escenarios:

  • Geocerca

  • Acceso por primera vez

Indicadores de riesgo personalizados preconfigurados para el escenario de geofencing

Utilice los siguientes indicadores de riesgo personalizados preconfigurados para detectar los eventos de usuario del escenario de geoesgrima. Estos indicadores de riesgo personalizados preconfigurados se activan cada vez que los usuarios acceden a los productos Citrix desde fuera de su país de operación habitual. De forma predeterminada, el país de operación se establece en “Estados Unidos”. Puede establecer el país requerido para el geocercado.

  • Sesión CVAD iniciada fuera de la geocerca

  • Cruce GW-Geocerca

  • Cruce de geocerca CCC

De forma predeterminada, los indicadores de riesgo personalizados preconfigurados se encuentran en estado inhabilitado. Utilice el botón STATUS para habilitarlos.

Indicadores de riesgo personalizados preconfigurados

En la tabla siguiente se describen los distintos indicadores de riesgo personalizados preconfigurados para geofencing.

Nombre del indicador de riesgo personalizado Caso Condiciones personalizadas del indicador Origen de datos Categoría de riesgo
Sesión CVAD iniciada fuera de la geocerca El usuario ha iniciado una sesión virtual fuera de su país de operación Event-Type = Session.logon Country != “United States” Aplicación Citrix Workspace Usuarios comprometidos
Cruce GW-Geocerca El usuario tiene autenticación correcta desde fuera de su país de operación Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (local) Usuarios comprometidos
Cruce de geocerca CCC Inicio de sesión de un no empleado desde fuera del país de operación Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration Usuarios comprometidos

Directiva preconfigurada para el escenario de geoesgrima

Citrix proporciona una directiva preconfigurada que aplica la acción Solicitar respuesta del usuario final a una cuenta de usuario cada vez que el usuario inicia una sesión virtual desde fuera de su país de operación. El usuario recibe un correo electrónico y, en función de la respuesta del usuario, se realiza una acción apropiada, como agregar al usuario a la lista de seguimiento o notificar al administrador para realizar acciones adicionales. Para obtener más información, consulte Solicitar respuesta del usuario.

Directiva preconfigurada

En la tabla siguiente se describe la directiva preconfigurada para la geoesgrima.

Nombre de directiva Caso Condición de directiva Acción aplicada
Inicio de sesión fuera de la geocerca Capacidad de un administrador para validar la legitimidad del usuario mediante la acción “Solicitar respuesta del usuario final” cuando el usuario inicia la sesión virtual fuera de su país de operación Uso con indicador de riesgo personalizado preconfigurado- “La sesión CVAD-iniciada fuera de la geocerca” Solicitar respuesta del usuario final
      En función de la siguiente respuesta del usuario, se aplica la acción correspondiente:
      Si el usuario no reconoce la actividad: Agregar a lista de seguimiento
      Si el usuario reconoce la actividad: No se requiere ninguna acción
      Si el usuario no responde dentro de los 60 minutos siguientes a la recepción del correo electrónico: Agregue el usuario a la lista de seguimiento

Nota

La acción Solicitar respuesta del usuario final solo se admite en la región Estados Unidos. Por lo tanto, si su organización está incorporada a la región de la Unión Europea en Citrix Cloud, la directiva preconfigurada no se aplicará a su cuenta. Para utilizar la directiva preconfigurada, modifique la directiva y seleccione otra acción de su elección.

Cree su propia política con indicadores de riesgo personalizados preconfigurados para geofencing

También puede crear sus propias directivas con estos indicadores de riesgo personalizados preconfigurados y aplicar acciones como bloquear usuarios o cerrar sesión de usuarios siempre que se activen los indicadores. Para obtener información sobre cómo crear directivas, consulte Configurar directivas y acciones.

En el ejemplo siguiente se muestra una directiva que bloquea a los usuarios que intentan acceder a los servicios Citrix desde fuera de Estados Unidos. El acceso de usuario se bloquea si el usuario no reconoce su actividad de acceso.

Condición: cruce GW-Geocerca

Acción: Solicitar respuesta del usuario final

Siguiente acción: Bloquear el usuario si el usuario no reconoce la actividad

Ejemplo de geocercado

Nota

La acción Solicitar respuesta del usuario final solo se admite en la región Estados Unidos. Por lo tanto, si su organización está integrada en la región Unión Europea, seleccione otra acción de su elección en lugar de la acción Solicitar respuesta del usuario final.

Indicadores de riesgo personalizados preconfigurados para el escenario de acceso por primera vez

Utilice los siguientes indicadores de riesgo personalizados para detectar los eventos de usuario por primera vez los escenarios de acceso:

  • CVAD- Acceso por primera vez desde un nuevo dispositivo

  • Acceso por primera vez a la puerta de enlace desde una nueva IP

De forma predeterminada, estos indicadores de riesgo personalizados preconfigurados se encuentran en estado habilitado. Utilice el botón STATUS si quieres deshabilitarlos.

Lista de acceso por primera vez ci

En la tabla siguiente se describen los indicadores de riesgo personalizados preconfigurados para el acceso por primera vez.

Nombre de indicador personalizado Caso Condiciones preconfiguradas Origen de datos Categoría de riesgo
CVAD- Acceso por primera vez desde un nuevo dispositivo Cuando un usuario de la aplicación Citrix Workspace inicia sesión desde una de las siguientes opciones: Las siguientes condiciones están habilitadas de forma predeterminada: Citrix Virtual Apps and Desktops Usuarios comprometidos
  Un nuevo dispositivo La primera vez para un nuevo ID de dispositivo.    
  Dispositivo existente que no se ha utilizado durante los últimos 90 días. Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
Acceso por primera vez a la puerta de enlace desde una nueva IP Cuando un usuario de Citrix Gateway firma correctamente desde una de las siguientes opciones: Las siguientes condiciones están habilitadas de forma predeterminada: Citrix Gateway Usuarios comprometidos
  Una nueva dirección IP pública La primera vez para una nueva IP de cliente    
  Dirección IP pública existente que no se ha utilizado durante los últimos 90 días. Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

En la barra de condiciones, también puede agregar sus propias condiciones además de las condiciones preconfiguradas para identificar amenazas según sus requisitos.

Por ejemplo, si desea identificar los eventos de usuario de un país determinado, puede agregar la dimensión de país junto con la condición preconfigurada:

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

Directivas e indicadores de riesgo personalizados preconfigurados