Directivas e indicadores de riesgo personalizados preconfigurados
Citrix Analytics for Security proporciona una lista de indicadores de riesgo personalizados preconfigurados y una directiva para ayudarle a supervisar la seguridad de su infraestructura Citrix. Las condiciones de estos indicadores de riesgo personalizados preconfigurados y de la directiva ya están definidas de acuerdo con casos de riesgo de seguridad específicos, como usuarios comprometidos, amenazas internas y exfiltración de datos. También puede modificar estas condiciones preconfiguradas o agregar sus propias condiciones según sus requisitos de seguridad y utilizar los indicadores de riesgo personalizados para mitigar los riesgos.
Actualmente, los indicadores de riesgo personalizados preconfigurados están disponibles para los siguientes casos:
-
Geocerca
-
Acceso por primera vez
Indicadores de riesgo personalizados preconfigurados para el caso de geocercas
Utilice los siguientes indicadores de riesgo personalizados preconfigurados para detectar los eventos del usuario desde fuera de las áreas geocercadas.
-
Sesión CVAD iniciada fuera de la geocerca
-
Cruce de geocercas GW
-
Cruce de geocerca CCC
Los indicadores de riesgo personalizados preconfigurados se activan cada vez que los usuarios acceden a los productos Citrix desde fuera de su país de operación habitual o de la geocerca. De forma predeterminada, la geocerca se establece en “Estados Unidos”. Puede establecer el país que necesite como geocerca.
Nota
La sesión de CVAD iniciada fuera del indicador de riesgo de geocercado está vinculada a la configuración de geocercado de la función Ubicación de Access Assurance. Por lo tanto, no se pueden modificar directamente los países geocercados en el estado del indicador de riesgo. Para actualizar los países geocercados en el indicador de riesgo, seleccione los países en la configuración de geocercado del panel de control de ubicación de Access Assurance. Para obtener más información, consulte el panel de control de ubicación de Access assurance.
Para ver los indicadores de riesgo personalizados preconfigurados, seleccione Seguridad > Indicadores de riesgo personalizados.
De forma predeterminada, los indicadores de riesgo personalizados preconfigurados se encuentran en estado inhabilitado. Utilice el botón STATUS para activarlas.
En la tabla siguiente se describen los distintos indicadores de riesgo personalizados preconfigurados para geocercas.
| Nombre del indicador de riesgo personalizado | Caso | Condiciones del indicador personalizado | Origen de datos | Categoría de riesgo |
|---|---|---|---|---|
| Sesión CVAD iniciada fuera de la geocerca | El usuario ha iniciado una sesión virtual fuera de su país de operación | Tipo de evento = session.Logon Country! = “Estados Unidos” | Aplicación Citrix Workspace | Usuarios comprometidos |
| Cruce de geocercas GW | El usuario tiene una autenticación correcta desde fuera de su país de operación | Tipo de evento = “VPN_AI” Y país. = “Estados Unidos” | Citrix Gateway (local) | Usuarios comprometidos |
| Cruce de geocerca CCC | Inicio de sesión de un no empleado de fuera del país de operación | Is-Employee = “False” Y Nombre de la operación = “Iniciar sesión” Y País! = “Estados Unidos” | Citrix Content Collaboration | Usuarios comprometidos |
Directiva preconfigurada para el caso de geocercas
Citrix proporciona una directiva preconfigurada que aplica la acción Solicitar respuesta del usuario final a una cuenta de usuario cada vez que el usuario inicia una sesión virtual desde fuera de su país de operación. El usuario recibe un correo electrónico y, en función de la respuesta del usuario, se toman las medidas adecuadas, como agregar el usuario a la lista de seguimiento o notificar al administrador para que tome medidas adicionales. Para obtener más información, consulte Solicitar la respuesta del usuario final.
Para ver la directiva preconfigurada, seleccione Seguridad > Directivas.
En la tabla siguiente se describe la directiva preconfigurada para geocercas.
| Nombre de directiva | Caso | Condiciones de la directiva | Acción aplicada |
|---|---|---|---|
| Inicio de sesión fuera de la geocerca | Capacidad de un administrador para validar la legitimidad del usuario mediante la acción “Solicitar respuesta del usuario final” cuando el usuario inicia la sesión virtual fuera de su país de operación | Uso con indicador de riesgo personalizado preconfigurado: “La sesión de CVAD se inició fuera de la geocerca” | Solicitar respuesta del usuario final |
| En función de la siguiente respuesta del usuario, se aplica la acción correspondiente: | |||
| Si el usuario no reconoce la actividad: Agregar a la lista de seguimiento | |||
| Si el usuario reconoce la actividad: No es necesario realizar ninguna acción | |||
| Si el usuario no responde en los 60 minutos siguientes a la recepción del correo electrónico: Añádelo a la lista de seguimiento |
Nota
La acción Solicitar respuesta de usuario final solo se admite en la región Estados Unidos. Por lo tanto, si su organización está incorporada a la región de la Unión Europea en Citrix Cloud, la directiva preconfigurada no se aplica a su cuenta. Para utilizar la directiva preconfigurada, modifique la directiva y seleccione otra acción de su elección.
Cree su propia directiva con indicadores de riesgo personalizados preconfigurados para geocercas
También puede crear sus propias directivas con estos indicadores de riesgo personalizados preconfigurados y aplicar acciones como bloquear usuarios o cerrar sesión de usuarios siempre que se activen los indicadores. Para obtener información sobre cómo crear directivas, consulte Configurar directivas y acciones.
En el siguiente ejemplo se muestra una directiva que bloquea a los usuarios que intentan acceder a los servicios de Citrix desde fuera de Estados Unidos. El acceso del usuario se bloquea si el usuario no reconoce su actividad de acceso.
Estado: cruce de geocerca GW
Acción: Solicitar respuesta del usuario final
Acción siguiente: Bloquear al usuario si el usuario no reconoce la actividad
Nota
La acción Solicitar respuesta de usuario final solo se admite en la región Estados Unidos. Por lo tanto, si su organización está integrada en la región Unión Europea, seleccione otra acción de su elección en lugar de la acción Solicitar respuesta del usuario final.
Indicadores de riesgo personalizados preconfigurados para el primer caso de acceso
Utilice los siguientes indicadores de riesgo personalizados para detectar los eventos de usuario por primera vez en los casos de acceso:
-
Acceso por primera vez al CVAD desde un nuevo dispositivo
-
Acceso por primera vez a la puerta de enlace desde una nueva IP
De forma predeterminada, estos indicadores de riesgo personalizados preconfigurados están habilitados. Utilice el botón STATUS si quiere inhabilitarlos.
En la tabla siguiente se describen los indicadores de riesgo personalizados preconfigurados para el acceso por primera vez.
| Nombre del indicador personalizado | Caso | Condiciones preconfiguradas | Origen de datos | Categoría de riesgo |
|---|---|---|---|---|
| Acceso por primera vez al CVAD desde un nuevo dispositivo | Cuando un usuario de la aplicación Citrix Workspace inicia sesión desde una de las siguientes opciones: | Las condiciones siguientes están habilitadas de forma predeterminada: | Citrix Virtual Apps and Desktops local y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) | Usuarios comprometidos |
| Un nuevo dispositivo | La primera vez que se trata de un nuevo ID de dispositivo. | |||
| Un dispositivo existente que no se ha utilizado durante los últimos 90 días. | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Acceso por primera vez a la puerta de enlace desde una nueva IP | Cuando un usuario de Citrix Gateway firma correctamente una de las siguientes opciones: | Las condiciones siguientes están habilitadas de forma predeterminada: | Citrix Gateway | Usuarios comprometidos |
| Una nueva dirección IP pública | La primera vez para una nueva IP de cliente | |||
| Una dirección IP pública existente que no se ha utilizado durante los últimos 90 días. | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
En la barra de condiciones, también puede agregar sus propias condiciones además de las condiciones preconfiguradas para identificar amenazas según sus necesidades.
Por ejemplo, si quiere identificar los eventos de usuario de un país determinado, puede agregar la dimensión país junto con la condición preconfigurada:
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”