Indicadores de riesgo de usuario de Citrix
Los indicadores de riesgo del usuario son actividades de usuario que parecen sospechosas o que pueden suponer una amenaza para la seguridad de su organización. Estos indicadores de riesgo abarcan todos los productos Citrix utilizados en su implementación. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario.
Los factores de riesgo asociados a los indicadores de riesgo son los siguientes:
-
Indicadores de riesgo basados en dispositivos: se activa cuando un usuario inicia sesión desde un dispositivo que se considera inusual según el historial del dispositivo del usuario.
-
Indicadores de riesgo basados en la ubicación: se activa cuando un usuario inicia sesión desde una dirección IP asociada a una ubicación que se considera inusual según el historial de ubicaciones del usuario.
-
Indicadores de riesgo basados en IP: se activa cuando un usuario intenta acceder a recursos desde una dirección IP que se ha identificado como sospechosa, independientemente de si la dirección IP es inusual para el usuario.
-
Indicadores de riesgo basados en errores de inicio de sesión: se activa cuando un usuario presenta un patrón de errores de inicio de sesión excesivos o inusuales.
-
Indicadores de riesgo basados en datos: se activa cuando un usuario intenta exfiltrar datos de una sesión de Workspace. Los comportamientos de los usuarios bajo observación incluyen eventos de copia o pegado, patrones de descarga, etc.
-
Indicadores de riesgo basados en archivos: se activa cuando el comportamiento de un usuario con respecto al acceso a archivos en Content Collaboration se considera inusual en función de su patrón de acceso histórico. Los comportamientos de los usuarios bajo observación incluyen patrones de descarga, acceso a contenido confidencial, actividades indicativas de ransomware, etc.
-
Indicadores de riesgo personalizados: se activa cuando se cumple una condición preconfigurada o una condición definida por el usuario. Para obtener más información, consulte estos artículos:
-
Otros indicadores de riesgo: los indicadores de riesgo que no pertenecen a ninguno de los factores de riesgo predefinidos, como los basados en dispositivos, basados en ubicación y fallos de inicio de sesión.
Los indicadores de riesgo también se agrupan en categorías de riesgo en función del riesgo que son de naturaleza similar. Para obtener más información, consulte Categorías de riesgo.
En la tabla siguiente se muestra la correlación entre los indicadores de riesgo, los factores de riesgo y las categorías de riesgo.
| Productos | Indicador de riesgo del usuario | Factor de riesgo | Categoría de riesgo |
|---|---|---|---|
| Citrix Content Collaboration | Acceso excesivo a archivos confidenciales | Indicadores de riesgo basados en archivos | Exfiltración de datos |
| Uso compartido excesivo de archivos | Otros indicadores de riesgo | Exfiltración de datos | |
| Eliminación excesiva de archivos o carpetas | Indicadores de riesgo basados en archivos | Amenazas internas | |
| Subidas excesivas de archivos | Otros indicadores de riesgo | Amenazas internas | |
| Descargas excesivas de archivos | Indicadores de riesgo basados en archivos | Exfiltración de datos | |
| Archivos de malware detectados | Indicadores de riesgo basados en archivos | Amenazas internas | |
| Actividad de ransomware sospechosa | Indicadores de riesgo basados en archivos | Usuarios comprometidos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos | |
| Fallas de autenticación inusuales | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Citrix Endpoint Management | Dispositivo con aplicaciones en la lista de bloqueados detectado | Otros indicadores de riesgo | Endpoints comprometidos |
| Se ha detectado un dispositivo con jailbreak o rooteado | Otros indicadores de riesgo | Endpoints comprometidos | |
| Dispositivo no administrado detectado | Otros indicadores de riesgo | Endpoints comprometidos | |
| Citrix Gateway | Fallo en la exploración del análisis de punto final (EPA) | Otros indicadores de riesgo | Usuarios comprometidos |
| Fallos de autenticación excesivos | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Inicio de sesión desde IP sospechosa | Indicadores de riesgo basados en IP | Usuarios comprometidos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos | |
| Error de autenticación inusual | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Citrix Secure Private Access | Intento de acceder a URL de la lista de bloqueados | Otros indicadores de riesgo | Amenazas internas |
| Descarga excesiva de datos | Otros indicadores de riesgo | Amenazas internas | |
| Acceso a sitios web con riesgos | Otros indicadores de riesgo | Amenazas internas | |
| Volumen de subida | Otros indicadores de riesgo | Amenazas internas | |
| Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) y Citrix Virtual Apps and Desktops locales | Exfiltración potencial de datos | Indicadores de riesgo basados en datos | Exfiltración de datos |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos |