Citrix Analytics para la seguridad

Indicadores de riesgo de usuario de Citrix

Los indicadores de riesgo del usuario son actividades de usuario que parecen sospechosas o que pueden suponer una amenaza para la seguridad de su organización. Estos indicadores de riesgo abarcan todos los productos Citrix utilizados en su implementación. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario.

Los factores de riesgo asociados a los indicadores de riesgo son los siguientes:

  • Indicadores de riesgo basados en dispositivos: se activa cuando un usuario inicia sesión desde un dispositivo que se considera inusual según el historial del dispositivo del usuario.

  • Indicadores de riesgo basados en la ubicación: se activa cuando un usuario inicia sesión desde una dirección IP asociada a una ubicación que se considera inusual según el historial de ubicaciones del usuario.

  • Indicadores de riesgo basados en IP: se activa cuando un usuario intenta acceder a recursos desde una dirección IP que se ha identificado como sospechosa, independientemente de si la dirección IP es inusual para el usuario.

  • Indicadores de riesgo basados en errores de inicio de sesión: se activa cuando un usuario presenta un patrón de errores de inicio de sesión excesivos o inusuales.

  • Indicadores de riesgo basados en datos: se activa cuando un usuario intenta exfiltrar datos de una sesión de Workspace. Los comportamientos de los usuarios bajo observación incluyen eventos de copia o pegado, patrones de descarga, etc.

  • Indicadores de riesgo basados en archivos: se activa cuando el comportamiento de un usuario con respecto al acceso a archivos en Content Collaboration se considera inusual en función de su patrón de acceso histórico. Los comportamientos de los usuarios bajo observación incluyen patrones de descarga, acceso a contenido confidencial, actividades indicativas de ransomware, etc.

  • Indicadores de riesgo personalizados: se activa cuando se cumple una condición preconfigurada o una condición definida por el usuario. Para obtener más información, consulte estos artículos:

  • Otros indicadores de riesgo: los indicadores de riesgo que no pertenecen a ninguno de los factores de riesgo predefinidos, como los basados en dispositivos, basados en ubicación y fallos de inicio de sesión.

Los indicadores de riesgo también se agrupan en categorías de riesgo en función del riesgo que son de naturaleza similar. Para obtener más información, consulte Categorías de riesgo.

En la tabla siguiente se muestra la correlación entre los indicadores de riesgo, los factores de riesgo y las categorías de riesgo.

Productos Indicador de riesgo del usuario Factor de riesgo Categoría de riesgo
Citrix Content Collaboration Acceso excesivo a archivos confidenciales Indicadores de riesgo basados en archivos Exfiltración de datos
  Uso compartido excesivo de archivos Otros indicadores de riesgo Exfiltración de datos
  Eliminación excesiva de archivos o carpetas Indicadores de riesgo basados en archivos Amenazas internas
  Subidas excesivas de archivos Otros indicadores de riesgo Amenazas internas
  Descargas excesivas de archivos Indicadores de riesgo basados en archivos Exfiltración de datos
  Archivos de malware detectados Indicadores de riesgo basados en archivos Amenazas internas
  Actividad de ransomware sospechosa Indicadores de riesgo basados en archivos Usuarios comprometidos
  Inicio de sesión sospechoso Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo Usuarios comprometidos
  Fallas de autenticación inusuales Indicadores de riesgo basados en fallos de inicio de sesión Usuarios comprometidos
Citrix Endpoint Management Dispositivo con aplicaciones en la lista de bloqueados detectado Otros indicadores de riesgo Endpoints comprometidos
  Se ha detectado un dispositivo con jailbreak o rooteado Otros indicadores de riesgo Endpoints comprometidos
  Dispositivo no administrado detectado Otros indicadores de riesgo Endpoints comprometidos
Citrix Gateway Fallo en la exploración del análisis de punto final (EPA) Otros indicadores de riesgo Usuarios comprometidos
  Fallos de autenticación excesivos Indicadores de riesgo basados en fallos de inicio de sesión Usuarios comprometidos
  Inicio de sesión desde IP sospechosa Indicadores de riesgo basados en IP Usuarios comprometidos
  Inicio de sesión sospechoso Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo Usuarios comprometidos
  Error de autenticación inusual Indicadores de riesgo basados en fallos de inicio de sesión Usuarios comprometidos
Citrix Secure Private Access Intento de acceder a URL de la lista de bloqueados Otros indicadores de riesgo Amenazas internas
  Descarga excesiva de datos Otros indicadores de riesgo Amenazas internas
  Acceso a sitios web con riesgos Otros indicadores de riesgo Amenazas internas
  Volumen de subida Otros indicadores de riesgo Amenazas internas
Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) y Citrix Virtual Apps and Desktops locales Exfiltración potencial de datos Indicadores de riesgo basados en datos Exfiltración de datos
  Inicio de sesión sospechoso Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo Usuarios comprometidos
Indicadores de riesgo de usuario de Citrix

En este artículo