Indicadores de riesgo de usuario de Citrix
Nota
Atención: Citrix Content Collaboration y ShareFile han llegado al final de su ciclo de vida y ya no están disponibles para los usuarios.
Los indicadores de riesgo del usuario son actividades de usuario que parecen sospechosas o que pueden suponer una amenaza para la seguridad de su organización. Estos indicadores de riesgo abarcan todos los productos Citrix utilizados en su implementación. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario.
Los factores de riesgo asociados a los indicadores de riesgo son los siguientes:
-
Indicadores de riesgo basados en dispositivos: se activa cuando un usuario inicia sesión desde un dispositivo que se considera inusual según el historial del dispositivo del usuario.
-
Indicadores de riesgo basados en la ubicación: se activa cuando un usuario inicia sesión desde una dirección IP asociada a una ubicación que se considera inusual según el historial de ubicaciones del usuario.
-
Indicadores de riesgo basados en IP: se activa cuando un usuario intenta acceder a recursos desde una dirección IP que se ha identificado como sospechosa, independientemente de si la dirección IP es inusual para el usuario.
-
Indicadores de riesgo basados en errores de inicio de sesión: se activa cuando un usuario presenta un patrón de errores de inicio de sesión excesivos o inusuales.
-
Indicadores de riesgo basados en datos: se activa cuando un usuario intenta exfiltrar datos de una sesión de Workspace. Los comportamientos de los usuarios bajo observación incluyen eventos de copia o pegado, patrones de descarga, etc.
-
Indicadores de riesgo basados en archivos: se activa cuando el comportamiento de un usuario con respecto al acceso a archivos en Content Collaboration se considera inusual en función de su patrón de acceso histórico. Los comportamientos de los usuarios bajo observación incluyen patrones de descarga, acceso a contenido confidencial, actividades indicativas de ransomware, etc.
-
Indicadores de riesgo personalizados: se activa cuando se cumple una condición preconfigurada o una condición definida por el usuario. Para obtener información, consulte estos artículos:
-
Otros indicadores de riesgo: los indicadores de riesgo que no pertenecen a ninguno de los factores de riesgo predefinidos, como los basados en dispositivos, basados en ubicación y fallos de inicio de sesión.
Los indicadores de riesgo también se agrupan en categorías de riesgo en función de los riesgos que son similares. Para obtener más información, consulte Categorías de riesgo.
En la tabla siguiente se muestra la correlación entre los indicadores de riesgo, los factores de riesgo y las categorías de riesgo.
| Productos | Indicador de riesgo del usuario | Factor de riesgo | Categoría de riesgo |
|---|---|---|---|
| Citrix Endpoint Management | Dispositivo con aplicaciones en la lista de bloqueados detectado | Otros indicadores de riesgo | Dispositivos de punto final comprometidos |
| Se ha detectado un dispositivo con jailbreak o rooteado | Otros indicadores de riesgo | Dispositivos de punto final comprometidos | |
| Dispositivo no administrado detectado | Otros indicadores de riesgo | Dispositivos de punto final comprometidos | |
| Citrix Gateway | Fallo en la exploración del análisis de punto final (EPA) | Otros indicadores de riesgo | Usuarios comprometidos |
| Fallos de autenticación excesivos | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Trayectos imposibles | Indicadores de riesgo basados en la ubicación | Usuarios comprometidos | |
| Inicio de sesión desde IP sospechosa | Indicadores de riesgo basados en IP | Usuarios comprometidos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos | |
| Error de autenticación inusual | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Citrix Secure Private Access | Intento de acceder a URL de la lista de bloqueados | Otros indicadores de riesgo | Amenazas internas |
| Descarga excesiva de datos | Otros indicadores de riesgo | Amenazas internas | |
| Acceso a sitios web con riesgos | Otros indicadores de riesgo | Amenazas internas | |
| Volumen de subida | Otros indicadores de riesgo | Amenazas internas | |
| Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) y Citrix Virtual Apps and Desktops locales | Trayectos imposibles | Indicadores de riesgo basados en la ubicación | Usuarios comprometidos |
| Exfiltración potencial de datos | Indicadores de riesgo basados en datos | Exfiltración de datos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos |
Puede marcar manualmente los indicadores de riesgo como útiles o no útiles. Para obtener más información, consulte Proporcionar comentarios sobre los indicadores de riesgo de los usuarios.