Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Access Control

Acceso a sitios web arriesgado

Citrix Analytics detecta las amenazas de acceso a datos en función de los sitios web de riesgo a los que accede el usuario y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso a sitios web arriesgado se informa cuando un usuario de su organización intenta acceder a sitios web malintencionados, sospechosos o arriesgados con altas calificaciones de reputación.

¿Cuándo se activa el indicador de riesgo de acceso a sitios web de riesgo?

Access Control admite establecer una puntuación de reputación en un sitio web, en función de si la base de datos de categorización de direcciones URL ha marcado como la siguiente:

  • Maligno

  • Potencialmente peligroso

  • Desconocido

  • Normal

Para obtener más información, consulte Puntuación de reputación de URL

Cuando un usuario de su organización intenta acceder a sitios web de riesgo, Access Control informa de estos eventos con Citrix Analytics. Citrix Analytics supervisa todos estos eventos y si identifica que el usuario ha visitado al menos un sitio web con una puntuación de reputación de 3 o 4, es decir, sitio potencialmente peligroso o sitio malicioso. Citrix Analytics aumenta la puntuación de riesgo para el usuario. El indicador de riesgo de acceso al sitio web Risky se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de acceso a sitios web de riesgo?

Considere un usuario Georgina Kalou, intentó acceder a un sitio web arriesgado. Access Control notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de acceso al sitio web Risky se agrega a la cronología de riesgo de Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de acceso a sitios web de riesgo reportado. El motivo del evento se muestra junto con los detalles sobre los eventos de carga, como, por ejemplo, la hora del evento y el sitio web.

Para ver la entrada del indicador de riesgo de acceso a sitios web de riesgo para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Cuando selecciona una entrada de indicador de riesgo de acceso a sitios web de riesgo en la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Acceso a sitios web de riesgo de Access Control

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo. Incluye el número de sitios web de riesgo a los que ha accedido el usuario durante el periodo seleccionado.

Qué ha ocurrido en el acceso a sitios web de riesgo de Access Control

  • La sección DETALLES DEL EVENTO incluye una visualización de línea de tiempo de los eventos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • El tiempo. Hora en que se produjo el evento.

    • Sitio web. El sitio web de riesgo al que accede el usuario.

    • Grupo de categoría. El grupo de categoría al que Access Control asignó el sitio web de riesgo.

    • Categoría. La categoría especificada por Access Control para el sitio web de riesgo.

    • Clasificación de reputación. La calificación de reputación devuelta por Access Control para el sitio web de riesgo. Para obtener más información, consulte Puntuación de reputación de URL.

    Detalles de eventos de acceso a sitios web de riesgo de Access Control

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Intento de acceder a la URL de la lista de bloqueados

Citrix Analytics detecta las amenazas de acceso a datos en función de las direcciones URL de la lista de bloqueados a las que accede el usuario y activa el indicador de riesgo correspondiente.

El indicador de riesgo Intento de acceso a URL en la lista de bloqueados aparece en Citrix Analytics cuando un usuario intenta acceder a una URL de lista de bloqueados configurada en Access Control.

¿Cuándo se activa el indicador de riesgo de intento de acceso a URL en la lista de bloqueados?

Access Control incluye una función de categorización de URL que proporciona un control basado en directivas para restringir el acceso a las direcciones URL incluidas en la lista de bloqueados. Cuando un usuario intenta acceder a una URL de la lista de bloqueados, Access Control informa de este evento a Citrix Analytics. Citrix Analytics actualiza la puntuación de riesgo del usuario y agrega una entrada de indicador de riesgo de URL incluida en la lista de bloqueados a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Intento de acceder a la lista de bloqueados de URL?

Considere a un usuario Georgina Kalou, accedió a una URL en la lista de bloqueados configurada en Access Control. Access Control informa de este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de URL en la lista de bloqueados se agrega a la cronología de riesgo de Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de Intento de acceso a URL que aparecen en la lista de bloqueados. El motivo del evento se muestra junto con los detalles sobre los eventos, como la hora del evento, los detalles del sitio web.

Para ver la entrada Intentar acceder a la URL de la lista de bloqueados para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Al seleccionar la entrada del indicador de riesgo de URL en la lista de bloqueados de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Control de acceso Intento de acceder a una URL de la lista de bloqueados

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo. Incluye los detalles de la URL en la lista de bloqueados a la que accedió el usuario durante el período seleccionado.

Control de acceso Intento de acceder a una URL incluida en la lista de bloqueados de lo ocurrido

  • La sección DETALLES DEL EVENTO incluye una visualización de línea de tiempo de los eventos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • El tiempo. Hora en que se produjo el evento.

    • Sitio web. El sitio web de riesgo al que accede el usuario.

    • Categoría. Categoría especificada por Access Control para la dirección URL de la lista de bloqueados.

    • Clasificación de reputación. Clasificación de reputación devuelta por Access Control para la dirección URL de la lista de bloqueados. Para obtener más información, consulte Puntuación de reputación de URL.

    Access Control Intento de acceder a los detalles del evento de URL en la lista de bloqueados

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Volumen de carga inusual

Citrix Analytics detecta las amenazas de acceso a datos en función de la actividad de volumen de carga inusual y activa el indicador de riesgo correspondiente.

El indicador de riesgo de volumen de carga inusual se informa cuando un usuario carga un exceso de volumen de datos a una aplicación o sitio web.

¿Cuándo se activa el indicador de riesgo de volumen de carga inusual?

Puede configurar Access Control para supervisar las actividades de los usuarios, como sitios web malintencionados, peligrosos o desconocidos visitados y el ancho de banda consumido, así como las descargas y cargas arriesgadas. Cuando un usuario de su organización carga datos en una aplicación o sitio web, Access Control notifica estos eventos a Citrix Analytics.

Citrix Analytics supervisa todos estos eventos y, si determina que esta actividad del usuario es contraria al comportamiento habitual del usuario, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de volumen de carga inusual se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de volumen de carga inusual?

Considere un usuario Adam Maxwell, cargado un exceso de volumen de datos a una aplicación o sitio web. Access Control notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Adam Maxwell. El indicador de riesgo de volumen de carga inusual se agrega a la cronología de riesgo de Adam Maxwell.

En la línea de tiempo de riesgo de Adam Maxwell, puede seleccionar el indicador de riesgo de volumen de carga inusual informado. El motivo del evento se muestra junto con los detalles sobre los eventos, como la hora del evento y el dominio.

Para ver el indicador de riesgo de volumen de carga inusual, vaya a Seguridad > Usuarios y seleccione el usuario.

Al seleccionar una entrada de indicador de riesgo de volumen de carga inusual de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Access Control volumen de carga inusual

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo, incluido el volumen de datos cargados durante el período seleccionado.

Access Control volumen de carga inusual lo que sucedió

  • La sección DETALLES DE EVENTOS incluye una visualización de la línea de tiempo de los eventos de carga de datos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • El tiempo. El momento en que se cargaron los datos excesivos en una aplicación o un sitio web.

    • Dominio. El dominio en el que el usuario ha subido los datos.

    • Categoría. La categoría de dominio.

    • Tamaño de carga. Volumen de datos cargados en el dominio.

    Detalles de eventos de volumen de carga inusual de Access Control

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Descarga excesiva de datos

Citrix Analytics detecta amenazas de acceso a datos basándose en los datos excesivos descargados por los usuarios en su red y activa el indicador de riesgo correspondiente.

El indicador de riesgo se notifica cuando un usuario de la organización descarga un volumen excesivo de datos de una aplicación o sitio web.

¿Cuándo se activa el indicador de riesgo de descarga excesiva de datos?

Puede configurar Access Control para supervisar las actividades de los usuarios, como sitios web malintencionados, peligrosos o desconocidos visitados y el ancho de banda consumido, así como las descargas y cargas arriesgadas. Cuando un usuario de su organización descarga datos de una aplicación o sitio web, Access Control informa de estos eventos a Citrix Analytics.

Citrix Analytics supervisa todos estos eventos y, si determina que la actividad del usuario es contraria al comportamiento habitual del usuario, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de descarga excesiva de datos se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de descarga excesiva de datos?

Considere un usuario Georgina Kalou, descargado un exceso de volumen de datos de una aplicación o sitio web. Access Control informa de estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou y agrega la entrada del indicador de riesgo de descarga de datos excesivos a la cronología de riesgo del usuario.

Desde la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de descarga excesiva de datos reportado. El motivo del evento se muestra junto con los detalles sobre los eventos, como los detalles de hora y dominio.

Para ver el indicador de riesgo de descarga excesiva de datos, vaya a Seguridad > Usuarios y seleccione el usuario.

Cuando selecciona una entrada del indicador de riesgo de descarga excesiva de datos de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Control de acceso descarga excesiva de datos

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo, incluido el volumen de datos cargados descargados durante el período seleccionado.

Control de acceso excesivo descarga de datos lo que sucedió

  • La sección DETALLES DE EVENTOS incluye una visualización de la línea de tiempo de los eventos de descarga de datos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • El tiempo. El momento en que los datos excesivos se descargaron a una aplicación o a un sitio web.

    • Dominio. El dominio al que el usuario descargó los datos.

    • Categoría. La categoría de dominio.

    • Tamaño de descarga. Volumen de datos descargados al dominio.

    Detalles de eventos de descarga excesiva de datos de control de acceso

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Access Control