Citrix Analytics para la seguridad

Indicadores de riesgo de Citrix Access Control

Acceso a sitios web arriesgado

Citrix Analytics detecta las amenazas de acceso a los datos en función de los sitios web peligrosos a los que accede el usuario y activa el indicador de riesgo correspondiente.

El indicador Riesgo de acceso a sitios web riesgosos se informa cuando un usuario de su organización intenta acceder a sitios web maliciosos, sospechosos o peligrosos con altas calificaciones de reputación.

El factor de riesgo asociado con el indicador de riesgo de acceso a sitios web riesgosos son los otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de acceso a sitios web de riesgo?

Control de acceso permite establecer una puntuación de reputación en un sitio web, en función de si la base de datos de categorización de URL lo ha marcado como el siguiente:

  • Maligno

  • Potencialmente peligroso

  • Desconocido

  • Normal

Para obtener más información, consulta Puntuación de reputación de URL

Cuando un usuario de su organización intenta acceder a sitios web peligrosos, Access Control informa de estos eventos con Citrix Analytics. Citrix Analytics supervisa todos estos eventos y si identifica que el usuario ha visitado al menos un sitio web con una puntuación de reputación de 3 o 4, es decir, un sitio potencialmente peligroso o un sitio malicioso. Citrix Analytics aumenta la puntuación de riesgo para el usuario. El indicador Riesgo de acceso a sitios web riesgosos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de acceso a sitios web de riesgo?

Considere a un usuario Georgina Kalou, que intentó acceder a un sitio web arriesgado. Access Control notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de acceso a sitios web riesgosos se agrega al cronograma de riesgo de Georgina Kalou.

En el cronograma de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de acceso al sitio web Riesgo reportado. El motivo del evento se muestra junto con los detalles sobre los eventos de carga, como, por ejemplo, la hora del evento y el sitio web.

Para ver la entrada del indicador de riesgo de acceso a sitios web riesgosos de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Al seleccionar una entrada del indicador de riesgo de acceso a sitios web riesgosos de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Control de acceso acceso al sitio web arriesgado

  • La sección QUÉ PASÓ proporciona un breve resumen del indicador de riesgo. Incluye el número de sitios web de riesgo a los que accede el usuario durante el período seleccionado.

    Control de acceso acceso al sitio web arriesgado lo que sucedió

  • La sección DETALLES DEL EVENTO incluye una visualización del cronograma de los eventos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el evento.

    • Sitio web. El sitio web arriesgado al que accede el usuario.

    • Grupo de categorías. El grupo de categorías que Access Control asignó al sitio web de riesgo.

    • Categoría. La categoría especificada por Access Control para el sitio web de riesgo.

    • Calificación de reputación. La calificación de reputación devuelta por Access Control para el sitio web arriesgado. Para obtener más información, consulta Puntuación de reputación de URL.

      Detalles de eventos de acceso a sitios web de riesgo de control de acceso

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Intento de acceder a URL de la lista de bloqueados

Citrix Analytics detecta las amenazas de acceso a los datos en función de las URL incluidas en la lista de bloqueados a las que accede el usuario y activa el indicador de riesgo correspondiente.

El indicador de riesgo Intento de acceder a una URL incluida en la lista de bloqueados se informa en Citrix Analytics cuando un usuario intenta acceder a una URL incluida en la lista de bloqueados configurada en Control de acceso.

El factor de riesgo asociado con el indicador de riesgo Intento de acceder a una URL incluida en la lista de bloqueados es Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo Intento de acceder a una URL incluida en la lista de bloqueados?

Control de acceso incluye una función de categorización de URL que proporciona un control basado en directivas para restringir el acceso a las URL incluidas en la lista de bloqueados. Cuando un usuario intenta acceder a una URL de la lista de bloqueados, Access Control informa de este evento a Citrix Analytics. Citrix Analytics actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de URL de Intento de acceder a la lista de bloqueados al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Intento de acceder a la lista de bloqueados de URL?

Considere un usuario Georgina Kalou, que accedió a una URL de la lista de bloqueados configurada en Control de acceso. Access Control informa de este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de Intento de acceder a la URL de la lista de bloqueados se agrega a la cronología de riesgo de Georgina Kalou.

En la cronología de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo de Intento de acceder a la URL de la lista de bloqueados . El motivo del evento se muestra junto con los detalles sobre los eventos, como la hora del evento, los detalles del sitio web.

Para ver la entrada de URL Intento de acceso a la lista de bloqueados de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Al seleccionar la entrada del indicador de riesgo de URL de la lista de bloqueados en la línea de tiempo, aparece el panel de información detallada correspondiente en el panel derecho.

Control de acceso Intento de acceder a una URL incluida en la lista de bloqueados

  • La sección QUÉ PASÓ proporciona un breve resumen del indicador de riesgo. Incluye los detalles de la URL de la lista de bloqueados a la que accede el usuario durante el período seleccionado.

    Control de acceso Intento de acceder a una URL incluida en la lista de bloqueados

  • La sección DETALLES DEL EVENTO incluye una visualización del cronograma de los eventos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el evento.

    • Sitio web. El sitio web arriesgado al que accede el usuario.

    • Categoría. Categoría especificada por Control de acceso para la URL incluida en la lista de bloqueados.

    • Calificación de reputación. La calificación de reputación devuelta por Access Control para la URL incluida en la lista de bloqueados. Para obtener más información, consulta Puntuación de reputación de URL.

      Control de acceso Intento de acceder a los detalles del evento URL de la lista de bloqueados

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Volumen de subida

Citrix Analytics detecta las amenazas de acceso a los datos basándose en la actividad de volumen de carga inusual y activa el indicador de riesgo correspondiente.

El indicador de riesgo de volumen de carga inusual se informa cuando un usuario carga un volumen excesivo de datos en una aplicación o sitio web.

El factor de riesgo asociado con el indicador de riesgo de volumen de carga inusual es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de volumen de carga inusual?

Puede configurar Access Control para supervisar las actividades de los usuarios, como sitios web maliciosos, peligrosos o desconocidos visitados y el ancho de banda consumido, así como las descargas y cargas peligrosas. Cuando un usuario de su organización carga datos en una aplicación o sitio web, Access Control notifica estos eventos a Citrix Analytics.

Citrix Analytics supervisa todos estos eventos y, si determina que esta actividad del usuario es contraria al comportamiento habitual del usuario, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de volumen de carga inusual se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de volumen de carga inusual?

Piense en un usuario Adam Maxwell, que cargó un volumen excesivo de datos en una aplicación o sitio web. Access Control notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Adam Maxwell. El indicador de riesgo de volumen de carga inusual se agrega al cronograma de riesgo de Adam Maxwell.

En el cronograma de riesgo de Adam Maxwell, puede seleccionar el indicador de riesgo de volumen de carga inusual notificado. El motivo del evento se muestra junto con los detalles sobre los eventos, como la hora del evento y el dominio.

Para ver el indicador de riesgo de volumen de carga inusual, vaya a Seguridad > Usuariosy seleccione el usuario.

Al seleccionar una entrada del indicador de riesgo de volumen de carga inusual en la línea de tiempo, aparece el panel de información detallada correspondiente en el panel derecho.

Control de acceso volumen de carga inusual

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo, incluido el volumen de datos cargados durante el período seleccionado.

    Control de acceso volumen de carga inusual lo que sucedió

  • La sección DETALLES DEL EVENTO incluye una visualización del cronograma de los eventos de carga de datos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. La hora en que se cargaron los datos excesivos en una aplicación o en un sitio web.

    • Dominio. Dominio en el que el usuario ha cargado los datos.

    • Categoría. Categoría de dominio.

    • Tamaño de subida. Volumen de datos cargados en el dominio.

      Detalles de eventos de volumen de carga inusuales de Control

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Descarga excesiva de datos

Citrix Analytics detecta amenazas de acceso a datos basándose en los datos excesivos descargados por los usuarios en su red y activa el indicador de riesgo correspondiente.

El indicador de riesgo se informa cuando un usuario de su organización descarga un volumen excesivo de datos de una aplicación o sitio web.

¿Cuándo se activa el indicador de riesgo de descarga excesiva de datos?

Puede configurar Access Control para supervisar las actividades de los usuarios, como sitios web maliciosos, peligrosos o desconocidos visitados y el ancho de banda consumido, así como las descargas y cargas peligrosas. Cuando un usuario de su organización descarga datos de una aplicación o sitio web, Access Control informa de estos eventos a Citrix Analytics.

Citrix Analytics supervisa todos estos eventos y, si determina que la actividad del usuario es contraria al comportamiento habitual del usuario, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de descarga excesiva de datos se agrega al cronograma de riesgo del usuario.

El factor de riesgo asociado con el indicador de riesgo de descarga excesiva de datos es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cómo analizar el indicador de riesgo de descarga excesiva de datos?

Considere un usuario Georgina Kalou, descargó el exceso de volumen de datos de una aplicación o sitio web. Access Control informa de estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou y agrega la entrada del indicador de riesgo de descarga excesiva de datos al cronograma de riesgo del usuario.

En el cronograma de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de descarga excesiva de datos notificado. El motivo del evento se muestra junto con los detalles sobre los eventos, como los detalles de hora y dominio.

Para ver el indicador de riesgo de descarga excesiva de datos, vaya a Seguridad > Usuarios y seleccione el usuario.

Al seleccionar la entrada del indicador Riesgo de descarga excesiva de datos de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Control de acceso descarga excesiva de datos

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo, incluido el volumen de datos cargados y descargados durante el período seleccionado.

    Control de acceso descarga excesiva de datos lo sucedido

  • La sección DETALLES DEL EVENTO incluye una visualización cronológica de los eventos de descarga de datos individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. El momento en que se descargaron los datos excesivos en una aplicación o en un sitio web.

    • Dominio. Dominio en el que el usuario ha descargado los datos.

    • Categoría. Categoría de dominio.

    • Tamaño de descarga. Volumen de datos descargados en el dominio.

      Detalles del evento de descarga de datos excesivos de control de

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Access Control