Indicadores de riesgo de Citrix Content Collaboration

Acceso de inicio de sesión inusual

Citrix Analytics detecta las amenazas de acceso basadas en una actividad de inicio de sesión inusual y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso de inicio de sesión inusual se activa cuando un usuario inicia sesión desde una ubicación sospechosa. Al identificar usuarios con ubicaciones de inicio de sesión inusuales, en función del comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de posibles ataques.

¿Cuándo se activa el indicador de riesgo de acceso de inicio de sesión inusual?

Se le puede notificar cuando un usuario de la organización inicia sesión desde una ubicación inusual que sea contraria a su comportamiento habitual.

El indicador de riesgo de acceso de inicio de sesión inusual se activa cuando un usuario accede a Content Collaboration desde una ciudad o país desde donde el usuario normalmente no inicia sesión. Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de acceso de inicio de sesión inusual se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de acceso de inicio de sesión inusual?

Considere a la usuaria Georgina Kalou, que inició sesión desde Manama cuando anteriormente solo había iniciado sesión desde Raleigh, Carolina del Norte. Con esta acción, Georgina Kalou activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual.

En la línea de tiempo de Georgina Kalou, puede seleccionar el indicador de riesgo de acceso de inicio de sesión inusual informado. El motivo del evento se muestra en la pantalla junto con detalles como el tiempo de inicio de sesión y la dirección IP del cliente.

Para ver el indicador de riesgo de acceso de inicio de sesión inusual, vaya a Seguridad > Usuariosy seleccione el usuario.

Colaboración inusual de contenido de acceso de inicio de sesión

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de acceso de inicio de sesión inusual. Puede ver el número de inicios de sesión sospechosos que se produjeron durante un período de tiempo específico.

Colaboración de contenido de acceso de inicio de sesión inusual lo que sucedió

  • La sección DETALLES DEL EVENTO: UBICACIONES DE INICIO DE SESIÓN, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora de inicio de sesión. Hora de cada intento de inicio de sesión.

    • IP del cliente. La dirección IP del cliente utilizada.

    • Localización. La ubicación desde la que se realizó el intento de inicio de sesión.

    Detalles del evento de colaboración de contenido de acceso de inicio de sesión inusual

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Si el indicador de riesgo de acceso de inicio de sesión inusual activado es incorrecto, puede reportarlo como falso positivo y proporcionar comentarios. Para obtener más información sobre cómo proporcionar comentarios, consulte Comentarios sobre los indicadores de riesgo.

Acceso excesivo a archivos confidenciales

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de acceso a archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso excesivo a archivos sensibles se activa cuando el comportamiento de un usuario con respecto al acceso a archivos confidenciales es excesivo. Esta actividad inusual podría indicar un problema con la cuenta del usuario, como, por ejemplo, un ataque a su cuenta.

¿Cuándo se activa el indicador de riesgo de acceso excesivo a archivos sensibles?

Se le notifica cuando un usuario ha accedido a una cantidad inusual de datos que se han considerado sensibles durante un período de tiempo determinado. Esta alerta se activa cuando un usuario accede a datos confidenciales identificados por una solución de prevención de pérdida de datos (DLP) o un agente de seguridad de acceso a la nube (CASB). Cuando Content Collaboration detecta este comportamiento excesivo, Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de acceso excesivo a archivos sensibles se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el acceso excesivo a los archivos sensibles indicador de riesgo?

Considere que el usuario Adam Maxwell, tenía acceso a 10 archivos sensibles, que descargó a su sistema local en un lapso de 15 minutos. El indicador de riesgo de acceso excesivo a archivos sensibles se activa porque supera un umbral. El umbral se calcula en función del número de archivos confidenciales descargados en una ventana de tiempo determinada, teniendo en cuenta la información contextual como el mecanismo de descarga.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de acceso excesivo a archivos confidenciales. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de acceso excesivo a archivos confidenciales, vaya a Seguridad > Usuarios y seleccione el usuario.

Acceso excesivo a archivos confidenciales

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del indicador de riesgo de acceso excesivo a archivos sensibles. Puede ver el número de archivos confidenciales que Citrix Analytics consideró excesivos y la hora en que se produjeron los eventos.

Acceso excesivo a archivos confidenciales lo que sucedió

  • La sección DETALLES DEL EVENTO: DESCARGA DE DATOS CONFIDENCIALES, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Tamaño del archivo. El tamaño del archivo descargado.

    Acceso excesivo a los detalles de eventos de archivos confidenciales

  • En la sección INFORMACIÓN contextual ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • Número total de archivos confidenciales descargados.

    • Tamaño total de los archivos descargados por el usuario.

    Acceso excesivo a los archivos confidenciales información contextual adicional

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Uso compartido excesivo de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de uso compartido de archivos y activa el indicador de riesgo correspondiente.

El indicador de uso compartido excesivo de archivos se activa cuando hay una desviación del comportamiento típico de uso compartido de archivos del usuario. Cualquier desviación de un comportamiento normal de uso compartido de archivos se considera inusual y la cuenta del usuario se investiga para detectar esta actividad sospechosa.

¿Cuándo se activa el indicador de riesgo de uso compartido excesivo de archivos?

Se le puede notificar cuando un usuario de su organización ha estado compartiendo archivos con más frecuencia de lo esperado con un comportamiento normal. Al responder a la notificación sobre un usuario que tiene archivos compartidos excesivamente, puede evitar una exfiltración de datos.

Citrix Analytics recibe eventos compartidos de Content Collaboration, los analiza y aumenta la puntuación de riesgo de un usuario que exhibe un comportamiento excesivo de uso compartido. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de uso compartido excesivo de archivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de uso compartido excesivo de archivos?

Considere al usuario Adam Maxwell, que compartió archivos seis veces en un día. Con esta acción, Adam Maxwell ha compartido archivos más veces de lo que suele hacer basándose en algoritmos de aprendizaje automático.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de uso compartido excesivo de archivos informado. El motivo del evento se muestra junto con detalles como el vínculo Content Collaboration compartido, la hora en que se compartió el archivo y mucho más.

Para ver el indicador de riesgo excesivo de uso compartido de archivos, vaya a Seguridad > Usuarios y seleccione el usuario.

Uso compartido excesivo de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento excesivo de uso compartido de archivos. Puede ver el número de vínculos compartidos enviados a los destinatarios y cuándo se ha compartido.

Uso compartido excesivo de archivos

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS COMPARTIDOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo compartido. Hora en que se compartió el archivo.

    • ID de recurso compartido. El vínculo Content Collaboration utilizado para compartir el archivo.

    • Operaciones. Operación realizada por el usuario mediante Content Collaboration.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se compartió el archivo.

    Detalles excesivos del evento de uso compartido de archivos

  • En la sección INFORMACIÓN contextual ADICIONAL, puede ver el número total de archivos compartidos por el usuario durante la ocurrencia del evento.

    Uso excesivo de información contextual adicional de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

  • Cuando el usuario está inhabilitado, no puede iniciar sesión en Content Collaboration. En la página de inicio de sesión, ven una notificación que les pide que se pongan en contacto con el administrador de cuentas de Content Collaboration para obtener más información.

  • Cuando un vínculo de recurso compartido está inhabilitado, ningún usuario o destinatario puede acceder al vínculo de recurso compartido. Si el usuario intenta volver a acceder al vínculo de recurso compartido, la página muestra un mensaje al destinatario indicando que el vínculo ya no está disponible.

Subidas excesivas de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de carga de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de cargas excesivas de archivos le ayuda a identificar una actividad inusual de carga de archivos. Cada usuario tiene un patrón de carga de archivos que sigue, que incluye atributos como:

  • Hora en que se cargaron los archivos

  • Tipo de archivos que se cargaron

  • Volumen de carga de archivos

  • Origen de carga de archivos

Cualquier desviación del patrón habitual de un usuario activa el indicador de riesgo de cargas excesivas de archivos.

¿Cuándo se activa el indicador de riesgo de cargas excesivas de archivos?

Las cargas excesivas de archivos se pueden clasificar como riesgosas porque indican que un usuario comprometido o una amenaza de información privilegiada podría estar intentando cargar contenido malicioso o cifrado. Si cargar una gran cantidad de datos no es coherente con el comportamiento normal del usuario, se puede considerar sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos cargados supera el comportamiento normal de carga del usuario basado en algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento excesivo de carga, aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de cargas excesivas de archivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de cargas excesivas de archivos?

Considere al usuario Lemuel Kildow, que ha subido una gran cantidad de datos en un lapso de una hora. Con esta acción, Lemuel Kildow había superado su comportamiento normal de carga basado en algoritmos de aprendizaje automático.

En la línea de tiempo del usuario, puede seleccionar el indicador de riesgo de cargas excesivas de archivos. El motivo de la alerta se muestra junto con detalles del evento, como el nombre del archivo, la hora de carga, el nombre de la herramienta y el origen.

Para ver el indicador de riesgo de cargas excesivas de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

Subidas excesivas de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de cargas excesivas de archivos. Puede ver la cantidad de datos cargados por el usuario y la hora en que ocurrió el evento.

Carga excesiva de archivos lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS CARGADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo cargado. Hora en que se cargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo cargado.

    • Nombre de la herramienta. El tipo de dispositivo con el que se ha cargado el archivo.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se ha cargado el archivo.

    Detalles del evento de carga excesiva de archivos

  • En la sección INFORMACIÓN contextual ADICIONAL, puede ver el tamaño total de los archivos cargados por el usuario durante la ocurrencia del evento.

    El exceso de archivos carga información adicional

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Descargas excesivas de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de descargas de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de descargas excesivas de archivos le ayuda a identificar la actividad de descarga de archivos inusual. Cada usuario tiene un patrón de descarga de archivos que siguen que incluye atributos como:

  • Hora de descargar los archivos.

  • Tipo de archivos que se descargaron.

  • Volumen de descarga de archivos, etc.

Cualquier desviación del patrón habitual de un usuario activa el indicador de riesgo de descargas excesivas de archivos.

¿Cuándo se activa el indicador de riesgo de descargas excesivas de archivos?

Las descargas excesivas de archivos se pueden clasificar como riesgosas porque indica que un usuario comprometido o un usuario con información privilegiada podría estar tratando de exfiltrar datos. Si la descarga de una gran cantidad de datos no es coherente con el comportamiento normal del usuario, podría considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos descargados supera el comportamiento de descarga normal del usuario basado en algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento de descarga excesivo, aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de descargas excesivas de archivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de descargas excesivas de archivos?

Considere al usuario Lemuel Kildow, que ha descargado una gran cantidad de datos a su sistema local en un lapso de una hora. Con esta acción, Lemuel Kildow había superado su comportamiento normal de descarga basado en algoritmos de aprendizaje automático.

En la línea de tiempo del usuario, puede seleccionar el indicador de riesgo de descargas excesivas de archivos informado. Se muestra el motivo de la alerta de descarga excesiva de archivos junto con detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de descargas excesivas de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

Descargas excesivas de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de descargas excesivas de archivos. Puede ver la cantidad de datos descargados por el usuario y la hora en que ocurrió el evento.

Descargas excesivas de archivos lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS DESCARGADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) desde el que se descargó el archivo.

    • Tamaño del archivo. El tamaño del archivo descargado.

    Detalles del evento de descargas excesivas de archivos

  • En la sección INFORMACIÓN contextual ADICIONAL, puede ver el tamaño total de descarga de los archivos descargados por el usuario durante la ocurrencia del evento.

    El archivo excesivo descarga información contextual adicional

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Eliminación excesiva de archivos o carpetas

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de eliminación de archivos o carpetas y activa el indicador de riesgo correspondiente.

El indicador de riesgo de eliminación excesiva de archivos o carpetas se activa cuando el comportamiento de un usuario con respecto a la eliminación de archivos de carpetas es excesivo. Esta anomalía podría indicar un problema con la cuenta del usuario, como, por ejemplo, un ataque a su cuenta.

¿Cuándo se activa el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Puede recibir una notificación cuando un usuario de su organización haya eliminado un número excesivo de archivos o carpetas en un período de tiempo determinado. Esta alerta se activa cuando un usuario elimina un número excesivo de archivos o carpetas fuera de su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo para el usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Considere al usuario Lemuel Kildow, que eliminó muchos archivos o carpetas en el transcurso de un día. Con esta acción, Lemuel Kildow había superado su comportamiento de eliminación normal basado en algoritmos de aprendizaje automático.

En la línea de tiempo de Lemuel Kildow, puede seleccionar el indicador de riesgo de eliminación excesiva de archivos o carpetas. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el tipo de eliminación (archivo o carpeta), la hora en que se eliminó, etc.

Para ver el indicador de riesgo de eliminación excesiva de archivos o carpetas, vaya a Seguridad > Usuariosy seleccione el usuario.

Eliminación excesiva de archivos o carpetas

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento Excesivo de eliminación de archivos o carpetas. Puede ver el número de archivos y carpetas que se eliminaron y la hora en que ocurrió el evento.

Eliminación excesiva de archivos o carpetas de lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ELEMENTOS ELIMINADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora eliminada. Hora en que se eliminó el archivo o la carpeta.

    • Tipo. Tipo de elemento que se eliminó: archivo o carpeta.

    • Nombre. Nombre del archivo o carpeta que se eliminó.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se eliminó el archivo.

    Detalles excesivos del evento de eliminación de archivos o carpetas

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Errores de inicio de sesión excesivos

Citrix Analytics detecta amenazas de acceso basadas en una actividad excesiva de inicio de sesión y activa el indicador de riesgo correspondiente.

El indicador de riesgo de errores de inicio de sesión excesivos se activa cuando un usuario experimenta intentos de inicio de sesión fallidos. Al identificar a los usuarios con errores de inicio de sesión excesivos, en función del comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

¿Cuándo se activa el indicador de riesgo de errores de inicio de sesión excesivos?

Se le notifica cuando un usuario de la organización tiene varios intentos fallidos de inicio de sesión que son contrarios a su comportamiento habitual.

El indicador de riesgo de errores de inicio de sesión excesivos se activa cuando un usuario intenta iniciar sesión repetidamente en el servicio Content Collaboration. Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notificará en el panel Alertas y el indicador de riesgo de errores de inicio de sesión excesivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de inicio de sesión excesivas?

Considere a la usuaria Maria Brown, que intentó iniciar sesión en Content Collaboration varias veces. Con esta acción, Maria Brown activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual.En la línea de tiempo de Maria, puede seleccionar el indicador de riesgo de errores de inicio de sesión excesivos. El motivo del evento y los detalles del evento se muestran en la pantalla.

Para ver el indicador de riesgo de errores de inicio de sesión excesivos, vaya a Seguridad > Usuarios y seleccione el usuario.

Errores de inicio de sesión excesivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de errores de inicio de sesión excesivos. Puede ver el número de inicios de sesión fallidos que se produjeron durante un período de tiempo específico.

Errores de inicio de sesión excesivos

  • En la sección DETALLES DE EVENTO, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora de cada intento de inicio de sesión.

    • IP del cliente. La dirección IP del cliente utilizada.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • SO. Versión del sistema operativo utilizada por el cliente.

Errores de inicio de sesión excesivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Actividad de ransomware sospechosa

Citrix Analytics detecta amenazas de datos basadas en una actividad de ransomware y activa el indicador de riesgo correspondiente.

El ransomware es un tipo de software malicioso que cifra el archivo de un usuario y los reemplaza o actualiza con archivos descifrados. Al identificar los ataques de ransomware a través de archivos compartidos por los usuarios de una organización, puede asegurarse de que la productividad no se vea afectada.

¿Cuándo se activa el indicador de riesgo de ransomware?

Se le puede notificar cuando un usuario de su cuenta comience a eliminar y subir un número excesivo de archivos con nombres similares y extensiones diferentes. También se le puede notificar cuando el usuario actualiza un número excesivo de archivos con nombres similares y extensiones diferentes. Esta actividad indica que la cuenta del usuario se ha visto comprometida y que se ha producido un posible ataque de ransomware. Cuando Citrix Analytics detecta este comportamiento, aumenta la puntuación de riesgo del usuario respectivo. A continuación, se le notifica en el panel Alertas y el indicador de riesgo sospechoso de actividad de Ransomware se agrega a la línea de tiempo de riesgo del usuario.

El indicador de actividad sospechosa de ransomware puede ser de dos tipos. Se trata de:

  • Actividad de ransomware sospechosa (Archivos reemplazados) indica archivos eliminados y nuevos archivos cargados en su lugar de una manera similar a un ataque de ransomware. Los patrones de ataque pueden dar lugar a más número de cargas que el número de archivos eliminados. Por ejemplo, se puede cargar una nota de rescate junto con los otros archivos.

  • Actividad de ransomware sospechosa (Archivos actualizados) indica archivos actualizados de una manera similar a un ataque de ransomware.

¿Cómo analizar el indicador de riesgo de ransomware?

Considere al usuario Adam Maxwell, que eliminó muchos archivos y los reemplazó con diferentes versiones, en un lapso de 15 minutos. Mediante esta acción, Adam Maxwell ha desencadenado un comportamiento inusual y sospechoso basado en lo que los algoritmos de aprendizaje automático consideran normal para ese usuario específico.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo notificado de actividad de ransomware sospechosa (archivos reemplazados). El motivo del evento se muestra en la pantalla junto con detalles como el nombre del archivo, la ubicación del archivo.

Para ver el indicador de riesgo sospechoso de actividad de Ransomware, vaya a Seguridad > Usuarios y seleccione el usuario. En la línea de tiempo de riesgo del usuario, seleccione el indicador de riesgo sospechoso de actividad de ransomware (Archivos reemplazados) que se ha informado para el usuario.

Archivos de ransomware actualizados

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento sospechoso de actividad de Ransomware. Puede ver el número de archivos que se eliminaron y reemplazaron de manera sospechosa, así como la hora en que ocurrió el evento.

Los archivos de ransomware actualizaron lo que sucedió

  • La sección DETALLES DEL EVENTO: OPERACIONES DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se reemplazó o eliminó el archivo.

    • Nombre del archivo. Nombre del archivo.

    • Ruta. Ruta de acceso donde se encuentra el archivo.

    Archivos de ransomware actualizados detalles del evento

Del mismo modo, puede seleccionar el indicador de riesgo sospechoso de actividad de Ransomware reportada (Archivos actualizados). Puede ver los detalles de este evento, como:

  • La razón por la que se activa el indicador de riesgo.

  • El número de archivos que se actualizaron con versiones cifradas.

  • Hora en que se produjo el evento (archivos que se están actualizando).

  • El nombre de los archivos.

  • La ubicación de los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.