Citrix Analytics para la seguridad

Indicadores de riesgo de Citrix Content Collaboration

Acceso desde una ubicación inusual

Citrix Analytics detecta las amenazas de acceso en función de una actividad de inicio de sesión inusual y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirá una notificación cuando un usuario de su organización inicia sesión desde una ubicación diferente de su ubicación habitual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Content Collaboration detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentre anómalo lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad en todos los usuarios de la organización. En todos los casos, el historial de ubicación del usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se agrega al cronograma de riesgo del usuario.

El factor de riesgo asociado con el indicador de riesgo de acceso desde una ubicación inusual son los indicadores de riesgo basados en la ubicación. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Piense en el usuario Kevin Smith, que inicia sesión desde Bengaluru, India por primera vez. Sus ubicaciones habituales de inicio de sesión en los últimos 30 días son Canadá, Inglaterra, Alemania y los Países Bajos. Con esta acción, Kevin Smith activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual.

En la cronología de Kevin Smith, puede seleccionar el acceso notificado de un indicador de riesgo de ubicación inusual . El motivo del evento se muestra en la pantalla junto con detalles como la hora de inicio de sesión y la dirección IP del cliente.

Para ver el indicador de riesgo de acceso desde una ubicación inusual, vaya a Seguridad > Usuariosy seleccione el usuario.

Acceso desde una ubicación inusual

  • En la sección QUÉ PASÓ, puede ver un resumen del acceso desde el evento de ubicación inusual. Puede ver el número de inicios de sesión sospechosos que se han producido durante un período de tiempo específico.

    Colaboración de contenido de acceso de inicio de sesión inusual:

  • Ubicaciones de inicio de sesión: muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales desde las que el usuario ha iniciado sesión.

    Sign in location

  • Número de inicios de sesión desde ubicaciones habituales: últimos 30 días: muestra una vista de gráfico circular de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión en los últimos 30 días. También muestra el número de eventos de inicio de sesión de estas ubicaciones.

    gráficos circulares

  • Detalles de sucesos para ubicaciones inusuales: proporciona la lista de los eventos de inicio de sesión de una ubicación inusual para el usuario. La tabla proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    Detalles del evento de colaboración de contenido de acceso de inicio de sesión inusual

    • Fecha y hora. Indica la fecha y la hora del evento de ubicación de inicio de sesión inusual.
    • IP del cliente. Indica la dirección IP del dispositivo cliente.
    • Sistema operativo del dispositivo. Indica el sistema operativo del dispositivo con el que el usuario ha iniciado sesión en una ubicación inusual.
    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Acceso excesivo a archivos confidenciales

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de acceso a archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso excesivo a archivos confidenciales se activa cuando el comportamiento de un usuario con respecto al acceso a archivos confidenciales es excesivo. Esta actividad inusual puede indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

El factor de riesgo asociado con el indicador de riesgo de acceso excesivo a archivos confidenciales son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de acceso excesivo a archivos sensibles?

Se le notifica cuando un usuario ha accedido a una cantidad inusual de datos que se han considerado confidenciales durante un período de tiempo determinado. Esta alerta se activa cuando un usuario accede a datos confidenciales identificados por una solución de prevención de pérdida de datos (DLP) o un agente de seguridad de acceso a la nube (CASB). Cuando Content Collaboration detecta este comportamiento excesivo, Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de acceso excesivo a archivos confidenciales se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el acceso excesivo a los archivos sensibles indicador de riesgo?

Considere que el usuario Adam Maxwell, tuvo acceso a 10 archivos confidenciales, que descargó en su sistema local en un lapso de 15 minutos. El indicador de riesgo de acceso excesivo a archivos confidenciales se activa porque supera un umbral. El umbral se calcula en función del número de archivos confidenciales descargados en una ventana de tiempo determinada, teniendo en cuenta la información contextual como el mecanismo de descarga.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de acceso excesivo a archivos confidenciales . El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de acceso excesivo a archivos confidenciales, vaya a Seguridad > Usuariosy seleccione el usuario.

Acceso excesivo a archivos confidenciales

  • En la sección QUÉ SUCEDIÓ, puede ver un resumen del indicador de riesgo de acceso excesivo a archivos confidenciales. Puede ver el número de archivos confidenciales que Citrix Analytics consideró excesivos y la hora en que se produjeron los eventos.

    Acceso excesivo a archivos confidenciales: qué ha ocurrido

  • En la sección DETALLES DEL EVENTO: DESCARGA DE DATOS SENSIBLES, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Tamaño del archivo. Tamaño del archivo descargado.

    Acceso excesivo a los detalles de eventos de archivos confidenciales

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • Número total de archivos confidenciales descargados.

    • Tamaño total de los archivos descargados por el usuario.

    Acceso excesivo a información contextual de archivos confidenciales

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Uso compartido excesivo de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de uso compartido de archivos y activa el indicador de riesgo correspondiente.

El indicador de uso compartido excesivo de archivos se activa cuando hay una desviación del comportamiento típico de uso compartido de archivos del usuario. Cualquier desviación de un comportamiento normal de uso compartido de archivos se considera inusual y se investiga la cuenta del usuario para detectar esta actividad sospechosa.

El factor de riesgo asociado con el indicador de riesgo de uso compartido excesivo de archivos es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de uso compartido excesivo de archivos?

Se le puede notificar cuando un usuario de su organización ha estado compartiendo archivos con más frecuencia de la esperada con un comportamiento normal. Al responder a la notificación sobre un usuario que ha compartido archivos de forma excesiva, puede evitar la filtración de datos.

Citrix Analytics recibe eventos compartidos de Content Collaboration, los analiza y aumenta la puntuación de riesgo de un usuario que exhibe un comportamiento excesivo de uso compartido. El indicador de riesgo de uso compartido excesivo de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de uso compartido excesivo de archivos?

Piense en el usuario Adam Maxwell, que compartió archivos seis veces en un día. Con esta acción, Adam Maxwell ha compartido archivos más veces de lo que suele hacer basándose en algoritmos de aprendizaje automático.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de uso compartido excesivo de archivos notificado. El motivo del evento se muestra junto con detalles como el vínculo Content Collaboration compartido, la hora en que se compartió el archivo y mucho más.

Para ver el indicador Riesgo excesivo de uso compartido de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

Uso compartido excesivo de archivos

  • En la sección WHAT Happened, puede ver un resumen del evento de uso compartido excesivo de archivos. Puede ver el número de enlaces compartidos enviados a los destinatarios y cuándo se compartió.

    Uso compartido excesivo de archivos: qué ocurrió

  • En la sección DETALLES DEL EVENTO: ARCHIVOS COMPARTIDOS EXCESIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo compartido. Hora en que se compartió el archivo.

    • ID de recurso compartido. El enlace de Content Collaboration utilizado para compartir el archivo.

    • Operaciones. Operación realizada por el usuario mediante Content Collaboration.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se compartió el archivo.

      Detalles excesivos del evento de uso compartido de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el número total de archivos compartidos por el usuario durante la ocurrencia del evento.

    Información contextual de uso compartido excesivo de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de riesgo de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a ese indicador.

  • Cambia los vínculos para compartir solo lectura. Cuando un usuario activa el indicador Riesgo excesivo de uso compartido de archivos, Citrix Analytics le permite cambiar los vínculos de recursos compartidos asociados a ese indicador al modo de uso compartido de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

  • Cuando el usuario está inhabilitado, no puede iniciar sesión en Content Collaboration. En la página de inicio de sesión, ven una notificación en la que se les pide que se pónganse en contacto con el administrador de cuentas de Content Collaboration para obtener más información

  • Cuando se inhabilita un enlace para compartir, ningún usuario ni destinatario puede acceder al enlace para compartir. Si el usuario intenta acceder de nuevo al enlace para compartir, la página muestra un mensaje al destinatario que indica que el enlace ya no está disponible.

  • Independientemente de la fuente de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Subidas excesivas de archivos

Citrix Analytics detecta amenazas a los datos en función de una actividad excesiva de carga de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de subidas excesivas de archivos le ayuda a identificar una actividad de subida de archivos inusual. Cada usuario tiene un patrón de carga de archivos que sigue, que incluye atributos tales como:

  • Hora en que se cargaron los archivos

  • Tipo de archivos que se han subido

  • volumen de carga de archivos

  • Origen de carga de archivos

Cualquier desviación del patrón habitual de un usuario desencadena el indicador de riesgo de subidas excesivas de archivos .

El factor de riesgo asociado con el indicador de riesgo de subidas excesivas de archivos es Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de cargas excesivas de archivos?

Las cargas excesivas de archivos se pueden clasificar como riesgosas porque indican que un usuario comprometido o una amenaza de información privilegiada podría estar intentando cargar contenido malicioso o cifrado. Si subir una gran cantidad de datos no es coherente con el comportamiento normal del usuario, puede considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos cargados supera el comportamiento normal de carga del usuario en función de algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento excesivo de carga, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de subidas excesivas de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de cargas excesivas de archivos?

Considere el usuario Lemuel, que ha subido una gran cantidad de datos en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de carga basado en algoritmos de aprendizaje automático.

En el cronograma del usuario, puede seleccionar el indicador de riesgo de subidas excesivas de archivos denunciadas. El motivo de la alerta se muestra junto con detalles del evento, como el nombre del archivo, la hora de carga, el nombre de la herramienta y el origen.

Para ver el indicador de riesgo de subidas excesivas de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

Subidas excesivas de archivos

  • En la sección QUÉ OCURRIÓ, puede ver un resumen del evento de subidas excesivas de archivos. Puede ver la cantidad de datos cargados por el usuario y la hora en que se produjo el evento.

Subidas excesivas de archivos: lo que

  • En la sección DETALLES DEL EVENTO: CARGA EXCESIVA DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo cargado. Hora en que se subió el archivo.

    • Nombre del archivo. Nombre y extensión del archivo cargado.

    • Nombre de la herramienta. Herramienta o aplicación con la que se ha cargado el archivo.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se cargó el archivo.

    Detalles del evento de carga excesiva de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de los archivos cargados por el usuario durante la ocurrencia del evento.

    Información sobre subidas excesivas de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Descargas excesivas de archivos

Citrix Analytics detecta amenazas a los datos en función de una actividad excesiva de descargas de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de descargas excesivas de archivos ayuda a identificar actividades de descarga de archivos inusuales. Cada usuario tiene un patrón de descarga de archivos que sigue, que incluye atributos tales como:

  • Hora en que se descargaron los archivos.

  • Tipo de archivos descargados.

  • Volumen de descarga de archivos, etc.

Cualquier desviación del patrón habitual de un usuario desencadena el indicador de riesgo de descarga excesiva de archivos .

El factor de riesgo asociado con el indicador de riesgo de descargas excesivas de archivos son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de descargas excesivas de archivos?

Las descargas excesivas de archivos se pueden clasificar como riesgosas porque indica que un usuario comprometido o un usuario con información privilegiada podría estar tratando de exfiltrar datos. Si descargar una gran cantidad de datos no es coherente con el comportamiento normal del usuario, podría considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos descargados supera el comportamiento normal de descarga del usuario en función de algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento de descarga excesivo, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de descargas excesivas de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de descargas excesivas de archivos?

Considere el usuario Lemuel, que ha descargado una gran cantidad de datos a su sistema local en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de descarga basado en algoritmos de aprendizaje automático.

En la cronología del usuario, puede seleccionar el indicador de riesgo de descarga excesiva de archivos que se ha informado. Se muestra el motivo de la alerta de descarga excesiva de archivos junto con detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de descarga excesiva de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

Descargas excesivas de archivos

  • En la sección WHAT Happened, puede ver un resumen del evento de descargas excesivas de archivos. Puede ver la cantidad de datos descargados por el usuario y la hora en que se produjo el evento.

Descargas excesivas de archivos: lo que ocurrió

  • En la sección DETALLES DEL EVENTO: DESCARGAS EXCESIVAS DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) desde el que se descargó el archivo.

    • Tamaño del archivo. Tamaño del archivo descargado.

      Detalles del evento de descargas excesivas de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de descarga de los archivos descargados por el usuario durante el evento.

    Descarga excesiva de información contextual de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Eliminación excesiva de archivos o carpetas

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de eliminación de archivos o carpetas y activa el indicador de riesgo correspondiente.

El indicador de riesgo de eliminación excesiva de archivos o carpetas se activa cuando el comportamiento de un usuario con respecto a la eliminación de archivos de carpetas es excesivo. Esta anomalía podría indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

El factor de riesgo asociado con el indicador de riesgo de eliminación excesiva de archivos o carpetas son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Se le puede notificar cuando un usuario de su organización ha eliminado un número excesivo de archivos o carpetas en un período de tiempo determinado. Esta alerta se activa cuando un usuario elimina un número excesivo de archivos o carpetas fuera de su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo para el usuario respectivo. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Considere el usuario Lemuel, que eliminó muchos archivos o carpetas en el transcurso de un día. Con esta acción, Lemuel superó su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

En la cronología de Lemuel Kildow, puede seleccionar el indicador de riesgo de eliminación excesiva de archivos o carpetas que se ha informado. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el tipo de eliminación (archivo o carpeta), la hora en que se eliminó, etc.

Para ver el indicador Riesgo excesivo de eliminación de archivos o carpetas, vaya a Seguridad > Usuariosy seleccione el usuario.

Eliminación excesiva de archivos o carpetas

  • En la sección QUÉ OCURRIÓ, puede ver un resumen del evento Eliminación excesiva de archivos o carpetas. Puede ver el número de archivos y carpetas que se han eliminado y la hora en que se ha producido el evento.

    Eliminación excesiva de archivos o carpetas: ¿qué ha ocurrido?

  • En la sección DETALLES DEL EVENTO: ELEMENTOS ELIMINADOS EXCESIVAMENTE, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo eliminado. Hora en que se eliminó el archivo o la carpeta.

    • Tipo. Tipo de elemento que se ha eliminado: archivo o carpeta.

    • Name. Nombre del archivo o carpeta que se ha eliminado.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se eliminó el archivo.

      Detalles excesivos del evento de eliminación de archivos o carpetas

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Actividad de ransomware sospechosa

Citrix Analytics detecta amenazas de datos basadas en una actividad de ransomware y activa el indicador de riesgo correspondiente.

El ransomware es un malware que impide que los usuarios accedan a sus archivos mediante la sustitución o actualización de los archivos con una versión cifrada. Al identificar los ataques de ransomware a través de archivos compartidos por los usuarios de una organización, puede asegurarse de que la productividad no se vea afectada.

El factor de riesgo asociado con el indicador de riesgo sospechoso de actividad de Ransomware son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de ransomware?

Se le notifica cuando un usuario de su cuenta intenta eliminar y reemplaza un número excesivo de archivos con nombres similares y extensiones diferentes. También se le notifica cuando un usuario actualiza un número excesivo de archivos con nombres similares y extensiones diferentes. Esta actividad indica que la cuenta del usuario se ha visto comprometida y que se ha producido un posible ataque de ransomware. Cuando Citrix Analytics detecta este comportamiento, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo sospechoso de actividad de ransomware se agrega al cronograma de riesgo del usuario.

El indicador de actividad sospechosa de ransomware puede ser de dos tipos. Se trata de:

  • Se sospecha de actividad de ransomware (Archivos reemplazados) indica un intento de eliminar los archivos existentes y reemplazarlos por una nueva versión de los archivos que se asemeja a un ataque de ransomware. Los patrones de ataque pueden dar lugar a más número de cargas que el número de archivos eliminados. Por ejemplo, se puede cargar una nota de rescate junto con los otros archivos.

  • Se sospecha de actividad de ransomware (Archivos actualizados) indica un intento de actualizar los archivos existentes con una versión modificada de los archivos que se asemeja a un ataque de ransomware.

¿Cómo analizar el indicador de riesgo de ransomware?

Pensemos en el usuario Adam Maxwell, que intenta actualizar muchos archivos con versiones modificadas, en un lapso de 15 minutos. Mediante esta acción, Adam Maxwell ha desencadenado un comportamiento inusual y sospechoso basado en lo que los algoritmos de aprendizaje automático consideran normal para ese usuario específico.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de actividad sospechosa de ransomware (archivos actualizados) . El motivo del evento se muestra en la pantalla junto con detalles como el nombre del archivo y la ubicación del archivo.

Para ver el indicador de riesgo sospechoso de actividad de ransomware (Archivos actualizados), vaya a Seguridad > Usuariosy seleccione el usuario. En el cronograma de riesgo del usuario, seleccione el indicador de riesgo sospechoso de actividad de ransomware (archivos actualizados) que se activa para el usuario.

Archivos de ransomware actualizados

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento sospechoso de actividad de Ransomware. Puede ver el número de archivos que se actualizaron de forma sospechosa y la hora en que se produjo el evento.

    Los archivos de ransomware actualizaron lo que sucedió

  • En la sección DETALLES DEL EVENTO: OPERACIONES DE ARCHIVO, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se actualizó el archivo.

    • Nombre del archivo. Nombre del archivo.

    • Ruta. Ruta de acceso en la que se encuentre el archivo.

      Archivos de ransomware actualizados detalles del evento

Del mismo modo, puede seleccionar el indicador de riesgo de actividad de ransomware sospechosa (archivos reemplazados) . Puede ver los detalles de este evento, como:

  • La razón por la que se activa el indicador de riesgo.

  • Número de archivos que se han eliminado y reemplazado por una nueva versión.

    Archivo sustituido

  • Hora en que se produjo el evento (archivos que se están reemplazando).

  • El nombre de los archivos.

  • Ubicación de los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Fallas de autenticación inusuales

Citrix Analytics detecta amenazas de acceso en función de las actividades de autenticación procedentes de direcciones IP inusuales.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario realiza intentos de inicio de sesión fallidos desde una dirección IP que se considera inusual según el patrón de acceso histórico del usuario. Al identificar a los usuarios con errores de autenticación inusuales, según el comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

El factor de riesgo asociado con el indicador de riesgo de fallos de autenticación inusuales son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de errores de autenticación inusuales?

Se le notifica cuando un usuario de la organización tiene varios intentos fallidos de inicio de sesión que son contrarios a su comportamiento habitual.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario intenta iniciar sesión repetidamente en el servicio Content Collaboration. Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de fallos de autenticación inusuales se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autenticación inusuales?

Piense en la usuaria Maria Brown, que intentó iniciar sesión varias veces en Content Collaboration. Con esta acción, Maria Brown activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual. En el cronograma de Maria, puede seleccionar el indicador de riesgo de errores de autenticación inusuales notificados. El motivo del evento y los detalles del evento se muestran en la pantalla.

Para ver el indicador Riesgo de errores de autenticación inusuales, vaya a Seguridad > Usuariosy seleccione el usuario.

Fallas de autenticación inusuales

  • En la sección QUÉ OCURRIÓ, puede ver un resumen del evento de errores de autenticación inusuales. Puede ver el número de inicios de sesión fallidos que se produjeron durante un período de tiempo específico.

    Fallos de autenticación excesivos

    <! —! [Errores excesivos de autenticación] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-what-happened.png) —>

  • En la sección FALLO DE AUTENTICACIÓN INUSUAL: DETALLES DEL EVENTO, puede ver la cronología de los eventos y sus detalles. La tabla proporciona la siguiente información clave:

    • Hora del evento. Hora de cada intento de inicio de sesión.

    • IP del cliente. Dirección IP de la red del usuario.

    • Localización. Ubicación del dispositivo del usuario.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • SO. El sistema operativo del dispositivo del usuario.

      Fallas de autenticación inusuales

    <! —! [Fallas de autenticación inusuales] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

  • En la sección ACTIVIDAD DE AUTENTICACIÓN: 30 DÍAS ANTERIORES, la tabla proporciona la siguiente información sobre los 30 días anteriores de actividad de autenticación del usuario:

    • Subred: dirección IP de la red de usuarios.

    • Éxito: el número total de eventos de autenticación correctos y la hora del evento de éxito más reciente para el usuario.

    • Error: número total de eventos de autenticación fallidos y la hora del último evento fallido del usuario.

    • Ubicación: ubicación desde la que se ha producido el evento de autenticación.

      Actividad de autenticación

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.