Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Content Collaboration

Acceso desde una ubicación inusual

Citrix Analytics detecta amenazas de acceso basadas en una actividad de inicio de sesión inusual y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirá una notificación cuando un usuario de su organización inicia sesión desde una ubicación diferente de su ubicación habitual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Content Collaboration detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentra anómalo lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad entre todos los usuarios de la organización. En todos los casos, el historial de ubicación del usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se añade a la cronología de riesgos del usuario.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Considere el usuario Kevin Smith, que inicia sesión desde Bengaluru, India por primera vez. Sus ubicaciones habituales de inicio de sesión en los últimos 30 días son Canadá, Inglaterra, Alemania y los Países Bajos. Con esta acción, Kevin Smith activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual.

En la cronología de Kevin Smith, puede seleccionar el acceso informado en un indicador de riesgo de ubicación inusual . El motivo del evento se muestra en la pantalla junto con detalles como la hora de inicio de sesión y la dirección IP del cliente.

Para ver el indicador de riesgo de acceso desde una ubicación inusual, vaya a Seguridad > Usuariosy seleccione el usuario.

Acceso desde una ubicación inusual

  • En la sección LO QUE OCURRIÓ, puede ver un resumen del acceso desde el evento de ubicación inusual. Puede ver el número de inicios de sesión sospechosos que se produjeron durante un período de tiempo específico.

    Colaboración de contenido de acceso de inicio de sesión inusual lo que sucedió

  • Ubicaciones de inicio de sesión: muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales desde las que el usuario ha iniciado sesión.

    Sign in location

  • Número de inicios de sesión desde ubicaciones habituales - últimos 30 días: muestra una vista de gráfico circular de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión en los últimos 30 días. También muestra el número de eventos de inicio de sesión de estas ubicaciones.

    Gráficos circular

  • Detalles del evento para una ubicación inusual: proporciona la lista de eventos de inicio de sesión de la ubicación inusual para el usuario. La tabla proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    Detalles del evento de colaboración de contenido de acceso de inicio de sesión inusual

    • Fecha y hora. Indica la fecha y la hora del evento de ubicación de inicio de sesión inusual.
    • IP del cliente. Indica la dirección IP del dispositivo cliente.
    • Sistema operativo del dispositivo. Indica el sistema operativo del dispositivo mediante el que el usuario ha iniciado sesión en una ubicación inusual.
    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Acceso excesivo a archivos confidenciales

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de acceso a archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso excesivo a archivos confidenciales se activa cuando el comportamiento de un usuario con respecto al acceso a archivos confidenciales es excesivo. Esta actividad inusual podría indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

¿Cuándo se activa el indicador de riesgo de acceso excesivo a archivos sensibles?

Se le notifica cuando un usuario ha accedido a una cantidad inusual de datos que se han considerado sensibles durante un período de tiempo determinado. Esta alerta se activa cuando un usuario accede a datos confidenciales identificados por una solución de prevención de pérdida de datos (DLP) o un agente de seguridad de acceso a la nube (CASB). Cuando Content Collaboration detecta este comportamiento excesivo, Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de acceso excesivo a archivos confidenciales se añade a la cronología de riesgos del usuario.

¿Cómo analizar el acceso excesivo a los archivos sensibles indicador de riesgo?

Considere que el usuario Adam Maxwell, tenía acceso a 10 archivos sensibles, que descargó a su sistema local en un lapso de 15 minutos. El indicador de riesgo de acceso excesivo a archivos sensibles se activa porque supera un umbral. El umbral se calcula en función del número de archivos confidenciales descargados en una ventana de tiempo determinada, teniendo en cuenta la información contextual como el mecanismo de descarga.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de acceso excesivo a archivos sensibles que se informa. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de acceso excesivo a archivos confidenciales, vaya a Seguridad > Usuarios y seleccione el usuario.

Acceso excesivo a archivos confidenciales

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del indicador de riesgo de acceso excesivo a archivos sensibles. Puede ver el número de archivos confidenciales que Citrix Analytics consideró excesivos y la hora en que se produjeron los eventos.

Acceso excesivo a archivos confidenciales lo que sucedió

  • La sección DETALLES DEL EVENTO: DESCARGA DE DATOS CONFIDENCIALES, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Tamaño del archivo. El tamaño del archivo descargado.

    Acceso excesivo a los detalles de eventos de archivos confidenciales

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • Número total de archivos confidenciales descargados.

    • Tamaño total de los archivos descargados por el usuario.

    Acceso excesivo a información contextual de archivos confidenciales

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Uso compartido excesivo de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de uso compartido de archivos y activa el indicador de riesgo correspondiente.

El indicador de uso compartido excesivo de archivos se activa cuando hay una desviación del comportamiento típico de uso compartido de archivos del usuario. Cualquier desviación de un comportamiento común de uso compartido de archivos se considera inusual y se investiga la cuenta del usuario por esta actividad sospechosa.

¿Cuándo se activa el indicador de riesgo de uso compartido excesivo de archivos?

Se le puede notificar cuando un usuario de su organización ha estado compartiendo archivos con más frecuencia de lo esperado con un comportamiento normal. Al responder a la notificación sobre un usuario que tiene archivos compartidos excesivamente, puede evitar una exfiltración de datos.

Citrix Analytics recibe eventos compartidos de Content Collaboration, los analiza y aumenta la puntuación de riesgo de un usuario que exhibe un comportamiento excesivo de uso compartido. El indicador de riesgo de uso compartido excesivo de archivos se añade a la cronología de riesgos del usuario.

¿Cómo analizar el indicador de riesgo de uso compartido excesivo de archivos?

Considere al usuario Adam Maxwell, que compartió archivos seis veces en un día. Con esta acción, Adam Maxwell ha compartido archivos más veces de lo que suele hacer basándose en algoritmos de aprendizaje automático.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de uso compartido excesivo de archivos notificado. El motivo del evento se muestra junto con detalles como el vínculo Content Collaboration compartido, la hora en que se compartió el archivo y mucho más.

Para ver el indicador de riesgo excesivo de uso compartido de archivos, vaya a Seguridad > Usuarios y seleccione el usuario.

Uso compartido excesivo de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento excesivo de uso compartido de archivos. Puede ver el número de vínculos compartidos enviados a los destinatarios y cuándo se ha compartido.

Uso compartido excesivo de archivos

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS COMPARTIDOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo compartido. Hora en que se compartió el archivo.

    • ID de recurso compartido. El vínculo Content Collaboration utilizado para compartir el archivo.

    • Operaciones. Operación realizada por el usuario mediante Content Collaboration.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se compartió el archivo.

    Detalles excesivos del evento de uso compartido de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el número total de archivos compartidos por el usuario durante la ocurrencia del evento.

    Información contextual de uso compartido excesivo de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de riesgo de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a ese indicador.

  • Cambia los enlaces al uso compartido de solo lectura. Cuando un usuario activa el indicador de riesgo de uso compartido excesivo de archivos, Citrix Analytics le permite cambiar los vínculos de recursos compartidos asociados a ese indicador al modo de uso compartido de solo lectura. Esta acción impide que otros usuarios descarguen, copien o imprimen los archivos asociados a los vínculos compartidos.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

  • Cuando el usuario está inhabilitado, no puede iniciar sesión en Content Collaboration. En la página de inicio de sesión, ven una notificación que les pide que se pongan en contacto con el administrador de cuentas de Content Collaboration para obtener más información.

  • Cuando un vínculo de recurso compartido está inhabilitado, ningún usuario o destinatario puede acceder al vínculo de recurso compartido. Si el usuario intenta volver a acceder al vínculo de recurso compartido, la página muestra un mensaje al destinatario indicando que el vínculo ya no está disponible.

  • Independientemente de la fuente de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Subidas excesivas de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de carga de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de cargas excesivas de archivos le ayuda a identificar una actividad inusual de carga de archivos. Cada usuario tiene un patrón de carga de archivos que sigue, que incluye atributos como:

  • Hora en que se cargaron los archivos

  • Tipo de archivos que se cargaron

  • Volumen de carga de archivos

  • Origen de carga de archivos

Cualquier desviación del patrón habitual de un usuario activa el indicador de riesgo de carga excesiva de archivos .

¿Cuándo se activa el indicador de riesgo de cargas excesivas de archivos?

Las cargas excesivas de archivos se pueden clasificar como riesgosas porque indican que un usuario comprometido o una amenaza de información privilegiada podría estar intentando cargar contenido malicioso o cifrado. Si cargar una gran cantidad de datos no es coherente con el comportamiento normal del usuario, puede considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos cargados supera el comportamiento normal de carga del usuario en función de los algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento excesivo de carga, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de subidas excesivas de archivos se añade a la cronología de riesgos del usuario.

¿Cómo analizar el indicador de riesgo de cargas excesivas de archivos?

Considere el usuario Lemuel, que ha subido una gran cantidad de datos en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de carga basado en algoritmos de aprendizaje automático.

En la cronología del usuario, puede seleccionar el indicador de riesgo de subidas excesivas de archivos notificado. El motivo de la alerta se muestra junto con detalles del evento, como el nombre del archivo, la hora de carga, el nombre de la herramienta y el origen.

Para ver el indicador de riesgo de cargas excesivas de archivos, vaya a Seguridad > Usuarios y seleccione el usuario.

Subidas excesivas de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de cargas excesivas de archivos. Puede ver la cantidad de datos cargados por el usuario y la hora en que ocurrió el evento.

Carga excesiva de archivos lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS CARGADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo cargado. Hora en que se cargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo cargado.

    • Nombre de la herramienta. Herramienta o aplicación con la que se ha cargado el archivo.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se ha cargado el archivo.

    Detalles del evento de carga excesiva de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de los archivos cargados por el usuario durante la ocurrencia del evento.

    Información de subidas excesivas de archivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Descargas excesivas de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de descargas de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de descargas excesivas de archivos le ayuda a identificar la actividad de descarga de archivos inusual. Cada usuario tiene un patrón de descarga de archivos que siguen que incluye atributos como:

  • Hora de descargar los archivos.

  • Tipo de archivos que se descargaron.

  • Volumen de descarga de archivos, etc.

Cualquier desviación del patrón habitual de un usuario activa el indicador de riesgo de descarga excesiva de archivos .

¿Cuándo se activa el indicador de riesgo de descargas excesivas de archivos?

Las descargas excesivas de archivos se pueden clasificar como riesgosas porque indica que un usuario comprometido o un usuario con información privilegiada podría estar tratando de exfiltrar datos. Si descargar una gran cantidad de datos no es coherente con el comportamiento normal del usuario, podría considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos descargados supera el comportamiento normal de descarga del usuario en función de algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento de descarga excesivo, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de descargas excesivas de archivos se añade a la cronología de riesgos del usuario.

¿Cómo analizar el indicador de riesgo de descargas excesivas de archivos?

Considere el usuario Lemuel, que ha descargado una gran cantidad de datos a su sistema local en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de descarga basado en algoritmos de aprendizaje automático.

En la cronología del usuario, puede seleccionar el indicador de riesgo de descargas excesivas de archivos notificados. Se muestra el motivo de la alerta de descarga excesiva de archivos junto con detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de descargas excesivas de archivos, vaya a Seguridad > Usuarios y seleccione el usuario.

Descargas excesivas de archivos

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento de descargas excesivas de archivos. Puede ver la cantidad de datos descargados por el usuario y la hora en que ocurrió el evento.

Descargas excesivas de archivos lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ARCHIVOS DESCARGADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo descargado. Hora en que se descargó el archivo.

    • Nombre del archivo. Nombre y extensión del archivo descargado.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) desde el que se descargó el archivo.

    • Tamaño del archivo. El tamaño del archivo descargado.

    Detalles del evento de descargas excesivas de archivos

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de la descarga de los archivos descargados por el usuario durante el evento.

    Descargas excesivas de archivos de información contextual

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Eliminación excesiva de archivos o carpetas

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de eliminación de archivos o carpetas y activa el indicador de riesgo correspondiente.

El indicador de riesgo de eliminación excesiva de archivos o carpetas se activa cuando el comportamiento de un usuario con respecto a la eliminación de archivos de carpetas es excesivo. Esta anormalidad puede indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

¿Cuándo se activa el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Puede recibir una notificación cuando un usuario de su organización haya eliminado un número excesivo de archivos o carpetas en un período de tiempo determinado. Esta alerta se activa cuando un usuario elimina un número excesivo de archivos o carpetas fuera de su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo para el usuario respectivo. El indicador de riesgo de eliminación excesiva de archivos o carpetas se añade a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Considere el usuario Lemuel, que eliminó muchos archivos o carpetas en el transcurso de un día. Con esta acción, Lemuel superó su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

En la cronología de Lemuel Kildow, puede seleccionar el indicador de riesgo de eliminación excesiva de archivos o carpetas notificados. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el tipo de eliminación (archivo o carpeta), la hora en que se eliminó, etc.

Para ver el indicador de riesgo de eliminación excesiva de archivos o carpetas, vaya a Seguridad > Usuarios y seleccione el usuario.

Eliminación excesiva de archivos o carpetas

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento Excesivo de eliminación de archivos o carpetas. Puede ver el número de archivos y carpetas que se eliminaron y la hora en que ocurrió el evento.

Eliminación excesiva de archivos o carpetas de lo que sucedió

  • La sección DETALLES DEL EVENTO: EXCESO DE ELEMENTOS ELIMINADOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora eliminada. Hora en que se eliminó el archivo o la carpeta.

    • Tipo. Tipo de elemento que se eliminó: Archivo o carpeta.

    • Name. Nombre del archivo o carpeta que se eliminó.

    • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se eliminó el archivo.

    Detalles excesivos del evento de eliminación de archivos o carpetas

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Fallos de autenticación inusuales

Citrix Analytics detecta amenazas de acceso en función de las actividades de autenticación de direcciones IP inusuales.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario realiza intentos de inicio de sesión fallidos desde una dirección IP que se considera inusual según el patrón de acceso histórico del usuario. Al identificar a los usuarios con errores de autenticación inusuales, basados en el comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

¿Cuándo se activa el indicador de riesgo de errores de autenticación inusuales?

Se le notifica cuando un usuario de la organización tiene varios intentos fallidos de inicio de sesión que son contrarios a su comportamiento habitual.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario intenta iniciar sesión repetidamente en el servicio de Content Collaboration. Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de errores de autenticación inusuales se añade a la cronología de riesgos del usuario.

¿Cómo analizar el indicador de riesgo de errores de autenticación inusuales?

Considere a la usuaria Maria Brown, que intentó iniciar sesión varias veces en Content Collaboration. Con esta acción, Maria Brown activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual. En la cronología de Maria, puede seleccionar el indicador de riesgo de errores de autenticación inusuales notificados. El motivo del evento y los detalles del evento se muestran en la pantalla.

Para ver el indicador de riesgo de errores de autenticación inusuales, vaya a Seguridad > Usuariosy seleccione el usuario.

Fallos de autenticación inusuales

  • En la sección QUÉ OCURRIÓ, puede ver un resumen del evento de errores de autenticación inusuales. Puede ver el número de inicios de sesión fallidos que se produjeron durante un período de tiempo específico.

    Fallos de autenticación excesivos

    <! —! [Fallos de autenticación excesivos] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-what-happened.png) —>

  • En la sección DETALLES DEL EVENTO, puedes ver la cronología de los eventos y sus detalles. La tabla proporciona la siguiente información clave:

    • Hora del evento. Hora de cada intento de inicio de sesión.

    • IP del cliente. Dirección IP de la red del usuario.

    • Localización. Ubicación del dispositivo de usuario.

    • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

    • SO. El sistema operativo del dispositivo de usuario.

    Fallos de autenticación inusuales

    <! —! [Fallos de autenticación inusuales] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Actividad de ransomware sospechosa

Citrix Analytics detecta amenazas de datos basadas en una actividad de ransomware y activa el indicador de riesgo correspondiente.

El ransomware es un malware que impide a los usuarios acceder a sus archivos reemplazando o actualizando los archivos con una versión cifrada. Al identificar los ataques de ransomware a través de archivos compartidos por los usuarios de una organización, puede asegurarse de que la productividad no se vea afectada.

¿Cuándo se activa el indicador de riesgo de ransomware?

Se le notifica cuando un usuario de su cuenta intenta eliminar y reemplaza un número excesivo de archivos por nombres similares y extensiones diferentes. También se le notifica cuando un usuario actualiza un número excesivo de archivos con nombres similares y extensiones diferentes. Esta actividad indica que la cuenta del usuario se ha visto comprometida y que se ha producido un posible ataque de ransomware. Cuando Citrix Analytics detecta este comportamiento, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo sospechoso de actividad de ransomware se añade a la cronología de riesgo del usuario.

El indicador de actividad sospechosa de ransomware puede ser de dos tipos. Se trata de:

  • Laactividad de ransomware sospechosa (Archivos reemplazados) indica un intento de eliminar los archivos existentes y reemplazarlos por una nueva versión de los archivos que se asemeja a un ataque de ransomware. Los patrones de ataque pueden dar lugar a más número de cargas que el número de archivos eliminados. Por ejemplo, se puede cargar una nota de rescate junto con los otros archivos.

  • Sesospecha de actividad de ransomware (Archivos actualizados) indica un intento de actualizar los archivos existentes con una versión modificada de los archivos que se asemeja a un ataque de ransomware.

¿Cómo analizar el indicador de riesgo de ransomware?

Considere al usuario Adam Maxwell, que intenta actualizar muchos archivos con versiones modificadas, en un lapso de 15 minutos. Mediante esta acción, Adam Maxwell ha desencadenado un comportamiento inusual y sospechoso basado en lo que los algoritmos de aprendizaje automático consideran normal para ese usuario específico.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de actividad sospechosa de ransomware (archivos actualizados) reportado. El motivo del evento se muestra en la pantalla junto con detalles como el nombre del archivo y la ubicación del archivo.

Para ver el indicador de riesgo de actividad sospechosa de ransomware (Archivos actualizados), vaya a Seguridad > Usuariosy seleccione el usuario. En la cronología de riesgo del usuario, seleccione el indicador de riesgo sospechosa de actividad de ransomware (Archivos actualizados) que se activa para el usuario.

Archivos de ransomware actualizados

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento sospechoso de actividad de Ransomware. Puede ver el número de archivos que se han actualizado de forma sospechosa y el momento en que se produjo el evento.

    Los archivos de ransomware actualizaron lo que sucedió

  • La sección DETALLES DEL EVENTO: OPERACIONES DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se actualizó el archivo.

    • Nombre del archivo. Nombre del archivo.

    • Ruta. Ruta de acceso donde se encuentra el archivo.

    Archivos de ransomware actualizados detalles del evento

Del mismo modo, puede seleccionar el indicador de riesgo sospechosa de actividad de ransomware (Archivos reemplazados) . Puede ver los detalles de este evento, como:

  • La razón por la que se activa el indicador de riesgo.

  • Número de archivos que se han eliminado y reemplazado por una nueva versión.

    Archivo sustituido

  • Hora en que se produjo el evento (se reemplazan los archivos).

  • El nombre de los archivos.

  • La ubicación de los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Inhabilitar usuario. Citrix Analytics le permite restringir o revocar su acceso inhabilitando su cuenta de Content Collaboration.

  • Caducar todos los vínculos compartidos. Cuando un usuario activa el indicador de uso compartido excesivo de archivos, Citrix Analytics le permite caducar todos los vínculos asociados a dicho indicador.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.