Indicadores de riesgo de Citrix Content Collaboration

Acceso excesivo a archivos confidenciales

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de acceso a archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso excesivo a archivos confidenciales se activa cuando el comportamiento de un usuario con respecto al acceso a archivos confidenciales es excesivo. Esta actividad inusual puede indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

El factor de riesgo asociado con el indicador de riesgo de acceso excesivo a archivos confidenciales son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de acceso excesivo a archivos sensibles?

Se le notifica cuando un usuario ha accedido a una cantidad inusual de datos que se han considerado confidenciales durante un período de tiempo determinado. Esta alerta se activa cuando un usuario accede a datos confidenciales identificados por una solución de prevención de pérdida de datos (DLP) o un agente de seguridad de acceso a la nube (CASB). Cuando Content Collaboration detecta este comportamiento excesivo, Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de acceso excesivo a archivos confidenciales se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el acceso excesivo a los archivos sensibles indicador de riesgo?

Considere que el usuario Adam Maxwell, tuvo acceso a 10 archivos confidenciales, que descargó en su sistema local en un lapso de 15 minutos. El indicador de riesgo de acceso excesivo a archivos confidenciales se activa porque supera un umbral. El umbral se calcula en función del número de archivos confidenciales descargados en una ventana de tiempo determinada, teniendo en cuenta la información contextual como el mecanismo de descarga.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de acceso excesivo a archivos confidenciales. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de acceso excesivo a archivos confidenciales, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección QUÉ SUCEDIÓ, puede ver un resumen del indicador de riesgo de acceso excesivo a archivos confidenciales. Puede ver el número de archivos confidenciales que Citrix Analytics consideró excesivos y la hora en que se produjeron los eventos.

  

• En la sección DETALLES DEL EVENTO: DESCARGA DE DATOS SENSIBLES, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo descargado. Hora en que se descargó el archivo.

  • Nombre del archivo. Nombre y extensión del archivo descargado.

  • Tamaño del archivo. Tamaño del archivo descargado.

  

• En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

  • Número total de archivos confidenciales descargados.

  • Tamaño total de los archivos descargados por el usuario.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Uso compartido excesivo de archivos

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de uso compartido de archivos y activa el indicador de riesgo correspondiente.

El indicador de uso compartido excesivo de archivos se activa cuando hay una desviación del comportamiento típico de uso compartido de archivos del usuario. Cualquier desviación de un comportamiento normal de uso compartido de archivos se considera inusual y se investiga la cuenta del usuario para detectar esta actividad sospechosa.

El factor de riesgo asociado con el indicador de riesgo de uso compartido excesivo de archivos es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de uso compartido excesivo de archivos?

Se le puede notificar cuando un usuario de su organización ha estado compartiendo archivos con más frecuencia de la esperada con un comportamiento normal. Al responder a la notificación sobre un usuario que ha compartido archivos de forma excesiva, puede evitar la filtración de datos.

Citrix Analytics recibe eventos compartidos de Content Collaboration, los analiza y aumenta la puntuación de riesgo de un usuario que exhibe un comportamiento excesivo de uso compartido. El indicador de riesgo de uso compartido excesivo de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de uso compartido excesivo de archivos?

Piense en el usuario Adam Maxwell, que compartió archivos seis veces en un día. Con esta acción, Adam Maxwell ha compartido archivos más veces de lo que suele hacer basándose en algoritmos de aprendizaje automático.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de uso compartido excesivo de archivos notificado. El motivo del evento se muestra junto con detalles como el vínculo Content Collaboration compartido, la hora en que se compartió el archivo y mucho más.

Para ver el indicador Riesgo excesivo de uso compartido de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección WHAT Happened, puede ver un resumen del evento de uso compartido excesivo de archivos. Puede ver el número de enlaces compartidos enviados a los destinatarios y cuándo se compartió.

  

• En la sección DETALLES DEL EVENTO: ARCHIVOS COMPARTIDOS EXCESIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo compartido. Hora en que se compartió el archivo.

  • ID de recurso compartido. El enlace de Content Collaboration utilizado para compartir el archivo.

  • Operaciones. Operación realizada por el usuario mediante Content Collaboration.

  • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

  • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se compartió el archivo.

    

• En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el número total de archivos compartidos por el usuario durante la ocurrencia del evento.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

• Cuando el usuario está inhabilitado, no puede iniciar sesión en Content Collaboration. En la página de inicio de sesión, ven una notificación en la que se les pide que se pónganse en contacto con el administrador de cuentas de Content Collaboration para obtener más información

• Cuando se inhabilita un enlace para compartir, ningún usuario ni destinatario puede acceder al enlace para compartir. Si el usuario intenta acceder de nuevo al enlace para compartir, la página muestra un mensaje al destinatario que indica que el enlace ya no está disponible.

• Independientemente de la fuente de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Subidas excesivas de archivos

Citrix Analytics detecta amenazas a los datos en función de una actividad excesiva de carga de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de subidas excesivas de archivos le ayuda a identificar una actividad de subida de archivos inusual. Cada usuario tiene un patrón de carga de archivos que sigue, que incluye atributos tales como:

• Hora en que se cargaron los archivos

• Tipo de archivos que se han subido

• volumen de carga de archivos

• Origen de carga de archivos

Cualquier desviación del patrón habitual de un usuario desencadena el indicador de riesgo de subidas excesivas de archivos.

El factor de riesgo asociado con el indicador de riesgo de subidas excesivas de archivos es Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de cargas excesivas de archivos?

Las cargas excesivas de archivos se pueden clasificar como riesgosas porque indican que un usuario comprometido o una amenaza de información privilegiada podría estar intentando cargar contenido malicioso o cifrado. Si subir una gran cantidad de datos no es coherente con el comportamiento normal del usuario, puede considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos cargados supera el comportamiento normal de carga del usuario en función de algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento excesivo de carga, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de subidas excesivas de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de cargas excesivas de archivos?

Considere el usuario Lemuel, que ha subido una gran cantidad de datos en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de carga basado en algoritmos de aprendizaje automático.

En el cronograma del usuario, puede seleccionar el indicador de riesgo de subidas excesivas de archivos denunciadas. El motivo de la alerta se muestra junto con detalles del evento, como el nombre del archivo, la hora de carga, el nombre de la herramienta y el origen.

Para ver el indicador de riesgo de subidas excesivas de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección QUÉ OCURRIÓ, puede ver un resumen del evento de subidas excesivas de archivos. Puede ver la cantidad de datos cargados por el usuario y la hora en que se produjo el evento.

• En la sección DETALLES DEL EVENTO: CARGA EXCESIVA DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo cargado. Hora en que se subió el archivo.

  • Nombre del archivo. Nombre y extensión del archivo cargado.

  • Nombre de la herramienta. Herramienta o aplicación con la que se ha cargado el archivo.

  • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se cargó el archivo.

  

• En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de los archivos cargados por el usuario durante la ocurrencia del evento.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Descargas excesivas de archivos

Citrix Analytics detecta amenazas a los datos en función de una actividad excesiva de descargas de archivos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de descargas excesivas de archivos ayuda a identificar actividades de descarga de archivos inusuales. Cada usuario tiene un patrón de descarga de archivos que sigue, que incluye atributos tales como:

• Hora en que se descargaron los archivos.

• Tipo de archivos descargados.

• Volumen de descarga de archivos, etc.

Cualquier desviación del patrón habitual de un usuario desencadena el indicador de riesgo de descarga excesiva de archivos.

El factor de riesgo asociado con el indicador de riesgo de descargas excesivas de archivos son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de descargas excesivas de archivos?

Las descargas excesivas de archivos se pueden clasificar como riesgosas porque indica que un usuario comprometido o un usuario con información privilegiada podría estar tratando de exfiltrar datos. Si descargar una gran cantidad de datos no es coherente con el comportamiento normal del usuario, podría considerarse sospechoso en un sentido más general. Esta alerta se activa cuando el volumen de datos descargados supera el comportamiento normal de descarga del usuario en función de algoritmos de aprendizaje automático.

Cuando Citrix Analytics detecta un comportamiento de descarga excesivo, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de descargas excesivas de archivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de descargas excesivas de archivos?

Considere el usuario Lemuel, que ha descargado una gran cantidad de datos a su sistema local en un lapso de una hora. Con esta acción, Lemuel superó su comportamiento normal de descarga basado en algoritmos de aprendizaje automático.

En la cronología del usuario, puede seleccionar el indicador de riesgo de descarga excesiva de archivos que se ha informado. Se muestra el motivo de la alerta de descarga excesiva de archivos junto con detalles del evento, como el nombre del archivo, el tamaño del archivo y el tiempo de descarga.

Para ver el indicador de riesgo de descarga excesiva de archivos, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección WHAT Happened, puede ver un resumen del evento de descargas excesivas de archivos. Puede ver la cantidad de datos descargados por el usuario y la hora en que se produjo el evento.

• En la sección DETALLES DEL EVENTO: DESCARGAS EXCESIVAS DE ARCHIVOS, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo descargado. Hora en que se descargó el archivo.

  • Nombre del archivo. Nombre y extensión del archivo descargado.

  • Fuente. Repositorio (Citrix Files, OneDrive, etc.) desde el que se descargó el archivo.

  • Tamaño del archivo. Tamaño del archivo descargado.

    

• En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, puede ver el tamaño total de descarga de los archivos descargados por el usuario durante el evento.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Eliminación excesiva de archivos o carpetas

Citrix Analytics detecta amenazas de datos basadas en una actividad excesiva de eliminación de archivos o carpetas y activa el indicador de riesgo correspondiente.

El indicador de riesgo de eliminación excesiva de archivos o carpetas se activa cuando el comportamiento de un usuario con respecto a la eliminación de archivos de carpetas es excesivo. Esta anomalía podría indicar un problema con la cuenta del usuario, como un ataque a su cuenta.

El factor de riesgo asociado con el indicador de riesgo de eliminación excesiva de archivos o carpetas son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Se le puede notificar cuando un usuario de su organización ha eliminado un número excesivo de archivos o carpetas en un período de tiempo determinado. Esta alerta se activa cuando un usuario elimina un número excesivo de archivos o carpetas fuera de su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo para el usuario respectivo. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de eliminación excesiva de archivos o carpetas?

Considere el usuario Lemuel, que eliminó muchos archivos o carpetas en el transcurso de un día. Con esta acción, Lemuel superó su comportamiento normal de eliminación basado en algoritmos de aprendizaje automático.

En la cronología de Lemuel Kildow, puede seleccionar el indicador de riesgo de eliminación excesiva de archivos o carpetas que se ha informado. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como el tipo de eliminación (archivo o carpeta), la hora en que se eliminó, etc.

Para ver el indicador Riesgo excesivo de eliminación de archivos o carpetas, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección QUÉ OCURRIÓ, puede ver un resumen del evento Eliminación excesiva de archivos o carpetas. Puede ver el número de archivos y carpetas que se han eliminado y la hora en que se ha producido el evento.

  

• En la sección DETALLES DEL EVENTO: ELEMENTOS ELIMINADOS EXCESIVAMENTE, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo eliminado. Hora en que se eliminó el archivo o la carpeta.

  • Tipo. Tipo de elemento que se ha eliminado: archivo o carpeta.

  • Nombre. Nombre del archivo o carpeta que se ha eliminado.

  • Fuente. Repositorio (Citrix Files, OneDrive, etc.) en el que se eliminó el archivo.

    

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Trayecto imposible

Citrix Analytics detecta los inicios de sesión de un usuario como arriesgados cuando los inicios de sesión consecutivos proceden de dos países diferentes dentro de un período de tiempo inferior al tiempo de trayecto esperado entre los países.

El caso de tiempo de trayecto imposible indica estos riesgos:

• Credenciales en riesgo: Un atacante remoto roba las credenciales de un usuario legítimo.
• Credenciales compartidas: Diferentes usuarios utilizan las mismas credenciales de usuario.

¿Cuándo se activa el indicador de riesgo de trayecto imposible?

El indicador de riesgo de trayecto imposible evalúa el tiempo y la distancia estimada entre cada par de inicios de sesión de usuario consecutivos y se activa cuando la distancia es mayor de lo que una persona individual puede recorrer en ese período de tiempo.

Nota

Este indicador de riesgo también contiene una lógica para reducir las alertas de falsos positivos en las siguientes situaciones que no reflejan las ubicaciones reales de los usuarios:

• Cuando los usuarios inician sesión en Content Collaboration desde conexiones proxy.
• Cuando los usuarios inician sesión en Content Collaboration desde clientes alojados.

Cómo analizar el indicador de riesgo imposible

Pongamos como ejemplo al usuario Adam Maxwell, que inicia sesión desde dos ubicaciones, Bangalore (India) y Oslo (Noruega) en un minuto. Citrix Analytics detecta este evento de inicio de sesión como un caso de trayecto imposible y activa el indicador de riesgo de trayecto imposible. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver el cronograma de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.

En la cronología de riesgo de Adam Maxwell, seleccione el indicador de riesgo de trayecto imposible. Puede ver la siguiente información:

• La sección QUÉ HA OCURRIDO ofrece un breve resumen del evento de trayecto imposible.

  

• La sección DETALLES DEL INDICADOR proporciona las ubicaciones desde las que el usuario ha iniciado sesión, el tiempo transcurrido entre los inicios de sesión consecutivos y la distancia entre las dos ubicaciones.

  

• La sección UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las ubicaciones de trayecto imposible y las ubicaciones conocidas del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.

  

• La sección TRAYECTO IMPOSIBLE: DETALLES DEL EVENTO proporciona la siguiente información sobre el evento de trayecto imposible:

  • Fecha: Indica la fecha y la hora de los inicios de sesión.
  • IP del cliente: indica la dirección IP del dispositivo del usuario.
  • Ubicación: indica la ubicación desde la que el usuario ha iniciado sesión.
  • SO del dispositivo: indica el sistema operativo del dispositivo del usuario.

  

¿Qué acciones puede aplicar a los usuarios?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.
• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los administradores seleccionados.
• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario inhabilitando su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.
• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.
• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, vaya al perfil del usuario y seleccione el indicador de riesgo correspondiente. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Archivos de malware detectados

Citrix Analytics detecta las amenazas de datos en función de los archivos infectados cargados en Content Collaboration y desencadena el indicador de riesgo.

El indicador proporciona visibilidad de los detalles del archivo malicioso, como el propietario del archivo, el nombre del virus y la ubicación del archivo. Puede analizar la naturaleza de la amenaza y el comportamiento del usuario y, en consecuencia, tomar medidas oportunas para evitar cualquier exfiltración de datos o ataques de ransomware en su organización.

El factor de riesgo asociado con el indicador de riesgo de archivos de malware detectados es el indicador de riesgo basado en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de archivos de malware detectados?

El indicador de riesgo de archivos de malware detectados se activa cuando un usuario de Content Collaboration carga un archivo que está infectado con un malware como un troyano, un virus o cualquier otra amenaza maliciosa.

Cuando Content Collaboration detecta un archivo malicioso, envía el evento a Citrix Analytics for Security. Este evento desencadena el indicador de riesgo y aumenta la puntuación de riesgo del usuario en Citrix Analytics for Security. El indicador de riesgo de archivos de malware detectados se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de archivos de malware detectados?

Considere que el usuario Kevin Smith carga un archivo infectado en su cuenta de Content Collaboration. Citrix Analytics desencadena el indicador de riesgo de archivos de malware detectados y lo muestra en la línea de tiempo de Kevin.

En la línea de tiempo de Kevin, seleccione el indicador de riesgo y el período de tiempo para ver los siguientes detalles:

• La sección QUÉ SUCEDIÓ: Resumen de los eventos del usuario y el momento de la detección.

  

• La sección DETALLES DEL INDICADOR: Detalles del archivo infectado, como el nombre del virus, el valor de hash del archivo y la ruta del archivo infectado en la cuenta de Content Collaboration del usuario.

  

• La sección RIESGOS RELACIONADOS: Información adicional sobre el archivo de malware:

  • Número de usuarios únicos en los que el archivo infectado tiene el mismo valor hash de archivo. Haga clic en el número de usuarios para ver sus detalles.

  • Incidencias totales del indicador de riesgo asociado a sus usuarios. Haga clic en el número de ocurrencias para ver los detalles.

  

• La sección CONTENIDO DE MALWARE CARGADO: DETALLES DEL EVENTO: Detalles de los eventos que desencadenaron el indicador de riesgo.

  • Fecha y hora: indica la fecha y la hora del evento.

  • Nombre del archivo: indica el nombre del archivo infectado.

  • Nombre del virus: indica el nombre del virus que infectó el archivo.

  • Carpeta: indica el nombre de la carpeta en la que se almacena el archivo en la cuenta de Content Collaboration del usuario.

  • Hash del archivo: indica el valor hash del archivo infectado.

  Haga clic en el enlace Búsqueda de eventos para ver todos los eventos relacionados con este indicador de riesgo para el usuario Kevin Smith.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Elimina el permiso de acceso a carpetas. Puede bloquear el permiso de acceso del usuario que carga el archivo infectado. El usuario no puede acceder a la carpeta en la que se cargó el archivo infectado.

• Elimina el permiso de carga en la carpeta. Puede bloquear el permiso de carga del usuario que carga el archivo infectado. El usuario no puede cargar un archivo en la carpeta en la que se cargó el archivo infectado.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Actividad de ransomware sospechosa

Citrix Analytics detecta amenazas de datos basadas en una actividad de ransomware y activa el indicador de riesgo correspondiente.

El ransomware es un malware que impide que los usuarios accedan a sus archivos mediante la sustitución o actualización de los archivos con una versión cifrada. Al identificar los ataques de ransomware a través de archivos compartidos por los usuarios de una organización, puede asegurarse de que la productividad no se consulte afectada.

El factor de riesgo asociado con el indicador de riesgo sospechoso de actividad de Ransomware son los indicadores de riesgo basados en archivos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de ransomware?

Se le notifica cuando un usuario de su cuenta intenta eliminar y reemplaza un número excesivo de archivos con nombres similares y extensiones diferentes. También se le notifica cuando un usuario actualiza un número excesivo de archivos con nombres similares y extensiones diferentes. Esta actividad indica que la cuenta del usuario se ha visto comprometida y que se ha producido un posible ataque de ransomware. Cuando Citrix Analytics detecta este comportamiento, aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo sospechoso de actividad de ransomware se agrega al cronograma de riesgo del usuario.

El indicador de actividad sospechosa de ransomware puede ser de dos tipos. Se trata de:

• Se sospecha de actividad de ransomware (Archivos reemplazados) indica un intento de eliminar los archivos existentes y reemplazarlos por una nueva versión de los archivos que se asemeja a un ataque de ransomware. Los patrones de ataque pueden dar lugar a más número de cargas que el número de archivos eliminados. Por ejemplo, se puede cargar una nota de rescate junto con los otros archivos.

• Se sospecha de actividad de ransomware (Archivos actualizados) indica un intento de actualizar los archivos existentes con una versión modificada de los archivos que se asemeja a un ataque de ransomware.

¿Cómo analizar el indicador de riesgo de ransomware?

Pensemos en el usuario Adam Maxwell, que intenta actualizar muchos archivos con versiones modificadas, en un lapso de 15 minutos. Mediante esta acción, Adam Maxwell ha desencadenado un comportamiento inusual y sospechoso basado en lo que los algoritmos de aprendizaje automático consideran normal para ese usuario específico.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de actividad sospechosa de ransomware (archivos actualizados). El motivo del evento se muestra en la pantalla junto con detalles como el nombre del archivo y la ubicación del archivo.

Para ver el indicador de riesgo sospechoso de actividad de ransomware (Archivos actualizados), vaya a Seguridad > Usuariosy seleccione el usuario. En el cronograma de riesgo del usuario, seleccione el indicador de riesgo sospechoso de actividad de ransomware (archivos actualizados) que se activa para el usuario.

• En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento sospechoso de actividad de Ransomware. Puede ver el número de archivos que se actualizaron de forma sospechosa y la hora en que se produjo el evento.

  

• En la sección DETALLES DEL EVENTO: OPERACIONES DE ARCHIVO, el evento se muestra en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

  • Tiempo. Hora en que se actualizó el archivo.

  • Nombre del archivo. Nombre del archivo.

  • Ruta. Ruta de acceso en la que se encuentre el archivo.

    

Del mismo modo, puede seleccionar el indicador de riesgo de actividad de ransomware sospechosa (archivos reemplazados). Puede ver los detalles de este evento, como:

• La razón por la que se activa el indicador de riesgo.

• Número de archivos que se han eliminado y reemplazado por una nueva versión.

  

• Hora en que se produjo el evento (archivos que se están reemplazando).

• El nombre de los archivos.

• Ubicación de los archivos.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Inicio de sesión sospechoso

Notas

• Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual.

• Todas las directivas basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al indicador de riesgo de inicio de sesión sospechoso.

Citrix Analytics detecta los inicios de sesión del usuario que parecen inusuales o con riesgos en función de varios factores contextuales, definidos conjuntamente por el dispositivo, la ubicación y la red que utiliza el usuario.

¿Cuándo se activa el indicador de riesgo de inicio de sesión sospechoso?

El indicador de riesgo se activa mediante la combinación de los siguientes factores, en los que cada factor se considera potencialmente sospechoso en función de una o más condiciones.

Factor	Condiciones
Dispositivo inusual	El usuario inicia sesión desde un dispositivo con una firma diferente a la de los dispositivos utilizados en los últimos 30 días. La firma del dispositivo se basa en el sistema operativo del dispositivo y en la herramienta cliente (aplicación) utilizada.
Ubicación inusual	Inicie sesión desde una ciudad o un país en el que el usuario no haya iniciado sesión en los últimos 30 días.
	La ciudad o el país están geográficamente lejos de las ubicaciones de inicio de sesión recientes (últimos 30 días).
	Ninguno o un mínimo de usuarios han iniciado sesión desde la ciudad o el país en los últimos 30 días.
Red inusual	Inicie sesión desde una dirección IP que el usuario no ha utilizado en los últimos 30 días.
	Inicie sesión desde una subred IP que el usuario no ha utilizado en los últimos 30 días.
	Ningún usuario o mínimo ha iniciado sesión desde la subred IP en los últimos 30 días.
Amenaza IP	La dirección IP se identifica como de alto riesgo por el feed de inteligencia de amenazas de la comunidad: Webroot.
	Citrix Analytics ha detectado recientemente actividades de inicio de sesión muy sospechosas desde la dirección IP de otros usuarios.

Cómo analizar el indicador de riesgo de inicio de sesión sospechoso

Piense en el usuario Adam Maxwell, que inicia sesión desde North Charleston, Estados Unidos por primera vez. Utiliza un dispositivo con una firma desconocida para acceder al servicio Content Collaboration. Además, se conecta desde una red, que no ha utilizado en los últimos 30 días.

Citrix Analytics detecta este evento de inicio de sesión como sospechoso porque los factores: ubicación, dispositivo y red se desvían de su comportamiento habitual y desencadena el indicador de riesgo de inicio de sesión sospechoso. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver el tiempo de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.

En la línea de tiempo de riesgo de Adam Maxwell, seleccione el indicador de riesgo de inicio de sesión sospechoso. Puede ver la siguiente información:

• La sección QUÉ SUCEDIÓ proporciona un breve resumen de las actividades sospechosas que incluyen los factores de riesgo y el momento del evento.

  

• La sección DETALLES DE INICIO DE SESIÓN proporciona un resumen detallado de las actividades sospechosas correspondientes a cada factor de riesgo. A cada factor de riesgo se le asigna una puntuación que indica el nivel de sospecha. Un factor de riesgo único no indica un riesgo elevado por parte de un usuario. El riesgo global se basa en la correlación de los múltiples factores de riesgo.

  Nivel de sospecha	Indicación
  0–69	El factor parece normal y no se considera sospechoso.
  70–89	El factor parece un poco inusual y se considera moderadamente sospechoso con otros factores.
  90–100	El factor es totalmente nuevo o inusual y se considera altamente sospechoso con otros factores.

  

• La UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las últimas ubicaciones conocidas y la ubicación actual del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.

  

• La sección DETALLES DEL EVENTO DE INICIO DE SESIÓN SOSPECHOSO proporciona la siguiente información sobre el evento de inicio de sesión sospechoso:

  • Hora: indica la fecha y la hora del inicio de sesión sospechoso.

  • SO del dispositivo: indica el sistema operativo del dispositivo del usuario.

  • Nombre de la herramienta: la aplicación utilizada para iniciar sesión en Content Collaboration.

  

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Fallas de autenticación inusuales

Citrix Analytics detecta amenazas de acceso en función de las actividades de autenticación procedentes de direcciones IP inusuales.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario realiza intentos de inicio de sesión fallidos desde una dirección IP que se considera inusual según el patrón de acceso histórico del usuario. Al identificar a los usuarios con errores de autenticación inusuales, según el comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

El factor de riesgo asociado con el indicador de riesgo de fallos de autenticación inusuales son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de errores de autenticación inusuales?

Se le notifica cuando un usuario de la organización tiene varios intentos fallidos de inicio de sesión que son contrarios a su comportamiento habitual.

El indicador de riesgo de errores de autenticación inusuales se activa cuando un usuario intenta iniciar sesión repetidamente en el servicio Content Collaboration. Cuando se detecta este comportamiento, Citrix Analytics aumenta la puntuación de riesgo del usuario respectivo. El indicador de riesgo de fallos de autenticación inusuales se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autenticación inusuales?

Piense en la usuaria Maria Brown, que intentó iniciar sesión varias veces en Content Collaboration. Con esta acción, Maria Brown activó el algoritmo de aprendizaje automático que detectó un comportamiento inusual. En el cronograma de Maria, puede seleccionar el indicador de riesgo de errores de autenticación inusuales notificados. El motivo del evento y los detalles del evento se muestran en la pantalla.

Para ver el indicador Riesgo de errores de autenticación inusuales, vaya a Seguridad > Usuariosy seleccione el usuario.

• En la sección QUÉ OCURRIÓ, puede ver un resumen del evento de errores de autenticación inusuales. Puede ver el número de inicios de sesión fallidos que se produjeron durante un período de tiempo específico.

  

• En la sección ACCIÓN RECOMENDADA, encontrará las acciones sugeridas que se pueden aplicar en el indicador de riesgo. Citrix Analytics for Security recomienda las acciones en función de la gravedad del riesgo que presente el usuario. La recomendación puede ser una o una combinación de las siguientes acciones:

  • Notificar a los administradores

  • Agregar a la lista de seguimiento

  • Crear una directiva

  Puede seleccionar una acción en función de la recomendación. O puede seleccionar una acción que quiera aplicar en función de su elección en el menú Acciones. Para obtener más información, consulte Aplicar una acción manualmente.

  

• En la sección FALLO DE AUTENTICACIÓN INUSUAL: DETALLES DEL EVENTO, puede ver la cronología de los eventos y sus detalles. La tabla proporciona la siguiente información clave:

  • Hora del evento. Hora de cada intento de inicio de sesión.

  • IP del cliente. Dirección IP de la red del usuario.

  • Localización. Ubicación del dispositivo del usuario.

  • Nombre de la herramienta. Herramienta o aplicación utilizada para compartir los archivos.

  • SO. El sistema operativo del dispositivo del usuario.

    

  <! —! [Fallas de autenticación inusuales] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

• En la sección ACTIVIDAD DE AUTENTICACIÓN: 30 DÍAS ANTERIORES, la tabla proporciona la siguiente información sobre los 30 días anteriores de actividad de autenticación del usuario:

  • Subred: dirección IP de la red de usuarios.

  • Éxito: el número total de eventos de autenticación correctos y la hora del evento de éxito más reciente para el usuario.

  • Error: número total de eventos de autenticación fallidos y la hora del último evento fallido del usuario.

  • Ubicación: ubicación desde la que se ha producido el evento de autenticación.

    

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

• Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

• Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

• Inhabilitar usuario. Citrix Analytics le permite restringir o revocar el acceso del usuario al inhabilitar su cuenta de Content Collaboration. Puede aplicar esta acción a su usuario empleado y usuario cliente.

• Caducan todos los enlaces. Citrix Analytics le permite hacer caducar todos los vínculos compartidos activos del usuario. Cuando los enlaces compartidos caducan, los enlaces dejan de ser válidos y los demás usuarios con los que se comparten los enlaces no pueden acceder a ellos.

• Cambia el enlace a uso compartido de solo lectura. Citrix Analytics le permite cambiar los vínculos compartidos activos del usuario al modo de solo lectura. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información, consulte Uso compartido de solo lectura.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.