Citrix Analytics for Security

Indicadores de riesgo de Citrix Endpoint Management

Dispositivo con aplicaciones en la lista de bloqueados detectado

Citrix Analytics detecta las amenazas de acceso en función de la actividad de un dispositivo con aplicaciones incluidas en la lista de bloqueados y activa el indicador de riesgo correspondiente.

El indicador de riesgo de dispositivo con aplicaciones en lista de bloqueados detectadas se activa cuando el servicio Endpoint Management detecta una aplicación en lista de bloqueados durante el inventario de software. La alerta garantiza que solo las aplicaciones autorizadas se ejecuten en los dispositivos que se encuentran en la red de su organización.

El factor de riesgo asociado con el indicador de riesgo detectado del dispositivo con aplicaciones incluidas en la lista de bloqueados es el indicador Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo del dispositivo con aplicaciones en la lista de bloqueados?

El indicador de riesgo detectado del dispositivo con aplicaciones incluidas en la lista de bloqueados se informa cuando se detectan aplicaciones incluidas en la lista de bloqueados en el dispositivo de un usuario. Cuando el servicio Endpoint Management detecta una o más aplicaciones incluidas en la lista de bloqueados en un dispositivo durante el inventario de software, se envía un evento a Citrix Analytics.

Citrix Analytics supervisa estos eventos y actualiza la puntuación de riesgo del usuario. Además, agrega una entrada del indicador de riesgo detectado por un dispositivo con aplicaciones incluidas en la lista de bloqueados a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Dispositivo con aplicaciones en la lista de bloqueados detectadas?

Piense en el usuario Andrew Jackson, que utilizó un dispositivo que tenía aplicaciones en la lista de bloqueados instaladas recientemente. Endpoint Management notifica esta condición a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Andrew Jackson.

En la cronología de riesgo de Andrew Jackson, puede seleccionar el indicador de riesgo detectado Dispositivo con aplicaciones incluidas en la lista de bloqueados . El motivo del evento se muestra junto con detalles como la lista de aplicaciones en la lista de bloqueados, la hora en que Endpoint Management detectó la aplicación en la lista de bloqueados, etc.

Para ver el indicador de riesgo detectado del dispositivo con aplicaciones incluidas en la lista de bloqueados para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Dispositivo con aplicaciones en la lista de bloqueados detectado

  • En la sección QUÉ PASÓ, puede ver el resumen del evento. Puede ver el número de dispositivos con aplicaciones incluidas en la lista de bloqueados detectados por el servicio de Endpoint Management y la hora en que se produjeron los eventos.

    El dispositivo con aplicaciones incluidas en la lista de bloqueados detectó lo que ocurrió

  • En la sección DETALLES DEL EVENTO: ACCESO A DISPOSITIVOS DE APLICACIONES EN LA LISTA DE BLOQUEADOS, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado: cuando Endpoint Management informa de la presencia de aplicaciones incluidas en la lista de bloqueados.

    • Aplicaciones incluidas enla lista de bloqueados: las aplicaciones incluidas en la lista de bloqueados del dispositivo.

    • Dispositivo: el dispositivo móvil utilizado.

    • ID de dispositivo: información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO: el sistema operativo del dispositivo móvil.

      Detalles de eventos detectados en el dispositivo con aplicaciones en la lista de bloqueados

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha situada junto a la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Se ha detectado un dispositivo con jailbreak o rooteado

Citrix Analytics detecta las amenazas de acceso en función de la actividad de los dispositivos liberados por jailbreak o rooteados y activa el indicador de riesgo correspondiente.

El indicador de riesgo de dispositivos con jailbreak o rooteado se activa cuando un usuario utiliza un dispositivo con jailbreak o rooteado para conectarse a la red. Secure Hub detecta el dispositivo e informa del incidente al servicio Endpoint Management. La alerta garantiza que solo los usuarios y dispositivos autorizados estén en la red de su organización.

El factor de riesgo asociado con el indicador de riesgo de Jailbreak o dispositivo rooteado es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Es importante que los responsables de seguridad puedan garantizar que los usuarios se conecten mediante dispositivos compatibles con la red. El indicador de riesgo detectado por Jailbreak o dispositivo rooteado le avisa de los usuarios con dispositivos iOS que tienen jailbreak o dispositivos Android que están rooteados.

El indicador de riesgo de dispositivo con jailbreak o rooteado se activa cuando un dispositivo inscrito se hace jailbreak o rooteado. Secure Hub detecta el evento en el dispositivo y lo informa al servicio Endpoint Management.

¿Cómo analizar el indicador de riesgo detectado por jailbreak o dispositivo rooteado?

Piense en la usuaria Georgina Kalou, cuyo dispositivo iOS inscrito recientemente fue liberado por jailbreak. Citrix Analytics detecta este comportamiento sospechoso y se asigna una puntuación de riesgo a Georgina Kalou.

En la cronología de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo detectado por Jailbreak o dispositivo rooteado reportado. El motivo del evento se muestra junto con detalles como la hora en que se activó el indicador de riesgo, la descripción del evento, etc.

Para ver el indicador de riesgo detectado por Jailbreak o dispositivo rooteado de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Se ha detectado un dispositivo con jailbreak o rooteado

  • En la sección QUÉ PASÓ, puede ver el resumen del evento. Puede ver el número de dispositivos con jailbreak o rooteados detectados y la hora en que se produjeron los eventos.

    Un dispositivo con jailbreak o rooteado detectó lo que sucedió

  • En la sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Hora en que se detecta el dispositivo con jailbreak o rooteado.

    • dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento de dispositivo liberado por jailbreak o root detectado

Nota

Además de ver los detalles en formato tabular, haga clic en la flecha situada junto a la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Dispositivo no administrado detectado

Citrix Analytics detecta las amenazas de acceso en función de la actividad de los dispositivos no administrados y activa el indicador de riesgo correspondiente.

El indicador de riesgo detectado por dispositivo no administrado se activa cuando un dispositivo:

  • Se borró de forma remota gracias a una acción automatizada.

  • Limpiado manualmente por el administrador.

  • El usuario ha anular la inscripción.

El factor de riesgo asociado con el indicador de riesgo detectado por dispositivos no administrados es el Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo detectado del dispositivo no administrado?

El indicador de riesgo detectado por dispositivo no administrado se informa cuando el dispositivo de un usuario se ha quedado sin administrar. Un dispositivo cambia a un estado no administrado debido a:

  • Acción realizada por el usuario.

  • Acción realizada por el administrador de Endpoint Management o el servidor.

En su organización, con el servicio Endpoint Management, puede administrar los dispositivos y las aplicaciones que acceden a la red. Para obtener más información, consulte Modos de administración.

Cuando el dispositivo de un usuario cambia a un estado no administrado, el servicio Endpoint Management detecta este evento y lo informa a Citrix Analytics. Se actualiza la puntuación de riesgo del usuario. El indicador de riesgo detectado por dispositivo no administrado se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo detectado del dispositivo no administrado?

Pensemos en la usuaria Georgina Kalou, cuyo dispositivo se borrado de forma remota mediante una acción automatizada en el servidor. Endpoint Management notifica este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou.

En la cronología de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo detectado por dispositivo no administrado notificado. El motivo del evento se muestra junto con detalles como, hora en que se activó el indicador de riesgo, descripción del evento, etc.

Para ver el indicador de riesgo detectado por dispositivo no administrado de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Dispositivo no administrado detectado

  • En la sección QUÉ PASÓ, puede ver un resumen del evento. Puede ver el número de dispositivos no administrados detectados y la hora en que se produjeron los eventos.

Un dispositivo no administrado detectó lo que ocurrió

  • En la sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Hora en que se detectó el evento.

    • dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. ID de dispositivo del dispositivo móvil.

    • SO. El sistema operativo del dispositivo móvil.

      Detalles del evento detectado por dispositivo no administrado

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Indicadores de riesgo de Citrix Endpoint Management