Indicadores de riesgo de Citrix Endpoint Management

Dispositivo no administrado detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de los dispositivos no administrados y activa el indicador de riesgo correspondiente.

El indicador de riesgo detectado de dispositivo no administrado se activa cuando un dispositivo:

  • Borrado remotamente debido a una acción automatizada.

  • Borrado manualmente por el administrador.

  • Anulado de inscripción por el usuario.

¿Cuándo se activa el indicador de riesgo detectado del dispositivo no administrado?

El indicador de riesgo detectado de dispositivo no administrado se informa cuando el dispositivo de un usuario se ha quedado sin administrar. Un dispositivo cambia a un estado no administrado debido a:

  • Acción realizada por el usuario.

  • Acción realizada por el administrador de Endpoint Management o el servidor.

En su organización, mediante el servicio Endpoint Management puede administrar los dispositivos y aplicaciones que acceden a la red. Para obtener más información, consulte Modos de administración.

Cuando el dispositivo de un usuario cambia a un estado no administrado, el servicio Endpoint Management detecta este evento y lo informa a Citrix Analytics. La puntuación de riesgo del usuario se actualiza y verá una notificación en el panel Alertas. A continuación, el indicador de riesgo detectado del dispositivo no administrado se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo detectado del dispositivo no administrado?

Considere al usuario Georgina Kalou, cuyo dispositivo es borrado remotamente por una acción automatizada en el servidor. Endpoint Management notifica este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo detectado del dispositivo no administrado notificado. El motivo del evento se muestra junto con detalles como, hora en que se activó el indicador de riesgo, descripción del evento, etc.

Para ver el indicador de riesgo detectado de dispositivo no administrado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo no administrado detectado

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento. Puede ver el número de dispositivos no administrados detectados y la hora en que se produjeron los eventos.

El dispositivo no administrado detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Hora en que se detectó el evento.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. El ID del dispositivo móvil.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento detectado del dispositivo no administrado

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Dispositivo liberado por jailbreak o root detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de dispositivo liberado por jailbreak o root y activa el indicador de riesgo correspondiente.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un usuario emplea un dispositivo liberado por jailbreak o root para conectarse a la red. Secure Hub detecta el dispositivo e informa del incidente al servicio Endpoint Management. La alerta garantiza que solo los usuarios y dispositivos autorizados estén en la red de su organización.

¿Cuándo se activa el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Es importante que los responsables de seguridad puedan garantizar que los usuarios se conecten utilizando dispositivos compatibles con la red. El indicador de riesgo Dispositivo liberado por jailbreak o root detectado le avisa de los usuarios con dispositivos iOS liberados por jailbreak o dispositivos Android liberados por root.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un dispositivo inscrito se libera por jailbreak o root. Secure Hub detecta el evento en el dispositivo y lo informa al servicio Endpoint Management.

¿Cómo analizar el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Considere al usuario Georgina Kalou, cuyo dispositivo iOS inscrito recientemente se liberó por jailbreak. Citrix Analytics detecta este comportamiento sospechoso y se asigna una puntuación de riesgo a Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo Dispositivo liberado por jailbreak o root detectado. El motivo del evento se muestra junto con detalles como la hora en que se activó el indicador de riesgo, la descripción del evento, etc.

Para ver el indicador de riesgo Dispositivo liberado por jailbreak o root detectado de un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo liberado por jailbreak o root detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos liberados por jailbreak o root que se han detectado y la hora en que ocurrieron los eventos.

Qué ha ocurrido en dispositivo liberado por jailbreak o root detectado

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. La hora en que se detecta el dispositivo liberado por jailbreak o root.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento de dispositivo liberado por jailbreak o root detectado

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha situada en la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Dispositivo con aplicaciones en la lista negra detectado

Citrix Analytics detecta las amenazas de acceso en función de la actividad en un dispositivo con aplicaciones en la lista negra y activa el indicador de riesgo correspondiente.

El indicador de riesgo de dispositivo con aplicaciones en lista negra detectadas se activa cuando el servicio Endpoint Management detecta una aplicación en lista negra durante el inventario de software. La alerta garantiza que solo se ejecutan aplicaciones autorizadas en dispositivos que se encuentran en la red de su organización.

¿Cuándo se activa el indicador de riesgo del dispositivo con aplicaciones en la lista negra?

El indicador de riesgo de dispositivo con aplicaciones en la lista negra detectadas se informa cuando se detectan aplicaciones en la lista negra en el dispositivo de un usuario. Cuando el servicio Endpoint Management detecta una o más aplicaciones incluidas en la lista negra en un dispositivo durante el inventario de software, se envía un evento a Citrix Analytics.

Citrix Analytics supervisa estos eventos, actualiza la puntuación de riesgo del usuario y crea una notificación en el panel Alertas. Además, agrega una entrada de indicador de riesgo Dispositivo con aplicaciones en la lista negra detectadas a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Dispositivo con aplicaciones en la lista negra detectadas?

Considere al usuario Andrew Jackson, que usó un dispositivo que tenía aplicaciones en la lista negra instaladas recientemente. Endpoint Management notifica esta condición a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Andrew Jackson.

En la línea de tiempo de riesgo de Andrew Jackson, puede seleccionar el dispositivo notificado con el indicador de riesgo detectado aplicaciones en la lista negra. El motivo del evento se muestra junto con detalles como la lista de aplicaciones en la lista negra, la hora en que Endpoint Management detectó la aplicación en la lista negra, etc.

Para ver el indicador de riesgo de dispositivo con aplicaciones en la lista negra detectadas para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo con aplicaciones en la lista negra detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos con aplicaciones en la lista negra detectadas por el servicio Endpoint Management y la hora en que se produjeron los eventos.

El dispositivo con aplicaciones en la lista negra detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: ACCESO DE DISPOSITIVOS DE APLICACIÓN EN LISTA NEGRA, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Cuando la presencia de aplicaciones en la lista negra reportada por Endpoint Management.

    • Aplicaciones en la lista negra. Las aplicaciones en la lista negra del dispositivo.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles de eventos detectados en el dispositivo con aplicaciones en la lista negra

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha situada en la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.