Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Endpoint Management

Dispositivo no administrado detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de los dispositivos no administrados y activa el indicador de riesgo correspondiente.

El indicador de riesgo detectado de dispositivo no administrado se activa cuando un dispositivo:

  • Borrado remotamente debido a una acción automatizada.

  • Borrado manualmente por el administrador.

  • Anulado de inscripción por el usuario.

¿Cuándo se activa el indicador de riesgo detectado del dispositivo no administrado?

El indicador de riesgo detectado del dispositivo no administrado se informa cuando el dispositivo de un usuario no se ha administrado. Un dispositivo cambia a un estado no administrado debido a:

  • Acción realizada por el usuario.

  • Acción realizada por el administrador de Endpoint Management o el servidor.

En su organización, mediante el servicio Endpoint Management puede administrar los dispositivos y aplicaciones que acceden a la red. Para obtener más información, consulte Modos de administración.

Cuando el dispositivo de un usuario cambia a un estado no administrado, el servicio Endpoint Management detecta este evento y lo informa a Citrix Analytics. La puntuación de riesgo del usuario se ha actualizado. El indicador de riesgo detectado de dispositivos no administrados se añade a la cronología de riesgos del usuario.

¿Cómo analizar el indicador de riesgo detectado del dispositivo no administrado?

Considere al usuario Georgina Kalou, cuyo dispositivo es borrado remotamente por una acción automatizada en el servidor. Endpoint Management notifica este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou.

En la cronología de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo detectado de dispositivos no administrados notificado. El motivo del evento se muestra junto con detalles como, hora en que se activó el indicador de riesgo, descripción del evento, etc.

Para ver el indicador de riesgo detectado de dispositivo no administrado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo no administrado detectado

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento. Puede ver el número de dispositivos no administrados detectados y la hora en que se produjeron los eventos.

El dispositivo no administrado detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Hora en que se detectó el evento.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. El ID del dispositivo móvil.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento detectado del dispositivo no administrado

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Dispositivo de bloqueo. Cuando haya actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario esté bloqueado. Sin embargo, los usuarios pueden deslizar el dedo por la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Dispositivo liberado por jailbreak o root detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de dispositivo liberado por jailbreak o root y activa el indicador de riesgo correspondiente.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un usuario emplea un dispositivo liberado por jailbreak o root para conectarse a la red. Secure Hub detecta el dispositivo e informa del incidente al servicio Endpoint Management. La alerta garantiza que solo los usuarios y dispositivos autorizados estén en la red de su organización.

¿Cuándo se activa el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Es importante que los responsables de seguridad puedan garantizar que los usuarios se conecten mediante dispositivos compatibles con la red. El indicador de riesgo Dispositivo liberado por jailbreak o root detectado le avisa de los usuarios con dispositivos iOS liberados por jailbreak o dispositivos Android liberados por root.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un dispositivo inscrito se libera por jailbreak o root. Secure Hub detecta el evento en el dispositivo y lo informa al servicio Endpoint Management.

¿Cómo analizar el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Considere al usuario Georgina Kalou, cuyo dispositivo iOS inscrito recientemente se liberó por jailbreak. Citrix Analytics detecta este comportamiento sospechoso y se asigna una puntuación de riesgo a Georgina Kalou.

En el cronograma de riesgo de Georgina Kalou, puedes seleccionar el indicador de riesgo detectado por dispositivo con raíz o con jailbreak notificado. El motivo del evento se muestra junto con detalles como la hora en que se activó el indicador de riesgo, la descripción del evento, etc.

Para ver el indicador de riesgo Dispositivo liberado por jailbreak o root detectado de un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo liberado por jailbreak o root detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos liberados por jailbreak o root que se han detectado y la hora en que ocurrieron los eventos.

Qué ha ocurrido en dispositivo liberado por jailbreak o root detectado

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. La hora en que se detecta el dispositivo liberado por jailbreak o root.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento de dispositivo liberado por jailbreak o root detectado

Nota

Además de ver los detalles en formato tabular, haz clic en la flecha de la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Dispositivo de bloqueo. Cuando haya actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario esté bloqueado. Sin embargo, los usuarios pueden deslizar el dedo por la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Dispositivo con aplicaciones en la lista de bloqueados detectado

Citrix Analytics detecta las amenazas de acceso en función de la actividad en un dispositivo con aplicaciones en la lista de bloqueados y activa el indicador de riesgo correspondiente.

El indicador de riesgo de dispositivo con aplicaciones en lista de bloqueados detectadas se activa cuando el servicio Endpoint Management detecta una aplicación en lista de bloqueados durante el inventario de software. La alerta garantiza que solo se ejecuten aplicaciones autorizadas en dispositivos que se encuentran en la red de su organización.

¿Cuándo se activa el indicador de riesgo del dispositivo con aplicaciones en la lista de bloqueados?

El indicador de riesgo del dispositivo con aplicaciones en la lista negra detectadas se informa cuando se detectan aplicaciones incluidas en la lista negra en el dispositivo de un usuario. Cuando el servicio Endpoint Management detecta una o más aplicaciones incluidas en la lista de bloqueados en un dispositivo durante el inventario de software, se envía un evento a Citrix Analytics.

Citrix Analytics supervisa estos eventos y actualiza la puntuación de riesgo del usuario. Además, agrega un dispositivo con aplicaciones incluidas en la lista negra detectadas en el indicador de riesgo al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Dispositivo con aplicaciones en la lista de bloqueados detectadas?

Considere al usuario Andrew Jackson, que usó un dispositivo que tenía aplicaciones en la lista de bloqueados instaladas recientemente. Endpoint Management notifica esta condición a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Andrew Jackson.

En la cronología de riesgos de Andrew Jackson, puede seleccionar el dispositivo notificado con el indicador de riesgo detectado de aplicaciones en la lista negra . El motivo del evento se muestra junto con detalles como la lista de aplicaciones en la lista de bloqueados, la hora en que Endpoint Management detectó la aplicación en la lista de bloqueados, etc.

Para ver el indicador de riesgo de dispositivo con aplicaciones en la lista de bloqueados detectadas para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo con aplicaciones en la lista de bloqueados detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos con aplicaciones en la lista de bloqueados detectadas por el servicio Endpoint Management y la hora en que se produjeron los eventos.

El dispositivo con aplicaciones en la lista de bloqueados detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: ACCESO DE DISPOSITIVOS DE APLICACIÓN EN LISTA DE BLOQUEADOS, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado: cuando la presencia de aplicaciones incluidas en la lista negra notificada por Endpoint Management.

    • Aplicaciones incluidas en la lista negra: las aplicaciones incluidas en la lista negra del dispositivo.

    • Dispositivo: dispositivo móvil utilizado.

    • ID de dispositivo: información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO: sistema operativo del dispositivo móvil.

    Detalles de eventos detectados en el dispositivo con aplicaciones en la lista de bloqueados

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha de la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Dispositivo de bloqueo. Cuando haya actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario esté bloqueado. Sin embargo, los usuarios pueden deslizar el dedo por la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Endpoint Management