Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Endpoint Management

Dispositivo no administrado detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de los dispositivos no administrados y activa el indicador de riesgo correspondiente.

El indicador de riesgo detectado de dispositivo no administrado se activa cuando un dispositivo:

  • Borrado remotamente debido a una acción automatizada.

  • Borrado manualmente por el administrador.

  • Anulado de inscripción por el usuario.

¿Cuándo se activa el indicador de riesgo detectado del dispositivo no administrado?

El indicador de riesgo detectado de dispositivo no administrado se informa cuando el dispositivo de un usuario se ha quedado sin administrar. Un dispositivo cambia a un estado no administrado debido a:

  • Acción realizada por el usuario.

  • Acción realizada por el administrador de Endpoint Management o el servidor.

En su organización, mediante el servicio Endpoint Management puede administrar los dispositivos y aplicaciones que acceden a la red. Para obtener más información, consulte Modos de administración.

Cuando el dispositivo de un usuario cambia a un estado no administrado, el servicio Endpoint Management detecta este evento y lo informa a Citrix Analytics. Se actualiza la puntuación de riesgo del usuario. El indicador de riesgo detectado por dispositivo no administrado se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo detectado del dispositivo no administrado?

Considere al usuario Georgina Kalou, cuyo dispositivo es borrado remotamente por una acción automatizada en el servidor. Endpoint Management notifica este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo detectado del dispositivo no administrado notificado. El motivo del evento se muestra junto con detalles como, hora en que se activó el indicador de riesgo, descripción del evento, etc.

Para ver el indicador de riesgo detectado de dispositivo no administrado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo no administrado detectado

  • En la sección QUÉ HA OCURRIDO, puede ver un resumen del evento. Puede ver el número de dispositivos no administrados detectados y la hora en que se produjeron los eventos.

El dispositivo no administrado detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Hora en que se detectó el evento.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. El ID del dispositivo móvil.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento detectado del dispositivo no administrado

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Dispositivo liberado por jailbreak o root detectado

Citrix Analytics detecta las amenazas de acceso basadas en la actividad de dispositivo liberado por jailbreak o root y activa el indicador de riesgo correspondiente.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un usuario emplea un dispositivo liberado por jailbreak o root para conectarse a la red. Secure Hub detecta el dispositivo e informa del incidente al servicio Endpoint Management. La alerta garantiza que solo los usuarios y dispositivos autorizados estén en la red de su organización.

¿Cuándo se activa el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Es importante que los responsables de seguridad puedan garantizar que los usuarios se conecten mediante dispositivos compatibles con la red. El indicador de riesgo Dispositivo liberado por jailbreak o root detectado le avisa de los usuarios con dispositivos iOS liberados por jailbreak o dispositivos Android liberados por root.

El indicador de riesgo Dispositivo liberado por jailbreak o root se activa cuando un dispositivo inscrito se libera por jailbreak o root. Secure Hub detecta el evento en el dispositivo y lo informa al servicio Endpoint Management.

¿Cómo analizar el indicador de riesgo Dispositivo liberado por jailbreak o root detectado?

Considere al usuario Georgina Kalou, cuyo dispositivo iOS inscrito recientemente se liberó por jailbreak. Citrix Analytics detecta este comportamiento sospechoso y se asigna una puntuación de riesgo a Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo Dispositivo liberado por jailbreak o root detectado. El motivo del evento se muestra junto con detalles como la hora en que se activó el indicador de riesgo, la descripción del evento, etc.

Para ver el indicador de riesgo Dispositivo liberado por jailbreak o root detectado de un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo liberado por jailbreak o root detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos liberados por jailbreak o root que se han detectado y la hora en que ocurrieron los eventos.

Qué ha ocurrido en dispositivo liberado por jailbreak o root detectado

  • La sección DETALLES DEL EVENTO: DISPOSITIVO DETECTADO, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. La hora en que se detecta el dispositivo liberado por jailbreak o root.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles del evento de dispositivo liberado por jailbreak o root detectado

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha situada en la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Dispositivo con aplicaciones en la lista de bloqueados detectado

Citrix Analytics detecta las amenazas de acceso en función de la actividad en un dispositivo con aplicaciones en la lista de bloqueados y activa el indicador de riesgo correspondiente.

El indicador de riesgo de dispositivo con aplicaciones en lista de bloqueados detectadas se activa cuando el servicio Endpoint Management detecta una aplicación en lista de bloqueados durante el inventario de software. La alerta garantiza que solo se ejecutan aplicaciones autorizadas en dispositivos que se encuentran en la red de su organización.

¿Cuándo se activa el indicador de riesgo del dispositivo con aplicaciones en la lista de bloqueados?

El indicador de riesgo de dispositivo con aplicaciones en la lista de bloqueados detectadas se informa cuando se detectan aplicaciones en la lista de bloqueados en el dispositivo de un usuario. Cuando el servicio Endpoint Management detecta una o más aplicaciones incluidas en la lista de bloqueados en un dispositivo durante el inventario de software, se envía un evento a Citrix Analytics.

Citrix Analytics supervisa estos eventos y actualiza la puntuación de riesgo del usuario. Además, agrega una entrada de indicador de riesgo Dispositivo con aplicaciones en la lista de bloqueados detectadas a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo Dispositivo con aplicaciones en la lista de bloqueados detectadas?

Considere al usuario Andrew Jackson, que usó un dispositivo que tenía aplicaciones en la lista de bloqueados instaladas recientemente. Endpoint Management notifica esta condición a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Andrew Jackson.

En la línea de tiempo de riesgo de Andrew Jackson, puede seleccionar el dispositivo notificado con el indicador de riesgo detectado aplicaciones en la lista de bloqueados. El motivo del evento se muestra junto con detalles como la lista de aplicaciones en la lista de bloqueados, la hora en que Endpoint Management detectó la aplicación en la lista de bloqueados, etc.

Para ver el indicador de riesgo de dispositivo con aplicaciones en la lista de bloqueados detectadas para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Dispositivo con aplicaciones en la lista de bloqueados detectado

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de dispositivos con aplicaciones en la lista de bloqueados detectadas por el servicio Endpoint Management y la hora en que se produjeron los eventos.

El dispositivo con aplicaciones en la lista de bloqueados detectó lo que sucedió

  • La sección DETALLES DEL EVENTO: ACCESO DE DISPOSITIVOS DE APLICACIÓN EN LISTA DE BLOQUEADOS, los eventos se muestran en formato gráfico y tabular. Los eventos también se muestran como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Tiempo detectado. Cuando la presencia de aplicaciones en la lista de bloqueados reportada por Endpoint Management.

    • Aplicaciones en la lista de bloqueados. Las aplicaciones en la lista de bloqueados del dispositivo.

    • Dispositivo. El dispositivo móvil utilizado.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • SO. El sistema operativo del dispositivo móvil.

    Detalles de eventos detectados en el dispositivo con aplicaciones en la lista de bloqueados

Nota

Además de ver los detalles en formato tabular, puede hacer clic en la flecha situada en la instancia de una alerta para ver más detalles.

¿Qué acciones puede aplicar al usuario?

Puede realizar acciones de seguridad de dispositivos, como revocar o borrar un dispositivo desde Citrix Analytics. Elija la fila que contiene el dispositivo y seleccione una de las opciones siguientes:

  • Revocar el dispositivo. Prohíbe que un dispositivo se conecte a Endpoint Management Server.

  • Borra el dispositivo. Se borran todos los datos de un dispositivo. Para dispositivos Android, también incluye la opción de borrar cualquier tarjeta de memoria.

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Dispositivo de bloqueo. Cuando hay actividad inusual en el dispositivo, puede aplicar la acción Bloquear dispositivo para asegurarse de que el dispositivo del usuario está bloqueado. Sin embargo, los usuarios pueden deslizar el dedo en la pantalla de su dispositivo, introducir el código de acceso y continuar con su trabajo.

  • Notificar al administrador de Endpoint Management. Cuando hay alguna actividad inusual o sospechosa en la cuenta de Endpoint Management del usuario, se notifica al administrador de Endpoint Management.

  • Notificar al usuario. El usuario ve un mensaje del administrador con respecto a su cuenta cuando se aplica la acción Notificar al usuario. La notificación que ve el usuario es el mensaje introducido por el administrador cuando aplica la acción.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Endpoint Management