Citrix Analytics para la seguridad

Indicadores de riesgo Citrix Gateway

Acceso desde una ubicación inusual

Citrix Analytics detecta las amenazas basadas en el acceso basándose en los accesos inusuales en la red y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo de acceso desde una ubicación inusual son los indicadores de riesgo basados en la ubicación. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirás una notificación cuando un usuario de su organización inicia sesión desde una ubicación inusual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Citrix Gateway detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentre anómala lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad en todos los usuarios de la organización. En todos los casos, el historial de ubicaciones de usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Piense en la usuaria Georgina Kalou, que inicia sesión desde el Reino Unido por primera vez. Su ubicación habitual de inicio de sesión es Pekín, China. Citrix Gateway informa de este evento de usuario a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de acceso desde una ubicación inusual se activa y se agrega al cronograma de riesgo de Georgina Kalou.

En el cronograma de riesgos de Georgina Kalou, puede seleccionar el acceso notificado de un indicador de riesgo de ubicación inusual . El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación de inicio de sesión.

Acceso desde una ubicación inusual

  • QUÉ OCURRIÓ: Proporciona un breve resumen que incluye el número de intentos de inicio de sesión, la ubicación inusual y la hora del evento.

    Acceso desde una ubicación inusual

  • Ubicaciones de INICIO DE SESIÓN: muestra una vista de mapa geográfico de las ubicaciones de inicio de sesión habituales e inusuales del usuario. Los datos de localización habituales son de los últimos 30 días. Puede pasar el cursor sobre los punteros del mapa para ver los detalles exactos de cada ubicación.

    Acceso desde una ubicación inusual

  • Ubicación habitual: últimos 30 días: muestra una vista de gráfico circular de las últimas seis ubicaciones de inicio de sesión habituales desde las que el usuario ha iniciado sesión durante los últimos 30 días.

    Acceso desde una ubicación inusual

  • Detalles de eventos de ubicación inusuales: proporciona una visualización cronológica del evento de inicio de sesión inusual que se ha producido para el usuario. Además, en esta tabla se proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    • Fecha y hora : fecha y hora del evento de ubicación de inicio de sesión inusual.

    • IP del cliente : dirección IP del dispositivo cliente.

    • SO del dispositivo : sistema operativo del dispositivo mediante el cual el usuario ha iniciado sesión en una ubicación inusual.

    • Explorador dedispositivos: explorador web con el que el usuario ha iniciado sesión en la aplicación.

      Acceso desde una ubicación inusual

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente de la fuente de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Errores en el análisis de punto final (EPA)

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de la actividad de errores de exploración de la EPA y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo de fallo de la exploración de End Point Analysis es Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de exploración de la EPA?

El indicador de riesgo de error de exploración de la EPA se informa cuando un usuario intenta acceder a la red mediante un dispositivo que ha fallado en las directivas de exploración de End Point Analysis (EPA) de Citrix Gateway para la autenticación previa o posterior a la autenticación.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de exploración EPA. Cuando Citrix Analytics determina errores excesivos en la exploración de la EPA para un usuario, actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de fallo de la exploración de la EPA al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de escaneo EPA?

Piense en el usuario Lemuel, que recientemente intentó acceder a la red varias veces con un dispositivo que no ha superado el análisis EPA de Citrix Gateway. Citrix Gateway informa de este error a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallo del escaneo de la EPA se agrega al cronograma de riesgo de Lemuel Kildow.

Para ver la entrada de error de exploración EPA para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En el cronograma de riesgos de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallos de escaneo de la EPA notificado para el usuario. Cuando selecciona una entrada del indicador de riesgo de fallo de escaneo EPA en la línea de tiempo, aparece un panel de información detallado correspondiente en el panel derecho.

Fallas de escaneo de la EPA

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo de fallo de la exploración de la EPA. Además, incluye el número de errores de exploración de la EPA posteriores al inicio de sesión notificados durante el período seleccionado.

    Fallas en la exploración de la EPA: ¿qué

  • La sección DETALLES DEL EVENTO: FALLOS DE EXPLORACIÓN incluye una visualización de la línea de tiempo de los eventos individuales de error de exploración de la EPA que se produjeron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el error del escaneo de la EPA.

    • IP del cliente. Dirección IP del cliente que provoca el error de exploración de la EPA.

    • IP de puertade enlace. Dirección IP de Citrix Gateway que ha notificado el error del análisis de la EPA.

    • FQDN. El FQDN de Citrix Gateway.

    • Descripción del evento. Breve descripción del motivo del fallo del escaneo de la EPA.

    • Nombre de la directiva. El nombre de la directiva de análisis EPA configurado en Citrix Gateway.

    • Expresión de seguridad. Expresión de seguridad configurada en Citrix Gateway.

      Detalles del suceso de error de escaneo de

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Fallos de autenticación excesivos

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de errores excesivos de autenticación y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo de fallos de autenticación excesivos son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de autenticación excesivos?

El indicador de riesgo de errores de inicio de sesión se informa cuando el usuario encuentre varios errores de autenticación de Citrix Gateway en un período determinado. Los errores de autenticación de Citrix Gateway pueden ser errores de autenticación primaria, secundaria o terciaria, en función de si la autenticación multifactor está configurada para el usuario.

Citrix Gateway detecta todos los errores de autenticación de usuarios e informa de estos sucesos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de autenticación. Cuando Citrix Analytics determina errores de autenticación excesivos, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de fallos de autenticación excesivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autenticación excesiva?

Piense en el usuario Lemuel, que recientemente falló varios intentos de autenticar la red. Citrix Gateway informa de estos errores a Citrix Analytics y se asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallos de autenticación excesivos se agrega al cronograma de riesgo de Lemuel Kildow.

Para ver la entrada del indicador de riesgo de errores de autenticación excesiva de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En el cronograma de riesgos de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de autenticación excesivas notificado para el usuario. Al seleccionar la entrada del indicador de riesgo de fallos de autenticación excesivos en el cronograma de riesgos, aparece el panel de información detallada correspondiente en el panel derecho.

Fallos de autenticación excesivos

  • La sección QUÉ OCURRIÓ proporciona un breve resumen del indicador de riesgo, incluido el número de errores de autenticación que se produjeron durante el período seleccionado.

    Errores de autenticación excesivos: ¿qué

  • La sección DETALLES DEL EVENTO incluye una visualización de la línea de tiempo de los eventos individuales de error de autenticación excesivo que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el error de inicio de sesión.

    • Recuento de errores. Número de errores de autenticación detectados para el usuario en el momento del evento y durante las 48 horas anteriores.

    • Descripción del evento. Breve descripción del motivo del error de inicio de sesión.

      Detalles de sucesos de errores de autenticación excesivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Inicio de sesión desde IP sospechosa

Citrix Analytics detecta las amenazas de acceso de los usuarios en función de la actividad de inicio de sesión desde una IP sospechosa y activa este indicador de riesgo.

El factor de riesgo asociado con el indicador de riesgo de inicio de sesión desde IP sospechosa son los indicadores de riesgo basados en IP. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de IP sospechoso?

El indicador de riesgo de inicio de sesión desde IP sospechosa se activa cuando un usuario intenta acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. La dirección IP se considera sospechosa en función de una de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuarios desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Citrix Analytics supervisa los eventos de inicio de sesión recibidos de Citrix Gateway y detecta si un usuario ha iniciado sesión desde una IP sospechosa. Cuando Citrix Analytics detecta un intento de inicio de sesión desde una IP sospechosa, actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de IP sospechosa al cronograma de riesgo del usuario.

¿Cómo analizar el inicio de sesión desde el indicador de riesgo de IP sospechoso?

Piense en el usuario Lemuel, que intentó acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. Citrix Gateway informa del evento de inicio de sesión a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de inicio de sesión desde IP sospechosa se agrega al cronograma de riesgo de Lemuel Kildow.

Inicio de sesión desde IP sospechosa

Para ver el indicador de riesgo de inicio de sesión desde IP sospechosa informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario. En el cronograma de riesgo de Lemuel Kildow, puede seleccionar el último inicio de sesión a partir del indicador de riesgo de IP sospechoso notificado al usuario. Cuando selecciona la entrada del indicador de riesgo de IP sospechosa de la línea de tiempo, aparecerá un panel de información detallada correspondiente en el panel derecho.

  • La sección WHAT Happened proporciona un breve resumen del indicador de riesgo de inicio de sesión desde IP sospechosa. Además, incluye el número de inicio de sesión desde una dirección IP sospechosa notificada durante el período seleccionado.

    Inicio de sesión desde IP sospechosa

  • La sección IP sospechosa proporciona la siguiente información:

    Sección IP sospechosa

    • IP sospechosa. Dirección IP asociada a una actividad de inicio de sesión sospechosa.

    • Localización. Ciudad, región y país del usuario. Estas ubicaciones se muestran en función de la disponibilidad de los datos.

    • Riesgo potencial a nivel de organización. Indica cualquier patrón de actividad IP sospechosa que Citrix Analytics haya detectado recientemente en su organización. Los patrones de riesgo incluyen fallos excesivos de inicio de sesión coherentes con posibles intentos de fuerza bruta y acceso inusual por parte de varios usuarios.

      Si no se detecta ningún patrón de riesgo para una dirección IP de su organización, verá el siguiente mensaje.

      Sin patrón arriesgado

    • Inteligencia comunitaria. Proporciona la puntuación de amenazas y las categorías de amenazas de una dirección IP que se identifica como de alto riesgo en la fuente de información sobre amenazas IP externas. Citrix Analytics asigna una puntuación de riesgo a la dirección IP de alto riesgo. La puntuación de riesgo comienza a partir de 80.

      Si una dirección IP no tiene información sobre amenazas disponible en la fuente de información sobre amenazas IP externas, aparece el siguiente mensaje.

      Sin información de inteligencia

  • La sección DETALLES DEL EVENTO proporciona la siguiente información sobre la actividad de inicio de sesión sospechosa:

    Inicio de sesión desde IP sospechosa

    • Hora. Hora de la actividad de inicio de sesión sospechosa.

    • IP del cliente. Dirección IP del dispositivo del usuario que se utilizó para la actividad de inicio de sesión sospechosa.

    • Sistema operativo del dispositivo. El sistema operativo del explorador.

    • Explorador de dispositivos. El explorador web utilizado para la actividad de inicio de sesión sospechosa.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Error de autenticación inusual

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene errores de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador Riesgo de autenticación inusual son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de error de autenticación inusual?

Se le puede notificar cuando un usuario de su organización tiene errores de inicio de sesión desde una dirección IP inusual que es contraria a su comportamiento habitual.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo de error de autenticación inusual se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de falla de autenticación inusual?

Piense en la usuaria Georgina Kalou, que inicia sesión habitualmente en Citrix Gateway desde sus redes domésticas y de oficina habituales. Un atacante remoto intenta autenticar la cuenta de Georgina adivinando contraseñas diferentes, lo que provoca errores de autenticación de una red desconocida.

En este caso, Citrix Gateway informa de estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de fallo de autenticación inusual se agrega al cronograma de riesgo de Georgina Kalou.

En el cronograma de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo de fallo de autenticación inusual notificado. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación.

Error de autenticación

  • En la sección QUÉ OCURRIÓ, puede ver el breve resumen que incluye el número total de errores de autenticación y la hora del evento.

  • En la sección DETALLES DEL EVENTO: ERRORES Y ÉXITO DE INICIO DE SESIÓN, puede ver un gráfico que indica los errores de autenticación inusuales, junto con cualquier otra actividad de inicio de sesión detectada durante la misma duración.

  • En la sección DETALLES DE AUTENTICACIÓN INUSUALES, la tabla proporciona la siguiente información sobre los errores de autenticación inusuales:

    • Hora de inicio de sesión : fecha y hora del evento

    • IP del cliente : dirección IP del dispositivo del usuario

    • Ubicación : ubicación desde la que se ha producido el evento

    • Motivo del error : el motivo del error de autenticación

      Detalles del error de autenticación

  • En la sección ACTIVIDAD DE AUTENTICACIÓN DEL USUARIO: 30 DÍAS ANTERIORES, la tabla proporciona la siguiente información sobre los 30 días anteriores de actividad de autenticación del usuario:

    • Subred: dirección IP de la red de usuarios.

    • Éxito: el número total de eventos de autenticación correctos y la hora del evento de éxito más reciente para el usuario.

    • Error: número total de eventos de autenticación fallidos y la hora del último evento fallido del usuario.

    • Ubicación: ubicación desde la que se ha producido el evento de autenticación.

      Actividad de autenticación

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo Citrix Gateway