Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Gateway

Acceso desde una ubicación inusual

Citrix Analytics detecta amenazas basadas en el acceso basándose en inicios de sesión inusuales en la red y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirás una notificación cuando un usuario de su organización inicia sesión desde una ubicación inusual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Citrix Gateway detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentra anómala lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad entre todos los usuarios de la organización. En todos los casos, el historial de ubicaciones de usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Considere la usuaria Georgina Kalou, que inicia sesión desde el Reino Unido por primera vez. Su lugar de inicio de sesión habitual es Beijing, China. Citrix Gateway informa de este evento de usuario a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de ubicación inusual se activa y se agrega a la cronología de riesgo de Georgina Kalou.

Desde la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el acceso reportado en un indicador de riesgo de ubicación inusual. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación de inicio de sesión.

Acceso desde una ubicación inusual

  • QUÉ SUCEDIÓ: Proporciona un breve resumen que incluye el número de intentos de inicio de sesión, ubicación inusual y hora del evento.

    Acceso desde una ubicación inusual

  • Ubicaciones de INICIO DE SESIÓN: Muestra una vista de mapa geográfico de las ubicaciones de inicio de sesión habituales e inusuales del usuario. Los datos de ubicación habituales son de los últimos 30 días. Puede pasar el cursor sobre los punteros del mapa para ver los detalles exactos de cada ubicación.

    Acceso desde una ubicación inusual

  • Ubicación habitual: Últimos 30 días: muestra una vista de gráfico circular de las seis últimas ubicaciones de inicio de sesión habituales desde donde el usuario ha iniciado sesión, durante los últimos 30 días.

    Acceso desde una ubicación inusual

  • Detalles del evento de ubicación inusual: proporciona una visualización de línea de tiempo del evento de inicio de sesión inusual que se produjo para el usuario. Además, esta tabla proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    • Fecha y hora: Fecha y hora del evento inusual de ubicación de inicio de sesión.
    • IP del cliente: Dirección IP del dispositivo cliente.
    • Sistema operativo del dispositivo: Sistema operativo del dispositivo mediante el cual el usuario ha iniciado sesión en la ubicación inusual.
    • Explorador de dispositivos: Explorador web mediante el cual el usuario ha iniciado sesión en la aplicación.

    Acceso desde una ubicación inusual

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente de la fuente de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Fallos de análisis de punto final (EPA)

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de la actividad de errores de exploración de la EPA y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de fallos de exploración de la EPA?

El indicador de riesgo de fallo de exploración EPA se informa cuando un usuario intenta acceder a la red mediante un dispositivo que ha fallado las directivas de análisis de punto final (EPA) de Citrix Gateway para la autenticación previa o posterior.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de exploración EPA. Cuando Citrix Analytics determina fallos excesivos de análisis de EPA para un usuario, actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de fallo de análisis de EPA a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de escaneo EPA?

Considere el usuario Lemuel, que recientemente intentó acceder a la red varias veces mediante un dispositivo que ha fallado en el análisis EPA de Citrix Gateway. Citrix Gateway informa de este error a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de falla de la exploración de la EPA se agrega a la cronología de riesgo de Lemuel Kildow.

Para ver la entrada de error de exploración EPA para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de exploración EPA informado para el usuario. Cuando selecciona una entrada del indicador de riesgo de fallo de escaneo EPA en la línea de tiempo, aparece un panel de información detallado correspondiente en el panel derecho.

Fallos de exploración EPA

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo de fallo de la exploración EPA. Y, incluye el número de errores de exploración EPA posteriores al inicio de sesión notificados durante el período seleccionado.

Fallos de exploración de EPA lo que ocurrió

  • La sección DETALLES DEL EVENTO: ERRORES DE DETECCIÓN incluye una visualización de la línea de tiempo de los eventos individuales de fallo de exploración EPA que se produjeron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • El tiempo. Hora en que se produjo el fallo del escaneo EPA.

    • IP del cliente. La dirección IP del cliente que causa el error de exploración EPA.

    • IP de puerta de enlace. La dirección IP de Citrix Gateway que notificó el error de exploración EPA.

    • FQDN. El FQDN de Citrix Gateway.

    • Descripción del evento. Breve descripción del motivo del fallo del escaneo EPA.

    • Nombre de la directiva. El nombre de la directiva de análisis EPA configurado en Citrix Gateway.

    • Expresión de seguridad. Expresión de seguridad configurada en Citrix Gateway.

    Detalles del evento de fallo de escaneo EPA

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Fallos de autenticación excesivos

Citrix Analytics detecta amenazas basadas en el acceso de los usuarios basándose en errores de autenticación excesivos y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de fallos de autenticación excesiva?

El indicador de riesgo de fallo de inicio de sesión se notifica cuando el usuario encuentra varios errores de autenticación de Citrix Gateway en un período determinado. Los errores de autenticación de Citrix Gateway pueden ser fallos de autenticación primaria, secundaria o terciaria, dependiendo de si la autenticación multifactor está configurada para el usuario.

Citrix Gateway detecta todos los errores de autenticación del usuario e informa de estos eventos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de autenticación. Cuando Citrix Analytics determina errores de autenticación excesivos, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de fallos de autenticación excesiva se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autenticación excesiva?

Considere el usuario Lemuel, que recientemente falló varios intentos de autenticar la red. Citrix Gateway informa de estos errores a Citrix Analytics y se asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallas de autenticación excesiva se agrega a la cronología de riesgo de Lemuel Kildow.

Para ver la entrada del indicador de riesgo de errores de autenticación excesiva de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Desde la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de autenticación excesiva notificado para el usuario. Cuando selecciona la entrada Indicador de riesgo de fallos de autenticación excesiva de la escala de tiempo de riesgo, aparece un panel de información detallada correspondiente en el panel derecho.

Fallos de autenticación excesivos

  • La sección LO QUE OCURRIÓ proporciona un breve resumen del indicador de riesgo, incluido el número de errores de autenticación ocurridos durante el período seleccionado.

Fallos de autenticación excesivos

  • La sección DETALLES DEL EVENTO incluye una visualización de línea de tiempo de los eventos individuales de error de autenticación excesiva que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • El tiempo. Hora en que se produjo el error de inicio de sesión.

    • Recuento de errores. Número de errores de autenticación detectados para el usuario en el momento del evento y durante las 48 horas anteriores.

    • Descripción del evento. Breve descripción del motivo del error de inicio de sesión.

    Detalles de eventos de fallos de autenticación excesivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Acceso por primera vez desde una nueva IP

Citrix Analytics detecta las amenazas de acceso de usuarios basadas en el acceso por primera vez desde una nueva dirección IP y activa el indicador de riesgo correspondiente.

El primer acceso desde el nuevo indicador de riesgo de IP se activa cuando un usuario de Citrix Receiver inicia sesión desde una dirección IP después de un mínimo de 90 días. El indicador de riesgo se activa porque Citrix Receiver no tiene registros de inicio de sesión para el usuario desde esta dirección IP durante los últimos 90 días.

¿Cuándo se activa el primer acceso desde el nuevo indicador de riesgo IP?

El primer acceso desde el nuevo indicador de riesgo de IP se notifica cuando un usuario inicia sesión desde una dirección IP después de 90 días. Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El primer acceso desde el nuevo indicador de riesgo de IP se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el acceso desde el nuevo indicador de riesgo IP?

Considere el usuario Adam Maxwell, que ha iniciado sesión en una sesión a través de Citrix Receiver desde una dirección IP que el usuario no ha utilizado durante al menos 90 días. En la línea de tiempo de Adam Maxwell, puede seleccionar el nuevo indicador de riesgo de IP de acceso por primera vez informado. El motivo de la alerta se muestra junto con detalles como la hora del evento y la dirección IP.

Acceso por primera vez desde una nueva IP

Para ver el primer acceso desde el nuevo indicador de riesgo de IP notificado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

  • En la sección LO QUE OCURRIÓ, puede ver el resumen del acceso por primera vez desde un nuevo evento IP. Puede ver el número de instancias de inicio de sesión que se han producido desde una nueva dirección IP y la hora en que se produjo el evento.

Acceso por primera vez desde una nueva IP

  • En la sección DETALLES DEL EVENTO, los eventos de acceso procedentes de una nueva dirección IP aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • El tiempo. Hora en que se produjo la instancia de inicio de sesión.

    • IP del cliente. La dirección IP del dispositivo que se utiliza para iniciar sesión.

Acceso por primera vez desde una nueva IP

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Inicio de sesión desde IP sospechosa

Citrix Analytics detecta las amenazas de acceso de usuarios en función de la actividad de inicio de sesión sospechosa y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de IP sospechoso?

El indicador de riesgo de inicio de sesión desde IP sospechosa se informa cuando un usuario intenta acceder a la red desde una dirección IP que Citrix Gateway identifica como sospechosa. La dirección IP se considera sospechosa en función de cualquiera de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuario desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Citrix Gateway detecta este evento e informa a Citrix Analytics. Citrix Analytics supervisa este evento para detectar si el usuario ha tenido demasiados intentos de inicio de sesión IP sospechosos. Cuando Citrix Analytics determina intentos de inicio de sesión de IP sospechosos para un usuario, actualiza la puntuación de riesgo del usuario y agrega un inicio de sesión desde la entrada del indicador de riesgo de IP sospechoso a la cronología de riesgo del usuario.

¿Cómo analizar el inicio de sesión desde el indicador de riesgo de IP sospechoso?

Considere el usuario Lemuel, que intentó acceder a la red desde una dirección IP que Citrix Gateway identifica como sospechosa. Citrix Gateway informa de este evento a Citrix Analytics, que asigna un puntaje de riesgo actualizado a Lemuel. El indicador de riesgo de IP sospechoso se agrega a la cronología de riesgo de Lemuel Kildow.

Inicio de sesión desde IP sospechosa

Para ver el indicador de riesgo de inicio de sesión desde IP sospechosa informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario. Desde la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último inicio de sesión del indicador de riesgo de IP sospechoso notificado para el usuario. Cuando selecciona la entrada del indicador de riesgo de IP sospechosa de la línea de tiempo, aparecerá un panel de información detallada correspondiente en el panel derecho.

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo de IP sospechoso de inicio de sesión. Además, incluye el número de inicios de sesión de una dirección IP sospechosa reportada durante el período seleccionado.

Inicio de sesión desde IP sospechosa

  • La sección DETALLES DE EVENTO incluye una visualización de la línea de tiempo del intento de inicio de sesión individual que se produjo durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • El tiempo. Hora en que se produjo la instancia de inicio de sesión.

    • IP del cliente. La dirección IP del dispositivo que se utilizó para iniciar sesión.

    • Localización. El lugar desde el que se realizó el intento de inicio de sesión sospechoso.

    • FUERZA BRUTA. Indica que se ha detectado un comportamiento de fuerza bruta.

    • Amenaza externa. Indica que la dirección IP está en la fuente externa de inteligencia de amenazas IP.

    • Acceso geográfico inusual. Indica que se ha detectado acceso desde una ubicación geográfica inusual.

Inicio de sesión desde IP sospechosa

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Error de autenticación inusual

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene errores de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de fallo de autenticación inusual?

Se le puede notificar cuando un usuario de su organización tiene errores de inicio de sesión desde una dirección IP inusual que es contrario a su comportamiento habitual.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo de fallo de autenticación inusual se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de falla de autenticación inusual?

Considere la usuaria Georgina Kalou, que rutinariamente inicia sesión en Citrix Gateway desde sus redes domésticas y de oficina habituales. Un atacante remoto intenta autenticar la cuenta de Georgina adivinando diferentes contraseñas, lo que provoca errores de autenticación de una red desconocida.

En este caso, Citrix Gateway informa de estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de falla de autenticación inusual se agrega a la cronología de riesgo de Georgina Kalou.

Desde la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el indicador de riesgo de falla de autenticación inusual reportado. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación.

Error de autenticación

  • En la sección QUÉ OCURRIÓ, puede ver el breve resumen que incluye el número total de errores de autenticación y la hora del evento.

  • En la sección DETALLES DEL EVENTO: ÉXITO DE INICIO DE SESIÓN Y FALLOS, puede ver un gráfico que indica los errores de autenticación inusuales, junto con cualquier otra actividad de inicio de sesión detectada durante la misma duración.

  • En la sección DETALLES DE AUTENTICACIÓN INUSUAL, la tabla proporciona la siguiente información acerca de los errores de autenticación inusuales:

    • Hora de inicio de sesión: la fecha y hora del evento

    • IP del cliente: Dirección IP del dispositivo del usuario

    • Ubicación: La ubicación desde la que se ha producido el evento

    • Motivo del error: El motivo del error de autenticación

      Detalles de fallos de autenticación

  • En la sección ACTIVIDAD DE AUTENTICACIÓN DE USUARIO — PREVIAS 30 DÍAS, la tabla proporciona la siguiente información sobre los 30 días anteriores de actividad de autenticación del usuario:

    • Subred: la dirección IP de la red del usuario

    • Éxitos: el número total de eventos de autenticación correctos y la hora del evento correcto más reciente para el usuario.

    • Fallos: el número total de eventos de autenticación fallidos y la hora del evento fallido más reciente para el usuario

    • Ubicación: la ubicación desde la que se ha producido el evento de autenticación

      Actividad de autenticación

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario está bloqueada debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Gateway