Citrix Analytics for Security

Indicadores de riesgo Citrix Gateway

Errores en el análisis de punto final (EPA)

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de la actividad de errores de exploración de la EPA y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo de fallo de la exploración de End Point Analysis es Otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de exploración de la EPA?

El indicador de riesgo de error de exploración de la EPA se informa cuando un usuario intenta acceder a la red mediante un dispositivo que ha fallado en las directivas de exploración de End Point Analysis (EPA) de Citrix Gateway para la autenticación previa o posterior a la autenticación.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de exploración EPA. Cuando Citrix Analytics determina errores excesivos en la exploración de la EPA para un usuario, actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de fallo de la exploración de la EPA al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de escaneo EPA?

Piense en el usuario Lemuel, que recientemente intentó acceder a la red varias veces con un dispositivo que no ha superado el análisis EPA de Citrix Gateway. Citrix Gateway informa de este error a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallo del escaneo de la EPA se agrega al cronograma de riesgo de Lemuel Kildow.

Para ver la entrada de error de escaneo de la EPA para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En el cronograma de riesgos de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallos de escaneo de la EPA notificado para el usuario. Cuando selecciona una entrada del indicador de riesgo de fallo de escaneo EPA en la línea de tiempo, aparece un panel de información detallado correspondiente en el panel derecho.

Fallas de escaneo de la EPA

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo de fallo de la exploración de la EPA. Además, incluye el número de errores de exploración de la EPA posteriores al inicio de sesión notificados durante el período seleccionado.

    Fallas en la exploración de la EPA: ¿qué

  • La sección DETALLES DEL EVENTO: FALLOS DE EXPLORACIÓN incluye una visualización de la línea de tiempo de los eventos individuales de error de exploración de la EPA que se produjeron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Tiempo. Hora en que se produjo el error del escaneo de la EPA.

    • IP del cliente. Dirección IP del cliente que provoca el error de exploración de la EPA.

    • IP de puerta de enlace. Dirección IP de Citrix Gateway que ha notificado el error del análisis de la EPA.

    • FQDN. El FQDN de Citrix Gateway.

    • Descripción del evento. Breve descripción del motivo del fallo del escaneo de la EPA.

    • Nombre de la directiva. El nombre de la directiva de análisis EPA configurado en Citrix Gateway.

    • Expresión de seguridad. Expresión de seguridad configurada en Citrix Gateway.

      Detalles del suceso de error de escaneo de

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Fallos de autenticación excesivos

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de errores excesivos de autenticación y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo de fallos de autenticación excesivos son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de autenticación excesivos?

El indicador de riesgo de errores de inicio de sesión se informa cuando el usuario encuentre varios errores de autenticación de Citrix Gateway en un período determinado. Los errores de autenticación de Citrix Gateway pueden ser errores de autenticación primaria, secundaria o terciaria, en función de si la autenticación multifactor está configurada para el usuario.

Citrix Gateway detecta todos los errores de autenticación de usuarios e informa de estos sucesos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de autenticación. Cuando Citrix Analytics determina errores de autenticación excesivos, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de fallos de autenticación excesivos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autenticación excesiva?

Piense en el usuario Lemuel, que recientemente falló varios intentos de autenticar la red. Citrix Gateway informa de estos errores a Citrix Analytics y se asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallos de autenticación excesivos se agrega al cronograma de riesgo de Lemuel Kildow.

Para ver la entrada del indicador de riesgo de errores de autenticación excesiva de un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En el cronograma de riesgos de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de autenticación excesivas notificado para el usuario. Al seleccionar la entrada del indicador de riesgo de fallos de autenticación excesivos en el cronograma de riesgos, aparece el panel de información detallada correspondiente en el panel derecho.

Fallos de autenticación excesivos

  • La sección QUÉ OCURRIÓ proporciona un breve resumen del indicador de riesgo, incluido el número de errores de autenticación que se produjeron durante el período seleccionado.

    Errores de autenticación excesivos: ¿qué

  • La sección DETALLES DEL EVENTO incluye una visualización de la línea de tiempo de los eventos individuales de error de autenticación excesivo que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Tiempo. Hora en que se produjo el error de inicio de sesión.

    • Recuento de errores. Número de errores de autenticación detectados para el usuario en el momento del evento y durante las 48 horas anteriores.

    • Descripción del evento. Breve descripción del motivo del error de inicio de sesión.

      Detalles de sucesos de errores de autenticación excesivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Trayecto imposible

Citrix Analytics detecta los inicios de sesión de un usuario como arriesgados cuando los inicios de sesión consecutivos proceden de dos países diferentes dentro de un período de tiempo inferior al tiempo de trayecto esperado entre los países.

El caso de tiempo de trayecto imposible indica estos riesgos:

  • Credenciales en riesgo: Un atacante remoto roba las credenciales de un usuario legítimo.
  • Credenciales compartidas: Diferentes usuarios utilizan las mismas credenciales de usuario.

¿Cuándo se activa el indicador de riesgo de trayecto imposible?

El indicador de riesgo de trayecto imposible evalúa el tiempo y la distancia estimada entre cada par de inicios de sesión de usuario consecutivos y se activa cuando la distancia es mayor de lo que una persona individual puede recorrer en ese período de tiempo.

Nota

Este indicador de riesgo también contiene una lógica para reducir las alertas de falsos positivos en las siguientes situaciones que no reflejan las ubicaciones reales de los usuarios:

  • Cuando los usuarios inician sesión a través de Citrix Gateway desde conexiones proxy.
  • Cuando los usuarios inician sesión a través de Citrix Gateway desde clientes alojados.

Cómo analizar el indicador de riesgo imposible

Pongamos como ejemplo al usuario Adam Maxwell, que inicia sesión desde dos ubicaciones, Bangalore (India) y Oslo (Noruega) en un minuto. Citrix Analytics detecta este evento de inicio de sesión como un caso de trayecto imposible y activa el indicador de riesgo de trayecto imposible. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver el cronograma de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.

En la cronología de riesgo de Adam Maxwell, seleccione el indicador de riesgo de trayecto imposible. Puede ver la siguiente información:

  • La sección QUÉ HA OCURRIDO ofrece un breve resumen del evento de trayecto imposible.

    GW ¿Qué ha ocurrido?

  • La sección DETALLES DEL INDICADOR proporciona las ubicaciones desde las que el usuario ha iniciado sesión, el tiempo transcurrido entre los inicios de sesión consecutivos y la distancia entre las dos ubicaciones.

    GW Detalles del indicador

  • La sección UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las ubicaciones de trayecto imposible y las ubicaciones conocidas del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.

    GW Detalles de los inicios de sesión de los últimos 30 días

  • La sección TRAYECTO IMPOSIBLE: DETALLES DEL EVENTO proporciona la siguiente información sobre el evento de trayecto imposible:

    • Fecha: Indica la fecha y la hora de los inicios de sesión.
    • SO del dispositivo: indica el sistema operativo del dispositivo del usuario.
    • IP del cliente: indica la dirección IP del dispositivo del usuario.
    • Ubicación: indica la ubicación desde la que el usuario ha iniciado sesión.

    GW Detalles del evento de trayecto imposible

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.
  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los administradores seleccionados.
  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.
  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, vaya al perfil del usuario y seleccione el indicador de riesgo correspondiente. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Inicio de sesión desde IP sospechosa

Citrix Analytics detecta las amenazas de acceso de los usuarios en función de la actividad de inicio de sesión desde una IP sospechosa y activa este indicador de riesgo.

El factor de riesgo asociado con el indicador de riesgo de inicio de sesión desde IP sospechosa son los indicadores de riesgo basados en IP. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de IP sospechoso?

El indicador de riesgo de inicio de sesión desde IP sospechosa se activa cuando un usuario intenta acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. La dirección IP se considera sospechosa en función de una de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuarios desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Citrix Analytics supervisa los eventos de inicio de sesión recibidos de Citrix Gateway y detecta si un usuario ha iniciado sesión desde una IP sospechosa. Cuando Citrix Analytics detecta un intento de inicio de sesión desde una IP sospechosa, actualiza la puntuación de riesgo del usuario y agrega una entrada del indicador de riesgo de IP sospechosa al cronograma de riesgo del usuario.

¿Cómo analizar el inicio de sesión desde el indicador de riesgo de IP sospechoso?

Piense en el usuario Lemuel, que intentó acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. Citrix Gateway informa del evento de inicio de sesión a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de inicio de sesión desde IP sospechosa se agrega al cronograma de riesgo de Lemuel Kildow.

Inicio de sesión desde IP sospechosa

Para ver el indicador de riesgo de inicio de sesión desde IP sospechosa informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario. En el cronograma de riesgo de Lemuel Kildow, puede seleccionar el último inicio de sesión a partir del indicador de riesgo de IP sospechoso notificado al usuario. Cuando selecciona la entrada del indicador de riesgo de IP sospechosa de la línea de tiempo, aparecerá un panel de información detallada correspondiente en el panel derecho.

  • La sección WHAT Happened proporciona un breve resumen del indicador de riesgo de inicio de sesión desde IP sospechosa. Además, incluye el número de inicio de sesión desde una dirección IP sospechosa notificada durante el período seleccionado.

    Inicio de sesión desde IP sospechosa

  • La sección IP sospechosa proporciona la siguiente información:

    Sección IP sospechosa

    • IP sospechosa. Dirección IP asociada a una actividad de inicio de sesión sospechosa.

    • Localización. Ciudad, región y país del usuario. Estas ubicaciones se muestran en función de la disponibilidad de los datos.

    • Riesgo potencial a nivel de organización. Indica cualquier patrón de actividad IP sospechosa que Citrix Analytics haya detectado recientemente en su organización. Los patrones de riesgo incluyen fallos excesivos de inicio de sesión coherentes con posibles intentos de fuerza bruta y acceso inusual por parte de varios usuarios.

      Si no se detecta ningún patrón de riesgo para una dirección IP de su organización, verá el siguiente mensaje.

      Sin patrón con riesgos

    • Inteligencia comunitaria. Proporciona la puntuación de amenazas y las categorías de amenazas de una dirección IP que se identifica como de alto riesgo en la fuente de información sobre amenazas IP externas. Citrix Analytics asigna una puntuación de riesgo a la dirección IP de alto riesgo. La puntuación de riesgo comienza a partir de 80.

      Si una dirección IP no tiene información sobre amenazas disponible en la fuente de información sobre amenazas IP externas, aparece el siguiente mensaje.

      Sin información de inteligencia

  • La sección DETALLES DEL EVENTO proporciona la siguiente información sobre la actividad de inicio de sesión sospechosa:

    Inicio de sesión desde IP sospechosa

    • Tiempo. Hora de la actividad de inicio de sesión sospechosa.

    • IP del cliente. Dirección IP del dispositivo del usuario que se utilizó para la actividad de inicio de sesión sospechosa.

    • Sistema operativo del dispositivo. El sistema operativo del explorador.

    • Explorador de dispositivos. El explorador web utilizado para la actividad de inicio de sesión sospechosa.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Inicio de sesión sospechoso

Notas

  • Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual.

  • Todas las directivas basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al indicador de riesgo de inicio de sesión sospechoso.

Citrix Analytics detecta los inicios de sesión del usuario que parecen inusuales o con riesgos en función de varios factores contextuales, definidos conjuntamente por el dispositivo, la ubicación y la red que utiliza el usuario.

¿Cuándo se activa el indicador de riesgo de inicio de sesión sospechoso?

El indicador de riesgo se activa mediante la combinación de los siguientes factores, en los que cada factor se considera potencialmente sospechoso en función de una o más condiciones.

Factor Condiciones
Dispositivo inusual El usuario inicia sesión desde un dispositivo con una firma diferente a la de los dispositivos utilizados en los últimos 30 días. La firma del dispositivo se basa en el sistema operativo del dispositivo y en el explorador utilizado.
Ubicación inusual Inicie sesión desde una ciudad o un país en el que el usuario no haya iniciado sesión en los últimos 30 días.
  La ciudad o el país están geográficamente lejos de las ubicaciones de inicio de sesión recientes (últimos 30 días).
  Ninguno o un mínimo de usuarios han iniciado sesión desde la ciudad o el país en los últimos 30 días.
Red inusual Inicie sesión desde una dirección IP que el usuario no ha utilizado en los últimos 30 días.
  Inicie sesión desde una subred IP que el usuario no ha utilizado en los últimos 30 días.
  Ningún usuario o mínimo ha iniciado sesión desde la subred IP en los últimos 30 días.
Amenaza IP La dirección IP se identifica como de alto riesgo por el feed de inteligencia de amenazas de la comunidad: Webroot.
  Citrix Analytics ha detectado recientemente actividades de inicio de sesión muy sospechosas desde la dirección IP de otros usuarios.

Cómo analizar el indicador de riesgo de inicio de sesión sospechoso

Piense en el usuario Adam Maxwell, que inicia sesión desde Andhra Pradesh, India por primera vez. Usa un dispositivo con una firma conocida para acceder a los recursos de la organización. Pero se conecta desde una red, que no ha utilizado en los últimos 30 días.

Citrix Analytics detecta este evento de inicio de sesión como sospechoso porque los factores, la ubicación y la red, se desvían de su comportamiento habitual y desencadena el indicador de riesgo de inicio de sesión sospechoso. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver el tiempo de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.

En la línea de tiempo de riesgo de Adam Maxwell, seleccione el indicador de riesgo de inicio de sesión sospechoso. Puede ver la siguiente información:

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen de las actividades sospechosas que incluyen los factores de riesgo y el momento del evento.

    Inicio de sesión sospechoso: qué ha ocurrido

  • La sección DETALLES DE INICIO DE SESIÓN proporciona un resumen detallado de las actividades sospechosas correspondientes a cada factor de riesgo. A cada factor de riesgo se le asigna una puntuación que indica el nivel de sospecha. Un factor de riesgo único no indica un riesgo elevado por parte de un usuario. El riesgo global se basa en la correlación de los múltiples factores de riesgo.

    Nivel de sospecha Indicación
    0–69 El factor parece normal y no se considera sospechoso.
    70–89 El factor parece un poco inusual y se considera moderadamente sospechoso con otros factores.
    90–100 El factor es totalmente nuevo o inusual y se considera altamente sospechoso con otros factores.

    Detalles de inicio de sesión sospechosos

  • La UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las últimas ubicaciones conocidas y la ubicación actual del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.

    Detalles de ubicaciones de inicios de sesión sospechosos

  • La sección DETALLES DEL EVENTO DE INICIO DE SESIÓN SOSPECHOSO proporciona la siguiente información sobre el evento de inicio de sesión sospechoso:

    • Hora: indica la fecha y la hora del inicio de sesión sospechoso.

    • SO del dispositivo: indica el sistema operativo del dispositivo del usuario.

    • Explorador de dispositivos: indica el explorador web utilizado para iniciar sesión en Citrix Gateway.

    Eventos de inicio de sesión sospechosos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Error de autenticación inusual

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene errores de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador Riesgo de autenticación inusual son los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de error de autenticación inusual?

Se le puede notificar cuando un usuario de su organización tiene errores de inicio de sesión desde una dirección IP inusual que es contraria a su comportamiento habitual.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo de error de autenticación inusual se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el indicador de falla de autenticación inusual?

Piense en la usuaria Georgina Kalou, que inicia sesión habitualmente en Citrix Gateway desde sus redes domésticas y de oficina habituales. Un atacante remoto intenta autenticar la cuenta de Georgina adivinando contraseñas diferentes, lo que provoca errores de autenticación de una red desconocida.

En este caso, Citrix Gateway informa de estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de fallo de autenticación inusual se agrega al cronograma de riesgo de Georgina Kalou.

En el cronograma de riesgos de Georgina Kalou, puede seleccionar el indicador de riesgo de fallo de autenticación inusual notificado. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación.

Error de autenticación

  • En la sección QUÉ SUCEDIÓ, puede ver el breve resumen que incluye el número total de errores de autenticación y la hora del evento.

  • En la sección ACCIÓN RECOMENDADA, encontrará las acciones sugeridas que se pueden aplicar en el indicador de riesgo. Citrix Analytics for Security recomienda las acciones en función de la gravedad del riesgo que presente el usuario. La recomendación puede ser una o una combinación de las siguientes acciones:

    • Notificar a los administradores

    • Agregar a la lista de seguimiento

    • Crear una directiva

    Puede seleccionar una acción en función de la recomendación. O puede seleccionar una acción que quiera aplicar en función de su elección en el menú Acciones. Para obtener más información, consulte Aplicar una acción manualmente.

    Acción recomendada

  • En la sección DETALLES DEL EVENTO: ERRORES Y ÉXITO DE INICIO DE SESIÓN, puede ver un gráfico que indica los errores de autenticación inusuales, junto con cualquier otra actividad de inicio de sesión detectada durante la misma duración.

  • En la sección DETALLES DE AUTENTICACIÓN INUSUALES, la tabla proporciona la siguiente información sobre los errores de autenticación inusuales:

    • Hora de inicio de sesión: Fecha y hora del evento

    • IP del cliente: Dirección IP del dispositivo del usuario

    • Ubicación: Ubicación desde la que se ha producido el evento

    • Motivo del error: El motivo del error de autenticación

      Detalles del error de autenticación

  • En la sección ACTIVIDAD DE AUTENTICACIÓN DEL USUARIO: 30 DÍAS ANTERIORES, la tabla proporciona la siguiente información sobre los 30 días anteriores de actividad de autenticación del usuario:

    • Subred: dirección IP de la red de usuarios.

    • Éxito: el número total de eventos de autenticación correctos y la hora del evento de éxito más reciente para el usuario.

    • Error: número total de eventos de autenticación fallidos y la hora del último evento fallido del usuario.

    • Ubicación: ubicación desde la que se ha producido el evento de autenticación.

      Actividad de autenticación

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

  • Bloquear usuario: cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Indicadores de riesgo Citrix Gateway