Indicadores de riesgo de Citrix Gateway

Fallos de exploración EPA

Citrix Analytics detecta las amenazas basadas en el acceso de los usuarios en función de la actividad de errores de exploración de la EPA y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de fallos de exploración de la EPA?

El indicador de riesgo de fallo de exploración EPA se informa cuando un usuario intenta acceder a la red mediante un dispositivo que ha fallado las directivas de análisis de punto final (EPA) de Citrix Gateway para la autenticación previa o posterior.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de exploración EPA. Cuando Citrix Analytics determina errores excesivos de exploración EPA para un usuario, actualiza la puntuación de riesgo del usuario y crea una notificación en el panel Alertas. Además, agrega una entrada del indicador de riesgo de fallo del escaneo EPA a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de escaneo EPA?

Considere al usuario Lemuel Kildow, que recientemente intentó acceder varias veces a la red mediante un dispositivo que no ha superado el análisis EPA de Citrix Gateway. Citrix Gateway notifica este error a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel Kildow. Se le notifica en el panel Alertas, y el indicador de riesgo de fallo de escaneo de la EPA se agrega a la línea de tiempo de riesgo de Lemuel Kildow.

Para ver la entrada de error de exploración EPA para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de exploración EPA informado para el usuario. Cuando selecciona una entrada del indicador de riesgo de fallo de escaneo EPA en la línea de tiempo, aparece un panel de información detallado correspondiente en el panel derecho.

Fallos de exploración EPA

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo de fallo de la exploración EPA. Y, incluye el número de errores de exploración EPA posteriores al inicio de sesión notificados durante el período seleccionado.

Fallos de exploración de EPA lo que ocurrió

  • La sección DETALLES DEL EVENTO: ERRORES DE DETECCIÓN incluye una visualización de la línea de tiempo de los eventos individuales de fallo de exploración EPA que se produjeron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el fallo del escaneo EPA.

    • IP del cliente. La dirección IP del cliente que causa el error de exploración EPA.

    • IP de puerta de enlace. La dirección IP de Citrix Gateway que notificó el error de exploración EPA.

    • FQDN. El FQDN de Citrix Gateway.

    • Descripción del evento. Breve descripción del motivo del fallo del escaneo EPA.

    • Nombre de la directiva. El nombre de la directiva de análisis EPA configurado en Citrix Gateway.

    • Expresión de seguridad. Expresión de seguridad configurada en Citrix Gateway.

    Detalles del evento de fallo de escaneo EPA

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Errores de autenticación excesivos

Citrix Analytics detecta amenazas basadas en el acceso del usuario en función de errores excesivos de autenticación y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de errores de autenticación excesivos?

El indicador de riesgo de error de inicio de sesión se informa cuando el usuario encuentra varios errores de autenticación de Citrix Gateway en un período determinado. Los errores de autenticación de Citrix Gateway pueden ser errores de autenticación primarios, secundarios o terciarios, dependiendo de si la autenticación multifactor está configurada para el usuario.

Citrix Gateway detecta todos los errores de autenticación de usuarios e informa de estos eventos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de autenticación. Cuando Citrix Analytics determina errores de autenticación excesivos, actualiza la puntuación de riesgo del usuario. Se le notifica en el panel Alertas y el indicador de riesgo de errores de autenticación excesivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de errores de autenticación excesivos?

Considere al usuario Lemuel Kildow, que recientemente falló varios intentos para autenticar la red. Citrix Gateway notifica estos errores a Citrix Analytics y se asigna una puntuación de riesgo actualizada a Lemuel Kildow. Se le notifica en el panel Alertas y el indicador de riesgo de errores de autenticación excesivos se agrega a la línea de tiempo de riesgo de Lemuel Kildow.

Para ver la entrada del indicador de riesgo de errores de autenticación excesivos para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

En la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último indicador de riesgo de fallas de autenticación excesivas reportado para el usuario. Al seleccionar la entrada del indicador de riesgo de errores de autenticación excesivos en la línea de tiempo de riesgo, aparece un panel de información detallada correspondiente en el panel derecho.

Errores de autenticación excesivos

  • La sección QUÉ SUPIDO proporciona un breve resumen del indicador de riesgo, incluido el número de errores de autenticación ocurridos durante el período seleccionado.

Errores de autenticación excesivos que sucedió

  • La sección DETALLES DE EVENTOS incluye una visualización de la línea de tiempo de los eventos de error de autenticación excesivos que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el error de inicio de sesión.

    • Recuento de errores. Número de errores de autenticación detectados para el usuario en el momento del evento y durante las 48 horas anteriores.

    • Descripción del evento. Breve descripción del motivo del error de inicio de sesión.

    Detalles de eventos de errores de autenticación excesivos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Errores de autorización excesivos

Citrix Analytics detecta amenazas basadas en el acceso de los usuarios en función de errores excesivos de autorización y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de errores de autorización excesivos?

El indicador de riesgo de errores de autorización excesivos se informa en Citrix Analytics cuando un usuario de su empresa intenta acceder a un recurso sin permisos suficientes.

Cuando se autentica el usuario, Citrix Gateway realiza una comprobación de autorización de grupo basada en la directiva de autorización y las expresiones configuradas para el usuario. Citrix Gateway recopila la información de grupo del usuario de un servidor LDAP, RADIUS o TACACS+.

Citrix Gateway detecta los errores de autorización e informa de estos eventos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados errores de autorización. Cuando Citrix Analytics detecta errores de autorización excesivos para un usuario, actualiza la puntuación de riesgo del usuario. Se le notifica en el panel Alertas y el indicador de riesgo de errores de autorización excesivos se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallas de autorización excesivas?

Considere al usuario Georgina Kalou, que recientemente intentó varias veces acceder a un recurso no autorizado en la red. Citrix Gateway notifica estos eventos a Citrix Analytics y se asigna una puntuación de riesgo actualizada a Georgina Kalou. Se le notifica en el panel Alertas y el indicador de riesgo de errores de autorización excesivos se añade a la línea de tiempo de riesgo de Georgina Kalou.

Para ver la entrada Errores de autorización excesivos para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el último indicador de riesgo de fallas de autorización excesivas reportado para el usuario. Al seleccionar la entrada del indicador de riesgo de errores de autorización excesivos en la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

Errores de autorización

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo, incluido el número de errores de autorización que se produjeron durante el período seleccionado.

Errores de autorización de lo que ocurrió

  • La sección DETALLES DEL EVENTO: ERRORES DE AUTORIZACIÓN, incluye una visualización de la línea de tiempo de los eventos de error de autorización individuales que se produjeron durante el período de tiempo seleccionado. Además, puede ver la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo el error de autorización.

    • IP del cliente. La dirección IP del cliente que ha causado el error de autorización.

    • IP de puerta de enlace. La dirección IP de Citrix Gateway que notificó el error de autorización.

    • FQDN. El FQDN de Citrix Gateway.

    • Nombre de la aplicación. Aplicación que el usuario utilizó para acceder al recurso.

    • Sesión VPN. El tipo de sesión VPN establecida.

    • Descripción del evento. Breve descripción del motivo del error de autorización.

    • Factor enésimo. Breve descripción del motivo del error de autorización.

    Detalles del evento de error de autorización

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Acceso por primera vez desde una nueva ubicación

Citrix Analytics detecta amenazas basadas en el acceso de usuario basadas en el acceso de inicio de sesión por primera vez a la red y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso por primera vez desde una nueva ubicación?

Se le puede notificar cuando un usuario de la organización inicia sesión desde una ubicación inusual que sea contraria a su comportamiento habitual.

Citrix Gateway detecta estos eventos y los informa a Citrix Analytics. Citrix Analytics recibe los eventos, aumenta la puntuación de riesgo del usuario. Se le notifica en el panel Alertas y el indicador de riesgo de acceso por primera vez desde una nueva ubicación se agrega a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el primer acceso desde el indicador de riesgo de ubicación nueva?

Considere a la usuaria Georgina Kalou, que inició sesión desde Moscú, Rusia cuando solo ha iniciado sesión desde Raleigh, Carolina del Norte. Citrix Gateway notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. Se le notifica en el panel Alertas y el indicador de riesgo de acceso por primera vez desde una nueva ubicación se añade a la línea de tiempo de riesgo de Georgina Kalou.

En la línea de tiempo de riesgo de Georgina Kalou, puede seleccionar el primer acceso reportado desde el nuevo indicador de riesgo de ubicación. El motivo del evento se muestra junto con detalles como, hora del evento, ubicación de inicio de sesión, etc.

Acceso por primera vez desde la Gateway de nueva ubicación

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo, incluido el número de intentos de inicio de sesión sospechosos que se produjeron durante un período de tiempo específico.

Acceso por primera vez desde la nueva Gateway de ubicación lo que sucedió

  • La sección DETALLES DE EVENTOS incluye una visualización de la línea de tiempo de los eventos de inicio de sesión individuales desde una ubicación geográfica inusual que se produjeron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Hora. Hora de cada intento de inicio de sesión.

    • Localización. La ubicación desde la que se realizó el intento de inicio de sesión.

    • Dirección IP del cliente. La dirección IP del cliente utilizada.

    • SO. El sistema operativo utilizado por el cliente.

    • Explorador. El explorador utilizado por el usuario.

    Acceso por primera vez desde los detalles del evento de Gateway de ubicación nueva

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Acceso por primera vez desde una nueva IP

Citrix Analytics detecta las amenazas de acceso de usuarios basadas en el acceso por primera vez desde una nueva dirección IP y activa el indicador de riesgo correspondiente.

El indicador de riesgo de IP por primera vez se activa cuando un usuario de Citrix Receiver inicia sesión desde una dirección IP después de un mínimo de 90 días. Esto se debe a que Citrix Receiver no tiene registros de inicio de sesión para el usuario desde esta dirección IP durante los últimos 90 días.

¿Cuándo se activa el primer acceso desde el nuevo indicador de riesgo IP?

El indicador de riesgo de acceso por primera vez desde una nueva IP se informa cuando un usuario inicia sesión desde una dirección IP después de 90 días. Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo de IP por primera vez se agrega a la línea de tiempo de riesgo del usuario y se muestra una alerta en el panel Alertas.

¿Cómo analizar el acceso desde el nuevo indicador de riesgo IP?

Considere al usuario Adam Maxwell, que ha iniciado sesión a través de Citrix Receiver desde una dirección IP que el usuario no ha utilizado durante al menos 90 días. En la línea de tiempo de Adam Maxwell, puede seleccionar el nuevo indicador de riesgo de IP de acceso por primera vez informado. Se muestra el motivo del acceso por primera vez para la nueva alerta IP junto con detalles como la hora del evento, la dirección IP, etc.

Acceso por primera vez desde una nueva IP

Para ver el indicador de riesgo de IP por primera vez informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del primer acceso desde el nuevo evento IP. Puede ver el número de instancias de inicio de sesión que se han producido desde una nueva dirección IP y la hora en que se produjo el evento.

Acceso por primera vez desde una nueva IP

  • En la sección DETALLES DEL EVENTO, los eventos de acceso procedentes de la nueva dirección IP aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • Hora. Hora en que se produjo la instancia de inicio de sesión.

    • IP del cliente. La dirección IP del dispositivo que se utiliza para iniciar sesión.

Acceso por primera vez desde una nueva IP

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Inicio de sesión desde IP sospechosa

Citrix Analytics detecta las amenazas de acceso de usuarios en función de la actividad de inicio de sesión sospechosa y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de IP sospechoso?

El indicador de riesgo de inicio de sesión desde IP sospechosa se informa cuando un usuario intenta acceder a la red desde una dirección IP que Citrix Gateway identifica como sospechosa. La dirección IP se considera sospechosa en función de cualquiera de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuario desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Citrix Gateway detecta este evento e informa a Citrix Analytics. Citrix Analytics supervisa este evento para detectar si el usuario ha tenido demasiados intentos de inicio de sesión IP sospechosos. Cuando Citrix Analytics determina intentos de inicio de sesión IP sospechosos para un usuario, actualiza la puntuación de riesgo del usuario y crea una notificación en el panel Alertas. Además, agrega un inicio de sesión de entrada del indicador de riesgo IP sospechoso a la línea de tiempo de riesgo del usuario.

¿Cómo analizar el inicio de sesión desde el indicador de riesgo de IP sospechoso?

Considere al usuario Lemuel Kildow, que intentó acceder a la red desde una dirección IP que Citrix Gateway identifica como sospechosa. Citrix Gateway notifica este evento a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel Kildow. Se le notifica en el panel Alertas y el indicador Inicio de sesión desde IP sospechosa se agrega a la línea de tiempo de riesgo de Lemuel Kildow.

Inicio de sesión desde IP sospechosa

Para ver el indicador de riesgo de inicio de sesión desde IP sospechosa informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario. En la línea de tiempo de riesgo de Lemuel Kildow, puede seleccionar el último inicio de sesión a partir del indicador de riesgo IP sospechoso informado para el usuario. Al seleccionar la entrada del indicador de riesgo IP sospechoso de inicio de sesión de la línea de tiempo, aparece un panel de información detallada correspondiente en el panel derecho.

  • La sección QUÉ HA OCURRIDO proporciona un breve resumen del indicador de riesgo de IP sospechoso de inicio de sesión. Además, incluye el número de inicios de sesión de una dirección IP sospechosa reportada durante el período seleccionado.

Inicio de sesión desde IP sospechosa

  • La sección DETALLES DE EVENTO incluye una visualización de la línea de tiempo del intento de inicio de sesión individual que se produjo durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Hora. Hora en que se produjo la instancia de inicio de sesión.

    • IP del cliente. La dirección IP del dispositivo que se utilizó para iniciar sesión.

    • Localización. El lugar desde el que se realizó el intento de inicio de sesión sospechoso.

    • FUERZA BRUTA. Indica que se ha detectado un comportamiento de fuerza bruta.

    • Amenaza externa. Indica que la dirección IP está en la fuente externa de inteligencia de amenazas IP.

    • Acceso geográfico inusual. Indica que se ha detectado acceso desde una ubicación geográfica inusual.

Inicio de sesión desde IP sospechosa

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción Cerrar sesión del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.