Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Virtual Apps and Desktops

Acceso desde una ubicación inusual

Citrix Analytics detecta amenazas basadas en el acceso basándose en inicios de sesión inusuales de Citrix Workspace y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirás una notificación cuando un usuario de su organización inicia sesión desde una ubicación inusual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Citrix Workspace detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentra anómalo lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad entre todos los usuarios de la organización. En todos los casos, el historial de ubicación del usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se añade a la cronología de riesgos del usuario.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Considere el usuario Adam Maxwell que inicia sesión desde San José, EE.UU. por primera vez. Su ubicación habitual de inicio de sesión es Alaska, EE. UU. Citrix Workspace informa de estos eventos de inicio de sesión a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Adam Maxwell. El indicador de riesgo de acceso desde una ubicación inusual se activa y se añade a la cronología de riesgos de Adam Maxwell.

En el cronograma de riesgo de Adam Maxwell, puede seleccionar el acceso informado en un indicador de riesgo de ubicación inusual. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación de inicio de sesión.

Para ver el indicador de riesgo de ubicación inusual de acceso notificado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Ubicación inusual

  • QUÉ SUCEDIÓ: Proporciona un breve resumen que incluye el número de intentos de inicio de sesión, ubicación inusual y hora del evento.

    Qué ocurrió

  • Ubicaciones de INICIO DE SESIÓN: Muestra una vista de mapa geográfico de las ubicaciones de inicio de sesión habituales e inusuales del usuario. Los datos de ubicación habituales son de los últimos 30 días. Puede pasar el cursor sobre los punteros del mapa para ver los detalles exactos de cada ubicación.

    Iniciar sesión

  • Ubicación habitual: Últimos 30 días: muestra una vista de gráfico circular de las seis ubicaciones de inicio de sesión habituales principales desde donde el usuario ha iniciado sesión, durante los últimos 30 días.

    Ubicación inusual

  • Detalles del evento de ubicación inusual: La tabla de detalles del evento proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    Detalles del evento

    • Fecha y hora. Indica la fecha y la hora del evento de ubicación de inicio de sesión inusual.

    • IP del cliente. Indica la dirección IP del dispositivo cliente.

    • ID de dispositivo Indica el tipo de dispositivo de usuario, como Android, Mac o Windows.

    • Sistema operativo del dispositivo. Indica el sistema operativo del dispositivo mediante el que el usuario ha iniciado sesión desde una ubicación inusual.

    • Explorador del dispositivo. Indica el navegador web con el que el usuario ha iniciado sesión en la aplicación.

    • Tipo de receptor. Indica el tipo de aplicación Citrix Workspace o Citrix Receiver instalada en el dispositivo del usuario.

    • Tipo de evento. Indica si la actividad del usuario es inicio de sesión o inicio de sesión de cuenta. El evento de inicio de sesión de cuenta se activa cuando la autenticación de un usuario en su cuenta se realiza correctamente. Mientras que el evento de inicio de sesión se activa cuando un usuario introduce su credencial e inicia sesión en su aplicación o sesión de escritorio.

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede comenzar a registrar las actividades del usuario de futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps and Desktops 7.18 o posterior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Exfiltración potencial de datos

Citrix Analytics detecta amenazas de datos basadas en intentos excesivos de exfiltrar datos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de exfiltración de datos potencial se activa cuando un usuario de Citrix Receiver intenta descargar o transferir archivos a una unidad o impresora. Estos datos pueden ser un evento de descarga de archivos, como descargar un archivo en una unidad local, unidades asignadas o un dispositivo de almacenamiento externo. También pueden ser datos que se exfiltran mediante el portapapeles o mediante la acción de copiar y pegar.

Nota

Las operaciones del portapapeles solo son compatibles con las aplicaciones SaaS.

¿Cuándo se activa el indicador de riesgo potencial de exfiltración de datos?

Se le puede notificar cuando un usuario ha transferido un número excesivo de archivos a una unidad o impresora en un período de tiempo determinado. Este indicador de riesgo también se activa cuando el usuario utiliza la acción copiar y pegar en su equipo local.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo de exfiltración de datos potencial se añade a la cronología de riesgos del usuario.

¿Cómo analizar el Indicador de riesgo potencial de exfiltración de datos?

Considere al usuario Adam Maxwell, que ha iniciado sesión en una sesión e intenta imprimir archivos que superen el límite predefinido. Con esta acción, Adam Maxwell había excedido su comportamiento normal de transferencia de archivos basado en algoritmos de aprendizaje automático.

En la cronología de Adam Maxwell, puede seleccionar el indicador de riesgo de exfiltración de datos potencial . El motivo del evento se muestra junto con los detalles como los archivos transferidos y el dispositivo utilizado para transferir el archivo.

Para ver el indicador de riesgo de exfiltración de datos potencial informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Exfiltración potencial de datos

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento potencial de exfiltración de datos. Puede ver el número de eventos de exfiltración de datos durante un período de tiempo específico.

    Exfiltración potencial de datos lo que sucedió

  • En la sección DETALLES DE EVENTO, los intentos de exfiltración de datos aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se produjo el evento de exfiltración de datos.

    • Archivos. El archivo que se descargó, imprimió o copió.

    • Tipo de archivo. El tipo de archivo que se descargó, imprimió o copió.

      Nota

      El nombre del archivo impreso solo está disponible en el evento de impresión de aplicaciones SaaS.

    • Acción. Los tipos de evento de exfiltración de datos que se realizó: impresión, descarga o copia.

    • Dispositivos. El dispositivo utilizado.

    • Tamaño: El tamaño del archivo que se está exfiltrando.

    • Localización. La ciudad desde la que el usuario intenta exfiltrar datos.

      Detalles del evento de exfiltración de datos potenciales

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • El número de archivos que se han exfiltrado.

    • Las acciones realizadas.

    • Las aplicaciones utilizadas.

    • Dispositivo utilizado por el usuario.

      Información contextual adicional de exfiltración de datos potencial

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede comenzar a registrar las actividades del usuario de futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps and Desktops 7.18 o una versión superior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Virtual Apps and Desktops