Citrix Analytics for Security

Indicadores de riesgo de Citrix Virtual Apps and Desktops

Exfiltración potencial de datos

Citrix Analytics detecta amenazas a los datos basándose en intentos excesivos de filtración de datos y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado con el indicador de riesgo potencial de exfiltración de datos son los indicadores de riesgo basados en datos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

El indicador de riesgo potencial de filtración de datos se activa cuando un usuario de Citrix Receiver intenta descargar o transferir archivos a una unidad o impresora. Estos datos pueden ser un evento de descarga de archivos, como descargar un archivo en una unidad local, unidades asignadas o un dispositivo de almacenamiento externo. También pueden ser datos que se filtran mediante el portapapeles o mediante la acción copiar y pegar.

Nota

Las operaciones del portapapeles solo son compatibles con las aplicaciones SaaS.

¿Cuándo se activa el indicador de riesgo potencial de exfiltración de datos?

Se le puede notificar cuando un usuario ha transferido un número excesivo de archivos a una unidad o impresora en un período de tiempo determinado. Este indicador de riesgo también se activa cuando el usuario utiliza la acción copiar y pegar en su equipo local.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo potencial de exfiltración de datos se agrega al cronograma de riesgo del usuario.

¿Cómo analizar el Indicador de riesgo potencial de exfiltración de datos?

Piense en el usuario Adam Maxwell, que ha iniciado sesión en una sesión e intenta imprimir archivos que superan el límite predefinido. Con esta acción, Adam Maxwell había excedido su comportamiento normal de transferencia de archivos basado en algoritmos de aprendizaje automático.

En el cronograma de Adam Maxwell, puede seleccionar el indicador de riesgo potencial de exfiltración de datos . El motivo del evento se muestra junto con los detalles como los archivos transferidos y el dispositivo utilizado para transferir el archivo.

Para ver el indicador de riesgo potencial de exfiltración de datos notificado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Exfiltración potencial de datos

  • En la sección QUÉ PASÓ, puede ver el resumen del posible evento de filtración de datos. Puede ver el número de eventos de exfiltración de datos durante un período de tiempo específico.

    Exfiltración potencial de datos: ¿qué pasó?

  • En la sección DETALLES DEL EVENTO, los intentos de exfiltración de datos aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se produjo el evento de exfiltración de datos.

    • Archivos. El archivo que se descargó, imprimió o copió.

    • Tipo de archivo. Tipo de archivo descargado, impreso o copiado.

      Nota

      El nombre del archivo impreso solo está disponible en el evento de impresión de aplicaciones SaaS.

    • Acción. Los tipos de sucesos de filtración de datos que se realizaron: impresión, descarga o copia.

    • Dispositivos. El dispositivo utilizado.

    • Talla Tamaño del archivo que se va a filtrar.

    • Localización. La ciudad desde la que el usuario intenta exfiltrar datos.

      Detalles del evento de exfiltración de datos potenciales

  • En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • El número de archivos que se han exfiltrado.

    • Las acciones realizadas.

    • Las aplicaciones utilizadas.

    • Dispositivo utilizado por el usuario.

      Exfiltración potencial de datos información contextual adicional

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando se desactiva la sesión de un usuario de su cuenta, no puede acceder al recurso a través de escritorios virtuales.

  • Inicie la grabación de la sesión. Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario utiliza Virtual Apps and Desktops 7.18 o una versión posterior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Inicio de sesión sospechoso

Citrix Analytics detecta los inicios de sesión del usuario que parecen inusuales o riesgosos en función de varios factores contextuales, definidos conjuntamente por el dispositivo, la ubicación y la red que utiliza el usuario.

¿Cuándo se activa el indicador de riesgo de inicio de sesión sospechoso?

El indicador de riesgo se activa mediante la combinación de los siguientes factores, en los que cada factor se considera potencialmente sospechoso en función de una o más condiciones.

Factor Condiciones
Dispositivo inusual El usuario inicia sesión desde un dispositivo que no se ha utilizado en los últimos 30 días.
  El usuario inicia sesión desde un dispositivo que no administra el servidor Citrix Virtual Apps and Desktops.
  El usuario inicia sesión desde un cliente HTML5 o un cliente Chrome en el que la firma del dispositivo no coincide con el historial del usuario.
Ubicación inusual Inicie sesión desde una ciudad o un país en el que el usuario no haya iniciado sesión en los últimos 30 días.
  La ciudad o el país están geográficamente lejos de las ubicaciones de inicio de sesión recientes (últimos 30 días).
  Ninguno o un mínimo de usuarios han iniciado sesión desde la ciudad o el país en los últimos 30 días.
Red inusual Inicie sesión desde una dirección IP que el usuario no ha utilizado en los últimos 30 días.
  Inicie sesión desde una subred IP que el usuario no ha utilizado en los últimos 30 días.
  Ningún usuario o mínimo ha iniciado sesión desde la subred IP en los últimos 30 días.
Amenaza IP La dirección IP se identifica como de alto riesgo por el feed de inteligencia de amenazas de la comunidad: Webroot.
  Citrix Analytics ha detectado recientemente actividades de inicio de sesión muy sospechosas desde la dirección IP de otros usuarios.

Cómo analizar el indicador de riesgo de inicio de sesión sospechoso

Piense en el usuario Adam Maxwell, que inicia sesión desde Mumbai, India por primera vez. Utiliza un dispositivo nuevo o un dispositivo que no se ha utilizado durante los últimos 30 días para iniciar sesión en Citrix Virtual Apps and Desktops y conectarse a una nueva red. Citrix Analytics detecta este evento de inicio de sesión como sospechoso porque los factores: ubicación, dispositivo y red se desvían de su comportamiento habitual y desencadena el indicador de riesgo de inicio de sesión sospechoso . El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver el tiempo de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios arriesgados, seleccione el usuario Adam Maxwell.

En el cronograma de riesgos de Adam Maxwell, seleccione el indicador Riesgo de inicio de sesión sospechoso. Puede ver la siguiente información:

  • QUÉ SUCEDIÓ: Proporciona un breve resumen de las actividades sospechosas que incluyen los factores de riesgo y el momento del evento.

    Inicio de sesión sospechoso: qué sucedió

  • DETALLES DE INICIO DE SESIÓN: Proporciona un resumen detallado de las actividades sospechosas correspondientes a cada factor de riesgo. A cada factor de riesgo se le asigna una puntuación que indica el nivel de sospecha. Un factor de riesgo único no indica un riesgo elevado por parte de un usuario. El riesgo global se basa en la correlación de los múltiples factores de riesgo.

    Nivel de sospecha Indicación
    0–69 El factor parece normal y no se considera sospechoso.
    70–89 El factor parece un poco inusual y se considera moderadamente sospechoso con otros factores.
    90–100 El factor es totalmente nuevo o inusual y se considera altamente sospechoso con otros factores.

    Detalles de inicio de sesión sospechosos

  • UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS: Muestra una vista de mapa geográfico de las últimas ubicaciones conocidas y la ubicación actual del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.

    Ubicación de inicio de sesión sospechosa

  • INICIO DESESIÓN SOSPECHOSO: DETALLES DEL EVENTO: La tabla de detalles del evento proporciona la siguiente información sobre el suceso de inicio de sesión sospechoso:

    • Hora: indica la fecha y la hora del inicio de sesión sospechoso.

    • Tipo de inicio de sesión: indica si la actividad del usuario es el inicio de sesión o el inicio de sesión de la cuenta. El evento de inicio de sesión de cuenta se desencadena cuando la autenticación de un usuario en su cuenta se realiza correctamente. Mientras que el evento de inicio de sesión se activa cuando un usuario introduce su credencial e inicia sesión en su aplicación o sesión de escritorio.

    • Tipo de cliente: indica el tipo de aplicación Citrix Workspace instalada en el dispositivo del usuario. Según el sistema operativo del dispositivo del usuario, el tipo de cliente puede ser Android, iOS, Windows, Linux, Mac, etc.

    • SO: indica el sistema operativo del dispositivo del usuario.

    • Explorador: indica el explorador web que se utiliza para acceder a la aplicación.

    • Ubicación: indica la ubicación desde la que el usuario ha iniciado sesión.

    • IP del cliente: indica la dirección IP del dispositivo del usuario.

    • Dispositivo: indica el nombre del dispositivo del usuario.

      Detalles de sucesos de inicio de sesión sospechosos

¿Qué acciones puede aplicar a los usuarios?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar a los administradores. Cuando se produce alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud. También puede seleccionar los administradores que reciben notificaciones sobre la actividad del usuario.

  • Cierre la sesión del usuario. Cuando se desactiva la sesión de un usuario de su cuenta, no puede acceder al recurso a través de escritorios virtuales.

  • Inicie la grabación de la sesión. Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario utiliza Virtual Apps and Desktops 7.18 o una versión posterior, el administrador puede iniciar y dejar de grabar dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Virtual Apps and Desktops