Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Virtual Apps and Desktops

Acceso desde una ubicación inusual

Citrix Analytics detecta amenazas basadas en el acceso basándose en inicios de sesión inusuales de Citrix Workspace y activa el indicador de riesgo correspondiente.

¿Cuándo se activa el indicador de riesgo de acceso desde una ubicación inusual?

Recibirás una notificación cuando un usuario de su organización inicia sesión desde una ubicación inusual. La ubicación se determina a partir de la dirección IP del dispositivo del usuario. Citrix Workspace detecta estos eventos de usuario y los informa a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una ciudad nueva que se encuentra anómalo lejos de cualquier ubicación de inicio de sesión anterior. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad entre todos los usuarios de la organización. En todos los casos, el historial de ubicación del usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

El indicador de riesgo de acceso desde una ubicación inusual se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el acceso desde un indicador de riesgo de ubicación inusual?

Considere el usuario Adam Maxwell que inicia sesión desde San José, EE.UU. por primera vez. Su ubicación habitual de inicio de sesión es Alaska, EE. UU. Citrix Workspace informa de estos eventos de inicio de sesión a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Adam Maxwell. El acceso desde un indicador de riesgo de ubicación inusual se activa y se agrega a la cronología de riesgo de Adam Maxwell.

Desde la línea de tiempo de riesgo de Adam Maxwell, puede seleccionar el acceso informado de un indicador de riesgo de ubicación inusual. El motivo del evento se muestra junto con detalles como la hora del evento y la ubicación de inicio de sesión.

Para ver el indicador de riesgo de ubicación inusual de acceso notificado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Ubicación inusual

  • QUÉ SUCEDIÓ: Proporciona un breve resumen que incluye el número de intentos de inicio de sesión, ubicación inusual y hora del evento.

    Qué ocurrió

  • Ubicaciones de INICIO DE SESIÓN: Muestra una vista de mapa geográfico de las ubicaciones de inicio de sesión habituales e inusuales del usuario. Los datos de ubicación habituales son de los últimos 30 días. Puede pasar el cursor sobre los punteros del mapa para ver los detalles exactos de cada ubicación.

    Iniciar sesión

  • Ubicación habitual: Últimos 30 días: muestra una vista de gráfico circular de las seis ubicaciones de inicio de sesión habituales principales desde donde el usuario ha iniciado sesión, durante los últimos 30 días.

    Ubicación inusual

  • Detalles del evento de ubicación inusual: proporciona una visualización de línea de tiempo del evento de inicio de sesión inusual que se produjo para el usuario. Además, esta tabla proporciona la siguiente información sobre el evento de inicio de sesión inusual:

    • Fecha y hora. Fecha y hora del evento de ubicación de inicio de sesión inusual.

    • IP del cliente. Dirección IP del dispositivo cliente.

    • Sistema operativo del dispositivo. Sistema operativo del dispositivo mediante el cual el usuario ha iniciado sesión en la ubicación inusual.

    • Explorador del dispositivo. Explorador web con el que el usuario ha iniciado sesión en la aplicación.

    • Tipo de evento. Indica si la actividad del usuario es inicio de sesión o inicio de sesión de cuenta. El evento de inicio de sesión de cuenta se desencadena cuando la autenticación de un usuario en su cuenta se realiza correctamente. Mientras que el evento de inicio de sesión se activa cuando un usuario introduce su credencial e inicia sesión en su aplicación o sesión de escritorio.

      Detalles del evento

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps and Desktops 7.18 o posterior, el administrador puede iniciar y detener la grabación dinámicamente de la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, vaya al perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Acceso por primera vez desde un dispositivo nuevo

Citrix Analytics detecta las amenazas de acceso basadas en el acceso por primera vez desde un dispositivo nuevo y activa el indicador de riesgo correspondiente.

El primer acceso desde el indicador de riesgo de dispositivo nuevo se activa cuando un usuario de Citrix Workspace inicia sesión desde un dispositivo después de un mínimo de 90 días. Este indicador de riesgo se activa porque Citrix Receiver no tiene registros de inicio de sesión para el usuario desde este dispositivo nuevo o desconocido durante los últimos 90 días.

¿Cuándo se activa el indicador de riesgo del dispositivo por primera vez?

El indicador de riesgo del dispositivo por primera vez se notifica cuando un usuario inicia sesión desde un dispositivo después de 90 días.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El primer acceso desde el indicador de riesgo del dispositivo nuevo se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el primer acceso desde el nuevo indicador de riesgo del dispositivo?

Considere el usuario Adam Maxwell, que ha iniciado sesión en una sesión a través de Citrix Receiver desde un dispositivo que el usuario no ha utilizado en los últimos 90 días.

Desde la línea de tiempo de Adam Maxwell, puede seleccionar el acceso por primera vez desde el nuevo indicador de riesgo del dispositivo. Se muestra el motivo del acceso desde la alerta del nuevo dispositivo junto con detalles como la hora del evento y el ID del dispositivo.

Para ver el indicador de riesgo de acceso por primera vez desde un nuevo dispositivo informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Acceso por primera vez desde un dispositivo nuevo

  • En la sección LO QUE OCURRIÓ, puede ver el resumen del acceso por primera vez desde un nuevo evento de dispositivo. Puede ver el número de instancias de inicio de sesión que se han producido desde un dispositivo nuevo y la hora en que se produjo el evento.

    Acceso por primera vez desde el nuevo dispositivo lo que sucedió

  • En la sección DETALLES DEL EVENTO, los eventos de acceso procedentes de un nuevo dispositivo aparecen en formato tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • El tiempo. Hora en que se produjo la instancia de inicio de sesión.

    • Tipo de receptor. El tipo de Citrix Receiver utilizado, como Windows y Mac.

    • ID del dispositivo. La dirección IP del dispositivo que se utiliza para iniciar sesión.

      Acceso desde nuevos detalles de eventos de dispositivo

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps and Desktops 7.18 o posterior, el administrador puede iniciar y detener la grabación dinámicamente de la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acciones, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Exfiltración potencial de datos

Citrix Analytics detecta amenazas de datos basadas en intentos excesivos de exfiltrar datos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de exfiltración de datos potencial se activa cuando un usuario de Citrix Receiver intenta descargar o transferir archivos a una unidad o impresora. Estos datos pueden ser un evento de descarga de archivos, como descargar un archivo en una unidad local, unidades asignadas o un dispositivo de almacenamiento externo. También pueden ser datos que se exfiltran mediante el portapapeles o mediante la acción de copiar y pegar.

Nota

Las operaciones del portapapeles solo son compatibles con las aplicaciones SaaS.

¿Cuándo se activa el indicador de riesgo potencial de exfiltración de datos?

Se le puede notificar cuando un usuario ha transferido un número excesivo de archivos a una unidad o impresora en un período de tiempo determinado. Este indicador de riesgo también se activa cuando el usuario utiliza la acción copiar y pegar en su equipo local.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo potencial de exfiltración de datos se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el Indicador de riesgo potencial de exfiltración de datos?

Considere al usuario Adam Maxwell, que ha iniciado sesión en una sesión e intenta imprimir archivos que superen el límite predefinido. Con esta acción, Adam Maxwell había excedido su comportamiento normal de transferencia de archivos basado en algoritmos de aprendizaje automático.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de exfiltración de datos potenciales. El motivo del evento se muestra junto con los detalles como los archivos transferidos y el dispositivo utilizado para transferir el archivo.

Para ver el indicador de riesgo de exfiltración de datos potencial informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Exfiltración potencial de datos

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento potencial de exfiltración de datos. Puede ver el número de eventos de exfiltración de datos durante un período de tiempo específico.

    Exfiltración potencial de datos lo que sucedió

  • En la sección DETALLES DE EVENTO, los intentos de exfiltración de datos aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • El tiempo. Hora en que se produjo el evento de exfiltración de datos.

    • Archivos. El archivo que se descargó, imprimió o copió.

    • Tipo de archivo. El tipo de archivo que se descargó, imprimió o copió.

      Nota

      El nombre del archivo impreso solo está disponible en el evento de impresión de aplicaciones SaaS.

    • Acción. Los tipos de evento de exfiltración de datos que se realizó: impresión, descarga o copia.

    • Dispositivos. El dispositivo utilizado.

    • Tamaño: El tamaño del archivo que se está exfiltrando.

    • Localización. La ciudad desde la que el usuario intenta exfiltrar los datos.

      Detalles del evento de exfiltración de datos potenciales

  • La sección INFORMACIÓN contextual ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • El número de archivos que se han exfiltrado.

    • Las acciones realizadas.

    • Las aplicaciones utilizadas.

    • Dispositivo utilizado por el usuario.

      Información contextual adicional de exfiltración de datos potencial

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Nota

Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otras fuentes de datos.

Indicadores de riesgo de Citrix Virtual Apps and Desktops