Citrix Analytics para seguridad

Indicadores de riesgo de Citrix Virtual Apps and Desktops

Acceso por primera vez desde un dispositivo nuevo

Citrix Analytics detecta las amenazas de acceso basadas en el acceso por primera vez desde un dispositivo nuevo y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso por primera vez desde un dispositivo nuevo se activa cuando un usuario de Citrix Workspace inicia sesión desde un dispositivo después de un mínimo de 90 días. Esto se debe a que Citrix Receiver no tiene registros de inicio de sesión para el usuario desde este dispositivo nuevo o desconocido durante los últimos 90 días.

¿Cuándo se activa el indicador de riesgo del dispositivo por primera vez?

El indicador de riesgo de acceso por primera vez desde un dispositivo nuevo se informa cuando un usuario inicia sesión desde un dispositivo después de 90 días.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo de acceso por primera vez desde el nuevo dispositivo se agrega a la línea de tiempo de riesgo del usuario y se muestra una alerta en el panel Alertas.

¿Cómo analizar el acceso desde el nuevo indicador de riesgo del dispositivo?

Considere al usuario Adam Maxwell, que ha iniciado sesión a través de Citrix Receiver desde un dispositivo que el usuario no ha utilizado durante los últimos 90 días.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo del dispositivo de acceso por primera vez informado. Se muestra el motivo del acceso desde la alerta de dispositivo nuevo junto con detalles como la hora del evento, el ID del dispositivo, etc.

Para ver el indicador de riesgo de acceso por primera vez desde un nuevo dispositivo informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Acceso por primera vez desde un dispositivo nuevo

  • La sección QUÉ HA OCURRIDO, puede ver el resumen del acceso por primera vez desde el nuevo evento de dispositivo. Puede ver el número de instancias de inicio de sesión que se han producido desde un dispositivo nuevo y la hora en que se produjo el evento.

Acceso por primera vez desde el nuevo dispositivo lo que sucedió

  • En la sección DETALLES DE EVENTOS, los eventos de acceso procedentes del nuevo dispositivo aparecen en formato tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • Hora. Hora en que se produjo la instancia de inicio de sesión.

    • Tipo de receptor. El tipo de Citrix Receiver utilizado, como Windows, Mac, etc.

    • ID del dispositivo. La dirección IP del dispositivo que se utiliza para iniciar sesión.

    Acceso desde nuevos detalles de eventos de dispositivo

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Exfiltración potencial de datos

Citrix Analytics detecta amenazas de datos basadas en intentos excesivos de exfiltrar datos y activa el indicador de riesgo correspondiente.

El indicador de riesgo de exfiltración de datos potencial se activa cuando un usuario de Citrix Receiver intenta descargar o transferir archivos a una unidad o impresora. Estos datos pueden ser un evento de descarga de archivos, como descargar un archivo a una unidad local, unidades asignadas, a un dispositivo de almacenamiento externo, etc. También pueden ser datos que se exfiltran mediante el portapapeles o mediante la acción copiar y pegar.

¿Cuándo se activa el indicador de riesgo de exfiltración de datos potencial?

Se le puede notificar cuando un usuario ha transferido un número excesivo de archivos a una unidad o impresora en un período de tiempo determinado. Este indicador de riesgo también se activa cuando el usuario utiliza la acción copiar y pegar en su equipo local.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo de exfiltración de datos potencial se agrega a la línea de tiempo de riesgo del usuario y se muestra una alerta en el panel Alertas.

¿Cómo analizar el potencial indicador de riesgo de exfiltración de datos?

Considere al usuario Adam Maxwell, que ha iniciado sesión en una sesión e intenta imprimir archivos que superen el límite predefinido. Con esta acción, Adam Maxwell había excedido su comportamiento normal de transferencia de archivos basado en algoritmos de aprendizaje automático.

En la línea de tiempo de Adam Maxwell, puede seleccionar el indicador de riesgo de exfiltración de datos potenciales. El motivo del evento se muestra junto con los detalles como los archivos transferidos, el dispositivo utilizado para transferir el archivo, etc.

Para ver el indicador de riesgo de exfiltración de datos potencial informado para un usuario, vaya a Seguridad > Usuarios y seleccione el usuario.

Exfiltración potencial de datos

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento potencial de exfiltración de datos. Puede ver el número de eventos de exfiltración de datos durante un período de tiempo específico.

Exfiltración potencial de datos lo que sucedió

  • En la sección DETALLES DE EVENTO, los intentos de exfiltración de datos aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:

    • Hora. Hora en que se produjo el evento de exfiltración de datos.

    • Archivos. El archivo que se descargó, imprimió o copió.

    • Tipo de archivo. El tipo de archivo que se descargó, imprimió o copió.

    • Acción. El tipo de evento de exfiltración de datos que se realizó: imprimir, descargar o copiar.

    • Dispositivos. El dispositivo utilizado.

    • Tamaño: Tamaño del archivo que se está exfiltrando.

    Detalles del evento de exfiltración de datos potenciales

  • La sección INFORMACIÓN contextual ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:

    • El número de archivos exfiltrados.

    • Las acciones realizadas.

    • Las aplicaciones utilizadas.

    • Dispositivo utilizado por el usuario.

    Información contextual adicional de la extracción de datos

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Acceso desde un dispositivo con sistema operativo (SO) no compatible

Citrix Analytics detecta las amenazas de acceso basadas en el acceso de un usuario desde un dispositivo que ejecuta un sistema operativo no compatible y activa el indicador de riesgo correspondiente.

El indicador Acceso desde un dispositivo con riesgo de SO no compatible se activa cuando un usuario de Citrix Receiver inicia sesión desde un sistema operativo (SO) o explorador no compatibles. La alerta se genera en función del conjunto de versiones del sistema operativo y del explorador compatibles con Citrix Receiver.

¿Cuándo se activa el acceso desde un dispositivo con un indicador de riesgo de SO no compatible?

El indicador Acceso desde un dispositivo con un sistema operativo no compatible se informa cuando un usuario inicia sesión desde un dispositivo que ejecuta un sistema operativo o explorador no compatible. Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador Acceso desde un dispositivo con un sistema operativo no compatible se agrega a la línea de tiempo de riesgo del usuario y se muestra una alerta en el panel Alertas.

Nota

Cuando un usuario cambia a otro sistema operativo, pero se conecta a la misma sesión, se conserva el evento de inicio de sesión.

¿Cómo analizar el acceso desde el dispositivo con indicador de riesgo del sistema operativo no compatible?

Tenga en cuenta que el usuario Georgina Kalou ha iniciado sesión en una sesión que se ejecuta en un sistema operativo o explorador no compatible con Citrix Receiver. Citrix Analytics detecta este evento y asigna una puntuación de riesgo a Georgina Kalou. A continuación, se le notificará en el panel Alertas y el indicador Acceso desde el dispositivo con un sistema operativo no compatible se agrega a la línea de tiempo de riesgo del usuario.

En la línea de tiempo de Georgina Kalou, puede seleccionar el indicador de riesgo de acceso desde el dispositivo con sistema operativo no compatible. El motivo del evento se muestra en la pantalla junto con los detalles del evento, como la versión del sistema operativo, la versión del explorador, etc.

Para ver el indicador Acceso desde el dispositivo con riesgo de SO no compatible, vaya a Seguridad > Usuarios y seleccione el usuario.

Acceso desde un dispositivo con SO no compatible

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del indicador de riesgo de acceso desde el dispositivo con sistema operativo no compatible. Puede ver el número de dispositivos con una versión de explorador o sistema operativo no compatible que se utilizan para iniciar Citrix Receiver y la hora en que se produjeron los eventos.

Acceso desde el dispositivo con SO no compatible lo que sucedió

  • La sección DETALLES DEL EVENTO: ACCESO A DISPOSITIVOS, los eventos de acceso a dispositivos no admitidos aparecen en un formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • Hora de lanzamiento. Hora en que se produjo el evento.

    • Receptor. Detalles de la plataforma Receiver.

    • Explorador. Versión del explorador utilizada para el inicio de sesión.

    • SO. Versión del sistema operativo utilizada para iniciar sesión.

    • ID del dispositivo. Información sobre el ID del dispositivo que se utiliza para iniciar sesión en la sesión.

    • Dirección IP. La dirección IP del dispositivo que se utiliza para el inicio de sesión.

    Nota

    Si su dispositivo utiliza un explorador no compatible para el acceso, no podrá ver ningún dato en la columna Dirección IP.

    Acceso desde el dispositivo con detalles de eventos de SO no compatibles

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Tiempo inusual de acceso a la aplicación (Virtual)

Citrix Analytics detecta amenazas de datos basadas en el acceso de un usuario desde una nueva aplicación y activa el indicador de riesgo correspondiente.

El indicador de riesgo de tiempo inusual de acceso a aplicaciones se activa cuando un usuario de Citrix Receiver muestra un comportamiento inusual de uso de aplicaciones. Un comportamiento inusual podría ser el primer lanzamiento de una aplicación HDX durante una hora determinada del día.

¿Cuándo se activa el indicador de riesgo de acceso a la aplicación de tiempo inusual?

El indicador de riesgo de tiempo inusual de acceso a la aplicación se informa cuando el usuario intenta acceder a una aplicación que no ha utilizado anteriormente, teniendo en cuenta la hora del día.

Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo de tiempo inusual de acceso a aplicaciones se agrega a la línea de tiempo de riesgo del usuario y se muestra una alerta en el panel Alertas.

¿Cómo analizar el tiempo inusual de acceso a la aplicación Indicador de riesgo?

Considere al usuario Georgina Kalou, que ha iniciado sesión en una sesión e intenta acceder a una aplicación por primera vez durante las horas no laborables.

En la línea de tiempo de Georgina Kalou, puede seleccionar el indicador de riesgo de tiempo inusual de acceso a la aplicación informado. El motivo del evento se muestra junto con detalles como el nombre de la aplicación, la zona horaria desde la que se accedió, etc.

Para ver el indicador de riesgo de tiempo inusual de acceso a la aplicación informado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.

Tiempo inusual de acceso a la aplicación

  • En la sección QUÉ HA OCURRIDO, puede ver el resumen del evento. Puede ver el número de nuevas aplicaciones a las que se accedió y cuándo se accedió.

Tiempo inusual de acceso a la aplicación lo que sucedió

  • En la sección EVENT DETALLES, el evento se muestra en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave sobre los eventos:

    • Hora. Hora en que se accedió a la aplicación.

    • Nombre de la aplicación. Nombre de la aplicación a la que se ha accedido.

    • Zona horaria. Zona horaria desde la que se accede a la aplicación.

    Tiempo inusual de los detalles del evento de acceso a la aplicación

¿Qué acciones puede aplicar al usuario?

Puede realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.

  • Notificar al administrador. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores de Citrix Cloud.

  • Cierre la sesión del usuario. Cuando un usuario cierra la sesión de su cuenta, no puede acceder al recurso a través de Virtual Desktops.

  • Inicie la grabación de la sesión. Si hay un evento inusual en la cuenta de Virtual Desktops del usuario, el administrador puede comenzar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Virtual Apps y escritorios 7.18 o una versión superior, el administrador puede iniciar y detener dinámicamente la sesión de inicio de sesión actual del usuario.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navegue hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.

Indicadores de riesgo de Citrix Virtual Apps and Desktops