Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS
Trayecto imposible
Citrix Analytics detecta los inicios de sesión de un usuario como arriesgados cuando los inicios de sesión consecutivos proceden de dos países diferentes dentro de un período de tiempo inferior al tiempo de trayecto esperado entre los países.
El caso de tiempo de trayecto imposible indica estos riesgos:
-
Credenciales en riesgo: Un atacante remoto roba las credenciales de un usuario legítimo.
-
Credenciales compartidas: Diferentes usuarios utilizan las mismas credenciales de usuario.
¿Cuándo se activa el indicador de riesgo de trayecto imposible?
El indicador de riesgo de trayecto imposible evalúa el tiempo y la distancia estimada entre cada par de inicios de sesión de usuario consecutivos y se activa cuando la distancia es mayor de lo que una persona individual puede recorrer en ese período de tiempo.
Nota
Este indicador de riesgo también contiene una lógica para reducir las alertas de falsos positivos en las siguientes situaciones que no reflejan las ubicaciones reales de los usuarios:
- Cuando los usuarios inician sesión en aplicaciones y escritorios virtuales desde conexiones proxy.
- Cuando los usuarios inician sesión en aplicaciones y escritorios virtuales desde clientes alojados.
Cómo analizar el indicador de riesgo imposible
Considere al usuario Adam Maxwell, que inicia sesión desde dos ubicaciones, Moscú (Rusia) y Hohhot (China), en un tiempo de un minuto. Citrix Analytics detecta este evento de inicio de sesión como un caso de trayecto imposible y activa el indicador de riesgo de trayecto imposible. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.
Para ver el cronograma de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.
En la cronología de riesgo de Adam Maxwell, seleccione el indicador de riesgo de trayecto imposible. Puede ver la siguiente información:
-
La sección QUÉ HA OCURRIDO ofrece un breve resumen del evento de trayecto imposible.
-
La sección DETALLES DEL INDICADOR proporciona las ubicaciones desde las que el usuario ha iniciado sesión, el tiempo transcurrido entre los inicios de sesión consecutivos y la distancia entre las dos ubicaciones.
-
La sección UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las ubicaciones de trayecto imposible y las ubicaciones conocidas del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.
-
La sección TRAYECTO IMPOSIBLE: DETALLES DEL EVENTO proporciona la siguiente información sobre el evento de trayecto imposible:
- Fecha y hora: Indica la fecha y la hora de los inicios de sesión.
- IP del cliente: indica la dirección IP del dispositivo del usuario.
- Ubicación: indica la ubicación desde la que el usuario ha iniciado sesión.
- Dispositivo: indica el nombre del dispositivo del usuario.
- Tipo de inicio de sesión: indica si la actividad del usuario es el inicio de sesión o el inicio de sesión de la cuenta. El evento de inicio de sesión de la cuenta se activa cuando la autenticación de un usuario en su cuenta se realiza correctamente. Mientras que el evento de inicio de sesión se activa cuando un usuario introduce su credencial e inicia sesión en su aplicación o sesión de escritorio.
- SO: indica el sistema operativo del dispositivo del usuario.
- Explorador: indica el explorador web que se utiliza para acceder a la aplicación.
¿Qué acciones puede aplicar a los usuarios?
Puede realizar las siguientes acciones en la cuenta del usuario:
- Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.
- Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los administradores seleccionados.
- Cierre la sesión del usuario. Cuando se desactiva la sesión de un usuario de su cuenta, no puede acceder al recurso a través de escritorios virtuales.
- Inicie la grabación de la sesión. Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario está en Citrix Virtual Apps and Desktops 7.18 o posterior, el administrador puede iniciar y detener dinámicamente la grabación de la sesión de inicio de sesión actual del usuario.
Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.
Para aplicar las acciones al usuario manualmente, vaya al perfil del usuario y seleccione el indicador de riesgo correspondiente. En el menú Acción, seleccione una acción y haga clic en Aplicar.
Nota
Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.
Exfiltración potencial de datos
Citrix Analytics detecta amenazas a los datos basándose en intentos excesivos de filtración de datos y activa el indicador de riesgo correspondiente.
El factor de riesgo asociado con el indicador de riesgo potencial de exfiltración de datos son los indicadores de riesgo basados en datos. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.
El indicador de riesgo potencial de filtración de datos se activa cuando un usuario de Citrix Receiver intenta descargar o transferir archivos a una unidad o impresora. Estos datos pueden ser un evento de descarga de archivos, como descargar un archivo en una unidad local, unidades asignadas o un dispositivo de almacenamiento externo. Los datos también se pueden exfiltrar mediante el portapapeles o mediante la acción de copiar y pegar.
Nota
Las operaciones del portapapeles solo son compatibles con las aplicaciones SaaS.
¿Cuándo se activa el indicador de riesgo potencial de exfiltración de datos?
Se le puede notificar cuando un usuario ha transferido un número excesivo de archivos a una unidad o impresora en un período de tiempo determinado. Este indicador de riesgo también se activa cuando el usuario utiliza la acción copiar y pegar en su equipo local.
Cuando Citrix Receiver detecta este comportamiento, Citrix Analytics recibe este evento y asigna una puntuación de riesgo al usuario respectivo. El indicador de riesgo potencial de exfiltración de datos se agrega al cronograma de riesgo del usuario.
¿Cómo analizar el Indicador de riesgo potencial de exfiltración de datos?
Piense en el usuario Adam Maxwell, que ha iniciado sesión en una sesión e intenta imprimir archivos que superan el límite predefinido. Con esta acción, Adam Maxwell había excedido su comportamiento normal de transferencia de archivos basado en algoritmos de aprendizaje automático.
En el cronograma de Adam Maxwell, puede seleccionar el indicador de riesgo potencial de exfiltración de datos. El motivo del evento se muestra junto con los detalles como los archivos transferidos y el dispositivo utilizado para transferir el archivo.
Para ver el indicador de riesgo potencial de exfiltración de datos notificado para un usuario, vaya a Seguridad > Usuariosy seleccione el usuario.
-
En la sección QUÉ PASÓ, puede ver el resumen del posible evento de filtración de datos. Puede ver el número de eventos de exfiltración de datos durante un período de tiempo específico.
-
En la sección DETALLES DEL EVENTO, los intentos de exfiltración de datos aparecen en formato gráfico y tabular. Los eventos aparecen como entradas individuales en el gráfico y la tabla proporciona la siguiente información clave:
-
Tiempo. Hora en que se produjo el evento de exfiltración de datos.
-
Archivos. El archivo que se descargó, imprimió o copió.
-
Tipo de archivo. Tipo de archivo descargado, impreso o copiado.
Nota
El nombre del archivo impreso solo está disponible en el evento de impresión de aplicaciones SaaS.
-
Acción. Los tipos de sucesos de filtración de datos que se realizaron: impresión, descarga o copia.
-
Dispositivos. El dispositivo utilizado.
-
Talla El tamaño del archivo que se exfiltra.
-
Localización. La ciudad desde la que el usuario intenta exfiltrar datos.
-
-
En la sección INFORMACIÓN CONTEXTUAL ADICIONAL, durante la ocurrencia del evento, puede ver lo siguiente:
-
La cantidad de archivos que se han filtrado.
-
Las acciones realizadas.
-
Las aplicaciones utilizadas.
-
Dispositivo utilizado por el usuario.
-
¿Qué acciones puede aplicar al usuario?
Puede realizar las siguientes acciones en la cuenta del usuario:
-
Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.
-
Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.
-
Cierre la sesión del usuario. Cuando se desactiva la sesión de un usuario de su cuenta, no puede acceder al recurso a través de escritorios virtuales.
-
Inicie la grabación de la sesión. Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario tiene la versión 7.18 de Citrix Virtual Apps and Desktops o una posterior, el administrador puede iniciar y detener la grabación de la sesión de inicio de sesión actual del usuario de forma dinámica.
Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.
Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.
Nota
Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.
Inicio de sesión sospechoso
Citrix Analytics detecta los inicios de sesión del usuario que parecen inusuales o con riesgos en función de varios factores contextuales, definidos conjuntamente por el dispositivo, la ubicación y la red que utiliza el usuario.
¿Cuándo se activa el indicador de riesgo de inicio de sesión sospechoso?
El indicador de riesgo se activa mediante la combinación de los siguientes factores, en los que cada factor se considera potencialmente sospechoso en función de una o más condiciones.
| Factor | Condiciones |
|---|---|
| Dispositivo inusual | El usuario inicia sesión desde un dispositivo que no se ha utilizado en los últimos 30 días. |
| El usuario inicia sesión desde un cliente HTML5 o un cliente Chrome en el que la firma del dispositivo no coincide con el historial del usuario. | |
| Ubicación inusual | Inicie sesión desde una ciudad o un país en el que el usuario no haya iniciado sesión en los últimos 30 días. |
| La ciudad o el país están geográficamente lejos de las ubicaciones de inicio de sesión recientes (últimos 30 días). | |
| Ninguno o un mínimo de usuarios han iniciado sesión desde la ciudad o el país en los últimos 30 días. | |
| Red inusual | Inicie sesión desde una dirección IP que el usuario no ha utilizado en los últimos 30 días. |
| Inicie sesión desde una subred IP que el usuario no ha utilizado en los últimos 30 días. | |
| Ningún usuario o mínimo ha iniciado sesión desde la subred IP en los últimos 30 días. | |
| Amenaza IP | La dirección IP se identifica como de alto riesgo por el feed de inteligencia de amenazas de la comunidad: Webroot. |
| Citrix Analytics ha detectado recientemente actividades de inicio de sesión muy sospechosas desde la dirección IP de otros usuarios. | |
Cómo analizar el indicador de riesgo de inicio de sesión sospechoso
Piense en el usuario Adam Maxwell, que inicia sesión desde Mumbai, India por primera vez. Usa un dispositivo nuevo o un dispositivo que no se usó durante los últimos 30 días para iniciar sesión en Citrix Virtual Apps and Desktops y conectarse a una red nueva. Citrix Analytics detecta este evento de inicio de sesión como sospechoso porque los factores: ubicación, dispositivo y red se desvían de su comportamiento habitual y desencadena el indicador de riesgo de inicio de sesión sospechoso. El indicador de riesgo se agrega al cronograma de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.
Para ver el tiempo de riesgo de Adam Maxwell, seleccione Seguridad > Usuarios. En el panel Usuarios con riesgos, seleccione el usuario Adam Maxwell.
En la línea de tiempo de riesgo de Adam Maxwell, seleccione el indicador de riesgo de inicio de sesión sospechoso. Puede ver la siguiente información:
-
La sección QUÉ SUCEDIÓ proporciona un breve resumen de las actividades sospechosas que incluyen los factores de riesgo y el momento del evento.
-
En la sección ACCIÓN RECOMENDADA, encontrará las acciones sugeridas que se pueden aplicar en el indicador de riesgo. Citrix Analytics for Security recomienda las acciones en función de la gravedad del riesgo que presente el usuario. La recomendación puede ser una o una combinación de las siguientes acciones:
-
Notificar a los administradores
-
Agregar a la lista de seguimiento
-
Crear una directiva
Puede seleccionar una acción en función de la recomendación. O puede seleccionar una acción que quiera aplicar en función de su elección en el menú Acciones. Para obtener más información, consulte Aplicar una acción manualmente.
-
-
La sección DETALLES DE INICIO DE SESIÓN proporciona un resumen detallado de las actividades sospechosas correspondientes a cada factor de riesgo. A cada factor de riesgo se le asigna una puntuación que indica el nivel de sospecha. Un factor de riesgo único no indica un riesgo elevado por parte de un usuario. El riesgo global se basa en la correlación de los múltiples factores de riesgo.
Nivel de sospecha Indicación 0–69 El factor parece normal y no se considera sospechoso. 70–89 El factor parece un poco inusual y se considera moderadamente sospechoso con otros factores. 90–100 El factor es totalmente nuevo o inusual y se considera altamente sospechoso con otros factores. 
-
La sección UBICACIÓN DE INICIO DE SESIÓN: ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las últimas ubicaciones conocidas y la ubicación actual del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puede pasar el ratón por encima de los punteros del mapa para ver el total de inicios de sesión de cada ubicación.
-
La sección DETALLES DEL EVENTO DE INICIO DE SESIÓN SOSPECHOSO proporciona la siguiente información sobre el evento de inicio de sesión sospechoso:
-
Hora: indica la fecha y la hora del inicio de sesión sospechoso.
-
Tipo de inicio de sesión: indica si la actividad del usuario es el inicio de sesión o el inicio de sesión de la cuenta. El evento de inicio de sesión de cuenta se desencadena cuando la autenticación de un usuario en su cuenta se realiza correctamente. Mientras que el evento de inicio de sesión se activa cuando un usuario introduce su credencial e inicia sesión en su aplicación o sesión de escritorio.
-
Tipo de cliente: indica el tipo de aplicación Citrix Workspace instalada en el dispositivo del usuario. Según el sistema operativo del dispositivo del usuario, el tipo de cliente puede ser Android, iOS, Windows, Linux, Mac, etc.
-
SO: indica el sistema operativo del dispositivo del usuario.
-
Explorador: indica el explorador web que se utiliza para acceder a la aplicación.
-
Ubicación: indica la ubicación desde la que el usuario ha iniciado sesión.
-
IP del cliente: indica la dirección IP del dispositivo del usuario.
-
Dispositivo: indica el nombre del dispositivo del usuario.
-
¿Qué acciones puede aplicar a los usuarios?
Puede realizar las siguientes acciones en la cuenta del usuario:
-
Agregar a la lista de seguimiento. Cuando quiera supervisar a un usuario en busca de futuras amenazas potenciales, puede agregarlas a una lista de seguimiento.
-
Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.
-
Cierre la sesión del usuario. Cuando se desactiva la sesión de un usuario de su cuenta, no puede acceder al recurso a través de escritorios virtuales.
-
Inicie la grabación de la sesión. Si se produce un evento inusual en la cuenta de escritorios virtuales del usuario, el administrador puede empezar a registrar las actividades del usuario en futuras sesiones de inicio de sesión. Sin embargo, si el usuario tiene la versión 7.18 de Citrix Virtual Apps and Desktops o una posterior, el administrador puede iniciar y detener la grabación de la sesión de inicio de sesión actual del usuario de forma dinámica.
Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulte Directivas y acciones.
Para aplicar las acciones al usuario manualmente, desplácese hasta el perfil del usuario y seleccione el indicador de riesgo adecuado. En el menú Acción, seleccione una acción y haga clic en Aplicar.
Nota
Independientemente del origen de datos que desencadena un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.