Citrix Analytics for Security

Cronología y perfil de riesgo del usuario

Nota

:CitrixContent Collaboration y ShareFile han llegado al final de su vida útil y ya no están disponibles para los usuarios.

El cronograma de riesgo del usuario en el perfil de un usuario le permite, como administrador de Citrix Analytics, obtener información más detallada sobre el comportamiento de riesgo de un usuario. De forma predeterminada, se muestra el cronograma de riesgo del usuario durante el último mes. También puede ver las acciones correspondientes realizadas en su cuenta durante un período de tiempo seleccionado. Desde el cronograma de riesgos del usuario, puede profundizar en el perfil de un usuario para comprender lo siguiente:

  • Uso de aplicaciones
  • Uso de datos
  • Uso de dispositivos
  • Uso de ubicaciones

Además, puede ver la puntuación de riesgo y las tendencias de los indicadores de riesgo del usuario y determinar si el usuario es un usuario de alto riesgo o no.

Puede ver la puntuación de riesgo más reciente del usuario en la esquina superior izquierda de la página Cronología de riesgos del usuario. Los informes de la vista de resumen de riesgos muestran las puntuaciones máximas más recientes e históricas.

Resumen de riesgos, puntuación de riesgo más reciente

Cuando vas al cronograma de riesgo de un usuario, puede seleccionar un indicador de riesgo o una acción que se haya aplicado a su cuenta. Si elige una de las opciones anteriores, el panel derecho muestra la sección del indicador de riesgo o la sección de acciones.

Cronología del riesgo

Cronología del riesgo

El cronograma de riesgos muestra la siguiente información:

  • Indicadores de riesgo. Los indicadores de riesgo son actividades de usuario sospechosas o que pueden suponer una amenaza para la seguridad de su organización. Los indicadores se activan cuando el comportamiento del usuario se desvía de su comportamiento normal. Los indicadores de riesgo pueden ser de estos orígenes de datos:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops o Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service)

    • Citrix Secure Private Access

    Al seleccionar un indicador de riesgo en el cronograma del usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Puede ver el motivo del indicador de riesgo junto con los detalles del evento. Se clasifican a grandes rasgos en las siguientes secciones:

    Sección de información del cronograma de riesgo

    • Lo que ha pasado. Puede ver un resumen del indicador de riesgo aquí. Por ejemplo, si ha seleccionado el indicador Riesgo excesivo de uso compartido de archivos. En la sección Qué ha pasado, puede ver el número de enlaces compartidos enviados a los destinatarios y cuándo se ha producido el evento de uso compartido.

    • Detalles del evento. Puede ver las entradas de eventos individuales en formato gráfico y tabular junto con los detalles del evento. Haga clic en Búsqueda de eventos para acceder a la página de búsqueda de autoservicio y ver los eventos correspondientes al indicador de riesgo del usuario. Para obtener más información, consulte Búsqueda de autoservicio.

    • Informacióncontextual adicional. Puede ver los datos compartidos, si los hay, durante la ocurrencia de un evento en esta sección.

    Puede marcar manualmente los indicadores de riesgo como útiles o no útiles. Para obtener más información, consulte Proporcionar comentarios sobre los indicadores de riesgo de los usuarios.

    Más información: indicadores de riesgo

  • Acciones. Las acciones ayudan a responder a eventos sospechosos y evitar que se produzcan eventos anómalos en el futuro. Las acciones que se han aplicado al perfil de un usuario se muestran en el cronograma de riesgo. Estas acciones se aplican automáticamente a la cuenta de un usuario mediante directivas configuradas o se puede aplicar una acción específica de forma manual.

    Más información: Directivas y acciones.

    Acciones cronograma de riesgo

  • Eventos de usuario con privilegios. Los eventos de usuario con privilegios se desencadenan cada vez que se produce un cambio en el estado de privilegio de administrador o ejecutivo de un usuario. Cuando se activa un indicador de riesgo para un usuario, puede correlacionarlo con el evento de cambio de estado de privilegios especificado. Si es necesario, puede aplicar la acción adecuada en el perfil de usuario. Los eventos de privilegios de administrador o ejecutivo que se muestran en el cronograma de riesgo del usuario son los siguientes:

    • Agregado al grupo ejecutivo

    • Eliminado del grupo ejecutivo

    • Privilegio elevado a administrador

    • Privilegio de administrador eliminado

    Piense en el usuario Adam Maxwell que se agregó al grupo privilegiado Executive CitrixAnalytics. El evento Agregado al grupo Ejecutivo se agrega al cronograma de riesgo del usuario. Ahora, Adam comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detecta un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Puede comparar el evento y el indicador de riesgo en el cronograma de riesgo. Después de la comparación, puede determinar si el indicador de riesgo se activó como consecuencia del evento. Si es así, puedes aplicar las acciones apropiadas al perfil de Adam. Para obtener más información sobre los usuarios con privilegios, consulte Usuarios con privilegios.

Al seleccionar un evento de la línea de tiempo del usuario, la sección de información del evento se muestra en el panel derecho.

En el caso de un ejecutivo, el panel derecho muestra información como el estado del usuario, la fecha y la hora yel grupo de Active Directory.

Usuarios privilegiados

En el caso de un evento de privilegio de administrador, el panel derecho muestra información como el estado del usuario, la fecha y la horay en el producto.

Resumen de riesgos

Vea los factores de riesgo asociados al usuario que contribuyeron a su puntuación de riesgo. Puede ver los detalles de la puntuación de riesgo tomados como máximos durante el período de tiempo seleccionado, junto con la puntuación más reciente y el recuento de indicadores de riesgo correspondiente. Al acceder a la cronología del usuario desde la página de destino principal o desde la página de usuarios de riesgo, la selección de hora se conserva de la página de origen. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

Resumen de riesgos

Haga clic en Resumen de riesgos para ver la siguiente información:

  • Puntuación de riesgo másreciente: la puntuación de riesgo más reciente indica el riesgo actual del usuario en función de su comportamiento reciente. La puntuación de riesgo determina el nivel de riesgo que un usuario representa para una organización durante un período de dos semanas. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento de los usuarios. Según la puntuación, un usuario puede pertenecer a una de las siguientes categorías: usuario de alto riesgo, usuario de riesgo medio, usuario de bajo riesgo y usuario con puntuación de riesgo cero. Para obtener más información sobre las categorías de usuarios, consulte Panel de usuarios.

    • Númerototal de incidencias del indicador: indica el número total de indicadores de riesgo activados por el usuario en las últimas dos semanas. Estos indicadores de riesgo activados determinan la puntuación de riesgo del usuario.
  • Puntuación de riesgo másalta: la puntuación de riesgo más alta indica el valor máximo de las puntuaciones de riesgo calculadas para este usuario dentro del período de tiempo seleccionado. Es representativo del riesgo agregado para el usuario y puede que no siempre sea igual a la puntuación de riesgo más reciente.

  • Factores de riesgo: indica una o más combinaciones de los factores de riesgo asociados con las actividades del usuario que contribuyeron a la puntuación de riesgo.

  • Desglose del riesgo: indica el número de indicadores de riesgo activados por el usuario para cada factor de riesgo. Amplíe la fila para ver los detalles.

En la línea de tiempo del usuario, haga clic en Filtrar y seleccione los factores de riesgo, las acciones aplicadas o el estado de usuario privilegiado asociado al usuario y vea los eventos correspondientes.

Filtros de línea de tiempo

Perfil de usuario

La página de perfil de usuario muestra la siguiente información de usuario que proviene del directorio activo del usuario:

  • Título del puesto
  • Dirección
  • Correo electrónico
  • Teléfono
  • Ubicación
  • Organización

Perfil de usuario avanzado

Cronología y perfil de riesgo del usuario