Citrix Analytics para seguridad

Perfil y cronología de riesgo de los usuarios

La línea de tiempo de riesgo del usuario en el perfil de un usuario le permite, como administrador de Citrix Analytics, obtener información más detallada sobre el comportamiento arriesgado de un usuario. De forma predeterminada, la línea de tiempo de riesgo del usuario se muestra durante el último mes. También puede ver las acciones correspondientes realizadas en su cuenta durante un período de tiempo seleccionado. Desde la línea de tiempo de riesgo del usuario, puede profundizar más en el perfil de un usuario para comprender lo siguiente:

Además, puede ver la puntuación de riesgo y las tendencias de los indicadores de riesgo para el usuario y determinar si el usuario es un usuario de alto riesgo o no.

Cuando vaya a la línea de tiempo de riesgo de un usuario, puede seleccionar un indicador de riesgo o una acción que se haya aplicado a su cuenta. Si elige una de las anteriores, el panel derecho muestra la sección del indicador de riesgo o la sección de acción.

Cronología de riesgos

Cronología de riesgos

La línea de tiempo de riesgo muestra la siguiente información:

  • Indicadores de riesgo. Los indicadores de riesgo son actividades de los usuarios que son sospechosas o pueden representar una amenaza para la seguridad de su organización. Los indicadores se activan cuando el comportamiento del usuario se desvía de su comportamiento normal. Los indicadores de riesgo pueden ser para las siguientes fuentes de datos:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops / Citrix Workspace

    • Citrix Access Control

    Al seleccionar un indicador de riesgo de la línea de tiempo del usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Puede ver el motivo del indicador de riesgo junto con detalles del evento. Se clasifican ampliamente en las siguientes secciones:

    Sección de información sobre la línea de tiempo de riesgo

    • ¿Qué ha pasado? Puede ver un resumen del indicador de riesgo aquí. Por ejemplo, si ha seleccionado el indicador de riesgo de uso compartido excesivo de archivos. En la sección Qué sucedió, puede ver el número de enlaces de recursos compartidos enviados a los destinatarios y cuándo se produjo el evento de uso compartido.

    • Detalles del evento. Puede ver entradas individuales de eventos en formato gráfico y tabular junto con detalles del evento. Haga clic en Búsqueda de eventos para acceder a la página de búsqueda de autoservicio y ver los eventos correspondientes al indicador de riesgo del usuario. Para obtener más información, consulte Búsqueda de autoservicio.

    • Información contextual adicional. Puede ver los datos compartidos, si los hay, durante la ocurrencia de un evento en esta sección.

    Más información: Indicadores de riesgo

  • Acciones. Las acciones le ayudan a responder a eventos sospechosos y a evitar que ocurran eventos anómalos en el futuro. Las acciones que se han aplicado en el perfil de un usuario se muestran en la línea de tiempo de riesgo. Estas acciones se aplican automáticamente a la cuenta de un usuario mediante directivas configuradas o puede aplicar manualmente una acción específica.

    Obtenga más información: Directivas y acciones.

    Acciones relativas al calendario de riesgos

  • Eventos de usuario con privilegios. Los eventos de usuario con privilegios se activan cada vez que se produce un cambio en el estado de privilegios de administrador o ejecutivo de un usuario. Cuando se activa un indicador de riesgo para un usuario, puede relacionarlo con el evento de cambio de estado de privilegio especificado. Si es necesario, puede aplicar la acción adecuada en el perfil de usuario. Los eventos de privilegios Admin o Executive que se muestran en la línea de tiempo de riesgo del usuario son los siguientes:

    • Agregado al grupo ejecutivo

    • Eliminado del grupo ejecutivo

    • Privilegio elevado a Admin

    • Privilegio de administrador eliminado

    Considere al usuario Adam Maxwell que fue agregado al grupo privilegiado Executive CitrixAnalytics. El evento Added to Executive group se agrega a la línea de tiempo de riesgo del usuario. Ahora, Adam comienza a eliminar excesivamente archivos y carpetas y desencadena el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Puede comparar el evento y el indicador de riesgo en la línea de tiempo de riesgo. Después de la comparación, puede determinar si el indicador de riesgo se activó como consecuencia del evento. Si es así, puede aplicar las acciones apropiadas en el perfil de Adam. Para obtener más información sobre los usuarios con privilegios, consulte Usuarios privilegiados.

Cuando selecciona un evento de la línea de tiempo del usuario, la sección de información del evento se muestra en el panel derecho.

En el caso de un ejecutivo, el panel derecho muestra información como Estado de usuario, Fecha y horay grupo de Active Directory.

Usuarios privilegiados

Para un evento de privilegio de administrador, el panel derecho muestra información como Estado de usuario, Fecha y horay En producto.

Perfil de usuario

El perfil de usuario muestra la siguiente información:

Perfil de usuario avanzado

Nota

Los datos de Autenticacióny Dominiosno están disponibles actualmente en el perfil Información de usuario.

Aplicación

Número de aplicaciones a las que ha accedido el usuario durante este periodo de tiempo. Citrix Analytics recopila estos datos de Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de aplicaciones utilizadas por el usuario. El vínculo Vista de tendencia en la esquina superior derecha proporciona una representación gráfica sobre el historial de aplicaciones del usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Uso de datos

El volumen de datos consumidos por el usuario puede incluir los datos cargados o descargados, los archivos cargados o descargados, y los archivos compartidos o eliminados. Citrix Analytics recopila estos datos de Citrix Content Collaboration. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver los detalles del uso de datos para el usuario. El vínculo Vista de tendencia proporciona una representación gráfica sobre el historial de uso de datos de un usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Dispositivos

Número de dispositivos utilizados por el usuario para acceder a las fuentes de datos. Citrix Analytics recopila estos datos de Citrix Endpoint Management y Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de dispositivos utilizados por el usuario. El vínculo Vista de tendencia en la esquina superior derecha proporciona una representación gráfica sobre el historial de dispositivos del usuario durante un período de tiempo específico.

Dispositivos de información de usuario

Ubicaciones

Los lugares desde los que el usuario ha iniciado sesión en los orígenes de datos. Citrix Analytics recopila los datos de Citrix Content Collaboration, Citrix Gateway y Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver las ubicaciones desde las que el usuario ha accedido a los datos y el número de inicios de sesión de esas ubicaciones. El vínculo Vista de mapa en la esquina superior derecha proporciona el historial de ubicaciones de inicio de sesión del usuario para un período de tiempo específico.

Ubicaciones de información de usuario

Perfil y cronología de riesgo de los usuarios