Citrix Analytics para la seguridad

Cronología y perfil de riesgo del usuario

El cronograma de riesgo del usuario en el perfil de un usuario le permite, como administrador de Citrix Analytics, obtener información más detallada sobre el comportamiento de riesgo de un usuario. De forma predeterminada, se muestra el cronograma de riesgo del usuario durante el último mes. También puede ver las acciones correspondientes realizadas en su cuenta durante un período de tiempo seleccionado. Desde el cronograma de riesgos del usuario, puede profundizar en el perfil de un usuario para comprender lo siguiente:

Además, puede ver la puntuación de riesgo y las tendencias de los indicadores de riesgo del usuario y determinar si el usuario es un usuario de alto riesgo o no.

Cuando vas al cronograma de riesgo de un usuario, puede seleccionar un indicador de riesgo o una acción que se haya aplicado a su cuenta. Si elige una de las opciones anteriores, el panel derecho muestra la sección del indicador de riesgo o la sección de acciones.

Cronología del riesgo

Cronología del riesgo

El cronograma de riesgos muestra la siguiente información:

  • Indicadores de riesgo. Los indicadores de riesgo son actividades de usuario sospechosas o que pueden suponer una amenaza para la seguridad de su organización. Los indicadores se activan cuando el comportamiento del usuario se desvía de su comportamiento normal. Los indicadores de riesgo pueden ser de las siguientes fuentes de datos:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Access Control

    Al seleccionar un indicador de riesgo en el cronograma del usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Puede ver el motivo del indicador de riesgo junto con los detalles del evento. Se clasifican a grandes rasgos en las siguientes secciones:

    Sección de información del cronograma de riesgo

    • Lo que ha pasado. Puede ver un resumen del indicador de riesgo aquí. Por ejemplo, si ha seleccionado el indicador Riesgo excesivo de uso compartido de archivos . En la sección Qué ha pasado, puede ver el número de enlaces compartidos enviados a los destinatarios y cuándo se ha producido el evento de uso compartido.

    • Detalles del evento. Puede ver las entradas de eventos individuales en formato gráfico y tabular junto con los detalles del evento. Haga clic en Búsqueda de eventos para acceder a la página de búsqueda de autoservicio y ver los eventos correspondientes al indicador de riesgo del usuario. Para obtener más información, consulte Búsqueda de autoservicio.

    • Informacióncontextual adicional. Puede ver los datos compartidos, si los hay, durante la ocurrencia de un evento en esta sección.

    Más información: indicadores de riesgo

  • Acciones. Las acciones ayudan a responder a eventos sospechosos y evitar que se produzcan eventos anómalos en el futuro. Las acciones que se han aplicado en el perfil de un usuario se muestran en el cronograma de riesgo. Estas acciones se aplican automáticamente a la cuenta de un usuario mediante directivas configuradas o se puede aplicar una acción específica de forma manual.

    Más información: Directivas y acciones.

    Acciones cronograma de riesgo

  • Eventos de usuario con privilegios. Los eventos de usuario con privilegios se desencadenan cada vez que se produce un cambio en el estado de privilegio de administrador o ejecutivo de un usuario. Cuando se activa un indicador de riesgo para un usuario, puede correlacionarlo con el evento de cambio de estado de privilegios especificado. Si es necesario, puede aplicar la acción adecuada en el perfil de usuario. Los eventos de privilegios de administrador o ejecutivo que se muestran en el cronograma de riesgo del usuario son los siguientes:

    • Agregado al grupo ejecutivo

    • Eliminado del grupo ejecutivo

    • Privilegio elevado a administrador

    • Privilegio de administrador eliminado

    Piense en el usuario Adam Maxwell que se agregó al grupo privilegiado Executive CitrixAnalytics. El evento Agregado al grupo Ejecutivo se agrega al cronograma de riesgo del usuario. Ahora, Adam comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detectó comportamientos inusuales. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Puede comparar el evento y el indicador de riesgo en el cronograma de riesgo. Después de la comparación, puede determinar si el indicador de riesgo se activó como consecuencia del evento. Si es así, puede aplicar las acciones apropiadas en el perfil de Adam. Para obtener más información sobre los usuarios con privilegios, consulte Usuarios con privilegios.

Al seleccionar un evento de la línea de tiempo del usuario, la sección de información del evento se muestra en el panel derecho.

En el caso de un ejecutivo, el panel derecho muestra información como el estado del usuario, la fecha y la hora y el grupo de Active Directory .

Usuarios privilegiados

En el caso de un evento de privilegio de administrador, el panel derecho muestra información como el estado del usuario, la fecha y la horay en el producto.

Resumen de riesgos

Vea los factores de riesgo asociados al usuario que contribuyeron a su puntuación de riesgo. Para obtener más información sobre los factores de riesgo, consulte Indicadores de riesgo de usuario de Citrix.

Resumen de riesgos

Haga clic en Resumen de riesgos para ver la siguiente información:

  • Númerototal de incidencias del indicador: indica el número total de indicadores de riesgo activados por el usuario en las últimas dos semanas. Estos indicadores de riesgo activados determinan la puntuación de riesgo del usuario.

  • Puntuación de riesgo: indica la puntuación de riesgo del usuario en función de su comportamiento de riesgo. La puntuación de riesgo determina el nivel de riesgo que un usuario supone para una organización durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario puede clasificarse en una de las categorías: usuario de alto riesgo, usuario de riesgo medio, usuario de riesgo bajo y usuario con puntuación de riesgo cero. Para obtener más información sobre las categorías de usuarios, consulte Panel de usuarios.

  • Factores de riesgo: indica una o más combinaciones de los factores de riesgo asociados con las actividades de los usuarios que contribuyeron a la puntuación de riesgo.

  • Desglose del riesgo: indica el número de indicadores de riesgo activados por el usuario para cada factor de riesgo. Amplíe la fila para ver los detalles.

    Factores de riesgo

En la línea de tiempo del usuario, haga clic en Filtrar y seleccione los factores de riesgo, las acciones aplicadas o el estado de usuario privilegiado asociado al usuario y vea los eventos correspondientes.

Filtros de línea de tiempo

Perfil de usuario

El perfil de usuario muestra la siguiente información:

Perfil de usuario avanzado

Nota

Los datos Autenticación y Dominios no están disponibles actualmente en el perfil Información de usuario.

Application

Número de aplicaciones a las que ha accedido el usuario durante este período de tiempo. Citrix Analytics recopila estos datos de Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de aplicaciones que utiliza el usuario. El enlace Vista de tendencia en la esquina superior derecha proporciona una representación gráfica del historial de aplicaciones del usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Uso de datos

El volumen de datos consumidos por el usuario puede incluir datos cargados o descargados, archivos cargados o descargados y archivos compartidos o eliminados. Citrix Analytics recopila estos datos de Citrix Content Collaboration. Haga clic en un nombre de usuario y, a continuación, vaya a Información del usuario para ver los detalles del uso de datos del usuario. El enlace Vista de tendencias proporciona una representación gráfica del historial de uso de datos de un usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Dispositivos

Número de dispositivos utilizados por el usuario para acceder a las fuentes de datos. Citrix Analytics recopila estos datos de Citrix Endpoint Management y Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de dispositivos utilizados por el usuario. El enlace Trend View de la esquina superior derecha proporciona una representación gráfica del historial de dispositivos del usuario durante un período de tiempo específico.

Dispositivos de información de usuario

Ubicaciones

Los lugares desde los que el usuario ha iniciado sesión en las fuentes de datos. Citrix Analytics recopila los datos de Citrix Content Collaboration, Citrix Gateway y Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver las ubicaciones desde las que el usuario ha accedido a los datos y el número de inicios de sesión desde esas ubicaciones. El enlace Vista de mapa en la esquina superior derecha proporciona el historial de ubicaciones de inicio de sesión del usuario durante un período de tiempo específico.

Ubicaciones de información de usuario

Cronología y perfil de riesgo del usuario