Citrix Analytics para seguridad

Cronología del riesgo del usuario

La línea de tiempo de riesgo del usuario en el perfil de un usuario le permite, como administrador de Citrix Analytics, obtener información más detallada sobre el comportamiento arriesgado de un usuario. De forma predeterminada, la línea de tiempo de riesgo del usuario se muestra durante el último mes. También puede ver las acciones correspondientes realizadas en su cuenta durante un período de tiempo seleccionado. Desde la línea de tiempo de riesgo del usuario, puede profundizar más en el perfil de un usuario para comprender lo siguiente:

  • Uso de datos

  • Uso del dispositivo

  • Uso de aplicaciones

  • Uso de la ubicación

Además, puede ver la puntuación de riesgo y las tendencias del indicador de riesgo para el usuario y determinar si el usuario es un usuario de alto riesgo o no.

Cuando vaya a la línea de tiempo de riesgo de un usuario, puede seleccionar un indicador de riesgo o una acción que se haya aplicado a su cuenta. Si elige una de las anteriores, el panel derecho muestra la sección del indicador de riesgo o la sección de acción.

Cronología de riesgos

La línea de tiempo de riesgo muestra la siguiente información:

  • Indicadores de riesgo. Los indicadores de riesgo son actividades de los usuarios que son sospechosas o pueden representar una amenaza para la seguridad de su organización. Los indicadores se activan cuando el comportamiento del usuario se desvía de su comportamiento normal. Los indicadores de riesgo pueden ser para las siguientes fuentes de datos:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops / Citrix Workspace

    • Citrix Access Control

    Al seleccionar un indicador de riesgo de la línea de tiempo del usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Puede ver el motivo del indicador de riesgo junto con detalles del evento. Se clasifican ampliamente en las siguientes secciones:

    Sección de información sobre la línea de tiempo de riesgo

    • ¿Qué ha pasado? Puede ver un resumen del indicador de riesgo aquí. Por ejemplo, si ha seleccionado el indicador de riesgo de uso compartido excesivo de archivos. En la sección Qué sucedió, puede ver el número de enlaces de recursos compartidos enviados a los destinatarios y cuándo se produjo el evento de uso compartido.

    • Detalles del evento. Puede ver entradas individuales de eventos en formato gráfico y tabular junto con detalles del evento. Haga clic en Búsqueda de eventos para acceder a la página de búsqueda de autoservicio y ver los eventos correspondientes al indicador de riesgo del usuario. Para obtener más información, consulte Búsqueda de autoservicio.

    • Información contextual adicional. Puede ver los datos compartidos, si los hay, durante la ocurrencia de un evento en esta sección.

    Más información: Indicadores de riesgo

  • Acciones. Las acciones le ayudan a responder a eventos sospechosos y a evitar que ocurran eventos anómalos en el futuro. Las acciones que se han aplicado en el perfil de un usuario se muestran en la línea de tiempo de riesgo. Estas acciones se aplican automáticamente a la cuenta de un usuario mediante directivas configuradas o puede aplicar manualmente una acción específica.

    Más información: Directivas y acciones.

    Acciones relativas al calendario de riesgos

  • Eventos de usuario con privilegios. Los eventos de usuario con privilegios se activan cada vez que se produce un cambio en el estado de privilegios de administrador o ejecutivo de un usuario. Cuando se activa un indicador de riesgo para un usuario, puede relacionarlo con el evento de cambio de estado de privilegio especificado. Si es necesario, puede aplicar la acción adecuada en el perfil de usuario. Los eventos de privilegios Admin o Executive que se muestran en la línea de tiempo de riesgo del usuario son los siguientes:

    • Agregado al grupo ejecutivo

    • Eliminado del grupo ejecutivo

    • Privilegio elevado a Admin

    • Privilegio de administrador eliminado

    Considere al usuario Adam Maxwell que fue agregado al grupo privilegiado Executive CitrixAnalytics. El evento Added to Executive group se agrega a la línea de tiempo de riesgo del usuario. Ahora, Adam comienza a eliminar excesivamente archivos y carpetas y desencadena el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Puede comparar el evento y el indicador de riesgo en la línea de tiempo de riesgo. Después de la comparación, puede determinar si el indicador de riesgo se activó como consecuencia del evento. Si es así, puedes aplicar las acciones apropiadas en el perfil de Adam. Para obtener más información sobre los usuarios con privilegios, consulte Usuarios privilegiados.

Cuando selecciona un evento de la línea de tiempo del usuario, la sección de información del evento se muestra en el panel derecho.

En el caso de un ejecutivo, el panel derecho muestra información como Estado de usuario, Fecha y horay grupo de Active Directory.

Usuarios privilegiados

Para un evento de privilegio de administrador, el panel derecho muestra información como Estado de usuario, Fecha y horay En producto.

Cronología del riesgo del usuario