Citrix Analytics para la seguridad

Búsqueda de autoservicio

¿Qué es la búsqueda de autoservicio?

La función de búsqueda de autoservicio le permite buscar y filtrar los eventos de usuario recibidos de sus orígenes de datos. Puede explorar los eventos de usuario subyacentes y sus atributos. Estos eventos le ayudan a identificar cualquier problema de datos y solucionarlo. La página de búsqueda muestra varias facetas (dimensiones) y métricas de una fuente de datos. Puede definir la consulta de búsqueda y aplicar filtros para ver los eventos que coinciden con los criterios definidos. De forma predeterminada, la página de búsqueda de autoservicio muestra los eventos de usuario del último día.

Actualmente, la función de búsqueda de autoservicio está disponible para estos orígenes de datos:

Además, puede realizar búsquedas de autoservicio en los eventos que cumplen las directivas definidas. Para obtener más información, consulte Búsqueda de autoservicio de directivas.

Cómo acceder a la búsqueda de autoservicio

Puede acceder a la búsqueda de autoservicio mediante las siguientes opciones:

  • Barra superior: haga clic en Buscar en la barra superior para ver todos los eventos de usuario del origen de datos seleccionado.

  • Cronología de riesgos en una página de perfil de usuario: haga clic en Búsqueda de eventos para ver los eventos del usuario respectivo.

Búsqueda de autoservicio desde la barra superior

Utilice esta opción para ir a la página de búsqueda de autoservicio desde cualquier lugar de la interfaz de usuario.

  1. Haga clic en Buscar para ver la página de autoservicio.

    Búsqueda en la barra superior

  2. Seleccione el origen de datos y el período de tiempo para ver los eventos correspondientes.

    Página de búsqueda de barra superior

Búsqueda de autoservicio desde el cronograma de riesgos del usuario

Utilice esta opción si quiere ver los eventos de usuario asociados a un indicador de riesgo.

Al seleccionar un indicador de riesgo del cronograma de un usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Haga clic en Búsqueda de eventos para explorar los eventos asociados al usuario y la fuente de datos (para la que se activa el indicador de riesgo) en la página de búsqueda de autoservicio.

Búsqueda de cronograma de riesgo

Para obtener más información sobre el cronograma de riesgo del usuario, consulte Cronología de riesgos.

Cómo utilizar la búsqueda de autoservicio

Utilice las siguientes funciones de la página de búsqueda de autoservicio:

Usar facetas para filtrar eventos

Las facetas son el resumen de los puntos de datos que constituyen un evento. Las facetas varían según la fuente de datos. Por ejemplo, las facetas de la fuente de datos de acceso privado seguro son la reputación, las acciones, la ubicación y el grupo de categorías. Mientras que las facetas de Apps y escritorios son el tipo de evento, el dominio y la plataforma.

Seleccione las facetas para filtrar los resultados de la búsqueda. Las facetas seleccionadas se muestran como fichas.

Para obtener más información sobre las facetas correspondientes a cada origen de datos, consulte el artículo de búsqueda de autoservicio para el origen de datos mencionado anteriormente en este artículo.

Utilizar la consulta de búsqueda en el cuadro de búsqueda para filtrar eventos

Al colocar el cursor en el cuadro de búsqueda, el cuadro de búsqueda muestra una lista de dimensiones basada en los eventos del usuario. Estas dimensiones varían según la fuente de datos. Utilice las dimensiones y los operadores válidos para definir los criterios de búsqueda y buscar los eventos necesarios.

Cuando selecciona una dimensión y un operador válido, los valores de la dimensión se muestran automáticamente. La lista de valores sugeridos para una dimensión está predefinida (valores conocidos) en la base de datos o se basa en los eventos históricos.

Por ejemplo, el valor de la dimensión Event-Type se sugiere automáticamente. Mientras que debe ingresar manualmente el valor de su Gateway-FQDN. Por ejemplo, los valores de las dimensiones Browser, IP-Address, City y Country se sugieren en función de los eventos históricos de los usuarios. Mientras que los valores sugeridos para la dimensión Clipboard-Operations están predefinidos, como copiar, cortar o pegar.

Puede elegir un valor de los valores sugeridos o ingresar un valor nuevo en función de sus requisitos.

Por ejemplo, en la búsqueda de autoservicio de Apps y escritorios, obtiene los siguientes valores para la dimensión Browser. Use la dimensión para escribir la consulta, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Consulta de búsqueda

Operadores compatibles en la consulta de búsqueda

Utilice los siguientes operadores en las consultas de búsqueda para refinar los resultados de la búsqueda.

Operador Descripción Ejemplo Resultado
: Asigne un valor a una dimensión de búsqueda. User-Name: John Muestra los eventos del usuario John.
= Asigne un valor a una dimensión de búsqueda. User-Name = John Muestra los eventos del usuario John.
~ Busca eventos con valores similares. User-Name ~ test Muestra los eventos con nombres de usuario similares.
"" Encierra valores separados por espacios. User-Name = “John Smith” Muestra los eventos del usuario John Smith.
< > Búsqueda de valor relacional. Volumen de datos > 100 Muestra los eventos en los que el volumen de datos es superior a 100 GB.
AND Buscar eventos en los que se cumplan las condiciones especificadas. Nombre de usuario: John AND Data Volume > 100 Muestra los eventos del usuario John en los que el volumen de datos es superior a 100 GB.
!~ Comprueba los eventos del patrón coincidente que especifique. Este operador NOT LIKE devuelve los eventos que no contienen el patrón coincidente en ninguna parte de la cadena de eventos. User-Name !~ John Muestra los eventos de los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.
!= Comprueba los eventos de la cadena exacta que especifique. Este operador NOT EQUAL devuelve los eventos que no contienen la cadena exacta en ninguna parte de la cadena de eventos. Country != USA Muestra los eventos de los países excepto EE. UU.
* Buscar eventos que coincidan con las cadenas especificadas. Actualmente, el operador * solo se admite con los siguientes operadores :, = y !=. Los resultados de la búsqueda distinguen entre mayúsculas y min User-Name = John* Muestra los eventos de todos los nombres de usuario que empiezan por John.
    User-Name = *John* Muestra los eventos de todos los nombres de usuario que contienen John.
    User-Name = *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
    Nombre de usuario: John* Muestra los eventos de todos los nombres de usuario que empiezan por John.
    Nombre de usuario: *John* Muestra los eventos de todos los nombres de usuario que contienen John.
    Nombre de usuario: *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
    Nombre de usuario! = John* Muestra los eventos de todos los nombres de usuario que no empiezan por John.
    Nombre de usuario! = *Herrero Muestra los eventos de todos los nombres de usuario que no terminan en Smith.
IN Asigne varios valores a una dimensión de búsqueda para obtener los eventos relacionados con uno o varios valores. Nota: Actualmente, puede usar este operador con las siguientes dimensiones de Aplicaciones y escritorios: Device IDDomain, Event-Type, y User-Name. Este operador solo se aplica a los valores de cadena. User-Name IN (John, Kevin) Busca todos los eventos relacionados con John o Kevin.
NOT IN Asigne varios valores a una dimensión de búsqueda y busque los eventos que no contienen los valores especificados. Nota: Actualmente, puede usar este operador con las siguientes dimensiones de Aplicaciones y escritorios: Device IDDomain, Event-Type, y User-Name. Este operador solo se aplica a los valores de cadena. User-Name NOT IN (John, Kevin) Busca los eventos para todos los usuarios excepto John y Kevin.
IS EMPTY Comprueba si hay un valor nulo o un valor vacío para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS EMPTY Busca eventos en los que el nombre del país no está disponible o está vacío (no especificado).
IS NOT EMPTY Comprueba si hay un valor no nulo o un valor específico para una dimensión. Este operador solo funciona para dimensiones de tipo cadena como App-Name, Browser y Country. No funciona para dimensiones de tipo no cadena (número) como Upload-File-Size, Download-File-Size y Client-IP. Country IS NOT EMPTY Busca eventos en los que el nombre del país esté disponible o especificado.

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de la consulta, utilice los valores exactos disponibles en la página de búsqueda de autoservicio de un origen de datos. Los valores de cota distinguen entre mayúsculas y minúsculas

Para obtener más información sobre cómo especificar la consulta de búsqueda para el origen de datos, consulte el artículo de búsqueda de autoservicio del origen de datos mencionado anteriormente en este artículo.

Seleccione la hora para ver el evento

Seleccione una hora preestablecida o introduzca un intervalo de tiempo personalizado y haga clic en Buscar para ver los eventos.

Selección de tiempo

Ver los detalles del cronograma

La línea de tiempo proporciona una representación gráfica de los eventos del usuario durante el período de tiempo seleccionado. Mueva las barras de selección para elegir el intervalo de tiempo y ver los eventos correspondientes al intervalo de tiempo seleccionado.

En la ilustración se muestran los detalles del cronograma de los datos de acceso.

Detalles del cronograma

Ver el evento

Puede ver la información detallada sobre el evento de usuario. En la tabla DATOS, haga clic en la flecha de cada columna para ver los detalles del evento de usuario.

En la ilustración se muestran los detalles sobre los datos de acceso del usuario.

Eventos

Agregar o quitar columnas

Puede agregar o quitar columnas de la tabla de eventos para mostrar u ocultar los puntos de datos correspondientes. Haga lo siguiente:

  1. Haga clic en Agregar o quitar columnas.

     Actualizar eventos

  2. Seleccione o anule la selección de los elementos de datos de la lista y, a continuación, haga clic en Actualizar.

    Actualizar columnas

Si anula la selección de un punto de datos de la lista, la columna correspondiente se elimina de la tabla de eventos. Sin embargo, puede ver ese punto de datos expandiendo la fila de eventos de un usuario. Por ejemplo, si anula la selección del punto de datos TIME de la lista, la columna TIME se quita de la tabla de eventos. Para ver el registro de tiempo, expanda la fila de eventos de un usuario.

Atributos ocultos

Exportar los eventos a un archivo CSV

Exporta los resultados de la búsqueda a un archivo CSV y guárdalo como referencia. Haga clic en Exportar a formato CSV para exportar los eventos y descargar el archivo CSV generado.

Exportación CSV

Resumen visual de exportación

Puede descargar el informe resumido visual de su consulta de búsqueda y compartir una copia con otros usuarios, administradores o su equipo ejecutivo.

Haga clic en Exportar resumen visual para descargar el informe de resumen visual en formato PDF. El informe contiene la siguiente información:

  • Consulta de búsqueda que ha especificado para los eventos del período de tiempo seleccionado.

  • Las facetas (filtros) que ha aplicado a los eventos durante el período de tiempo seleccionado.

  • El resumen visual, como los gráficos de línea de tiempo, gráficos de barras o gráficos de los eventos de búsqueda para el período de tiempo seleccionado.

Para una fuente de datos, puede descargar el informe de resumen visual solo si los datos se muestran en formatos visuales como gráficos de barras o detalles de línea de tiempo. De lo contrario, esta opción no está disponible. Por ejemplo, puede descargar el informe de resumen visual de los orígenes de datos, como Aplicaciones y escritorios, Sesiones, donde ve los datos como detalles de la línea de tiempo y gráficos de barras. Para los orígenes de datos como Usuarios y Equipos, los datos solo se ven en formato tabular. Por lo tanto, no se puede descargar ningún informe de resumen visual.

Resumen visual de exportación

Clasificación de varias columnas

La clasificación ayuda a organizar los datos y proporciona una mejor visibilidad. En la página de búsqueda de autoservicio, puede ordenar los eventos de usuario por una o varias columnas. Las columnas representan los valores de varios elementos de datos, como nombre de usuario, fecha y hora y URL. Estos elementos de datos varían según los orígenes de datos seleccionadas.

Para realizar una ordenación de varias columnas, haga lo siguiente:

  1. Haga clic en Ordenar por.

    Ordenar por

  2. Seleccione una columna de la lista Ordenar por .

  3. Seleccione el orden de clasificación: ascendente (flecha arriba) o descendente (flecha abajo) para ordenar los eventos de la columna.

  4. Haga clic en + Agregar columnas.

  5. Seleccione otra columna de la lista Entonces por .

  6. Seleccione el orden de clasificación: ascendente (flecha arriba) o descendente (error hacia abajo) para ordenar los eventos de la columna.

    Nota

    Puede agregar hasta seis columnas para realizar la ordenación.

  7. Haga clic en Aplicar.

  8. Si no quiere aplicar la configuración anterior, haga clic en Cancelar. Para quitar los valores de las columnas seleccionadas, haga clic en Borrar todo.

En el siguiente ejemplo se muestra una ordenación de varias columnas en los eventos Secure Private Access. Los eventos se ordenan por hora (en orden más reciente a más antiguo) y, a continuación, por URL (en orden alfabético).

Clasificación de varias columnas

Alternativamente, puede ordenar varias columnas con la tecla Mayús . Pulse la tecla Mayús y haga clic en los encabezados de columna para ordenar los eventos de usuario.

Cómo guardar la búsqueda de autoservicio

Como administrador, puede guardar una consulta de autoservicio. Esta función ahorra el tiempo y el esfuerzo de volver a escribir la consulta que utiliza con frecuencia para el análisis o la solución de problemas. Las siguientes opciones se guardan con la consulta:

  • Filtros de búsqueda aplicados
  • Fuente de datos seleccionada y duración

Haga lo siguiente para guardar una consulta de autoservicio:

  1. Seleccione el origen de datos y la duración necesarios.

  2. Escriba una consulta en la barra de búsqueda.

  3. Aplica los filtros necesarios.

  4. Haga clic en Guardar búsqueda.

  5. Especifique el nombre para guardar la consulta personalizada.

    Nota

    Asegúrese de que el nombre de la consulta sea exclusivo. De lo contrario, la consulta no se guarda.

  6. Active el botón Programar informe por correo electrónico si quiere enviar una copia del informe de consulta de búsqueda a sí mismo y a otros usuarios a intervalos regulares. Para obtener más información, consulte Programar un correo electrónico para una consulta de búsqueda.

  7. Haga clic en Save.

Para ver las búsquedas guardadas:

  1. Pulse Ver búsquedas guardadas.

  2. Haga clic en el nombre de la consulta de búsqueda.

Para eliminar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Seleccione la consulta de búsqueda que ha guardado.

  3. Haga clic en Eliminar búsqueda guardada.

Eliminar búsqueda guardada

Para modificar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Haga clic en el nombre de la consulta de búsqueda que ha guardado.

  3. Modifique la consulta de búsqueda o la selección de facetas en función de su requisito.

  4. Haga clic en Actualizar búsqueda > Guardar para actualizar y guardar la búsqueda modificada con el mismo nombre de consulta de búsqueda.

  5. Si quiere guardar la búsqueda modificada con un nombre nuevo, haga clic en la flecha hacia abajo y haga clic en Guardar como nueva búsqueda > Guardar como.

Si reemplaza la búsqueda por un nuevo nombre, la búsqueda se guardará como una nueva entrada. Si conserva el nombre de búsqueda existente durante la sustitución, los datos de búsqueda modificados anulan los datos de búsqueda existentes.

Nota

  • Solo el propietario de una consulta puede modificar o eliminar sus búsquedas guardadas.
  • Puede copiar la dirección de enlace de búsqueda guardada para compartirla con otro usuario.

Programar un correo electrónico para una consulta de búsqueda

Puede enviarte una copia del informe de consultas de búsqueda a ti mismo y a otros usuarios a intervalos regulares configurando un calendario de entrega de correo electrónico.

Esta opción solo está disponible si el informe de consulta de búsqueda contiene datos en formatos visuales como gráficos de barras o detalles de línea de tiempo. De lo contrario, no puede programar una entrega por correo electrónico. Por ejemplo, puede programar un correo electrónico para los orígenes de datos, como Aplicaciones y escritorios, Sesiones, donde verá los datos como detalles de la línea de tiempo y gráficos de barras. Para los orígenes de datos como Usuarios y Equipos, los datos solo se ven en formato tabular. Por lo tanto, no puede programar un correo electrónico.

Programar un correo electrónico mientras se guarda una consulta de búsqueda

Al guardar una consulta de búsqueda, configura un calendario de entrega de correo electrónico de la siguiente manera:

  1. En el cuadro de diálogo Guardar búsqueda, active el botón Programar informe por correo electrónico .

    Programar correo electrónico

  2. Introduce o pega las direcciones de correo electrónico de los destinatarios.

    Nota

    Los grupos de correo electrónico no son compatibles.

  3. Establece la fecha y la hora de entrega del correo electrónico.

  4. Seleccione la frecuencia de entrega: diaria, semanal o mensual.

  5. Haga clic en Save.

Programar un correo electrónico para una consulta de búsqueda ya guardada

Si quiere configurar un calendario de entrega de correo electrónico para una consulta de búsqueda que guardaste anteriormente, haga lo siguiente:

  1. Pulse Ver búsquedas guardadas.

  2. Vaya a la consulta de búsqueda que ha creado. Haga clic en el icono Enviar esta consulta por correo electrónico .

    Nota

    Solo el propietario de una consulta puede programar la entrega por correo electrónico de su consulta de búsqueda guardada.

    Consulta por correo electrónico

  3. Active el botón Programar informe por correo electrónico .

  4. Introduce o pega las direcciones de correo electrónico de los destinatarios.

    Nota

    Los grupos de correo electrónico no son compatibles.

  5. Establece la fecha y la hora de entrega del correo electrónico.

  6. Seleccione la frecuencia de entrega: diaria, semanal o mensual.

  7. Haga clic en Save.

Detener un programa de entrega de correo electrónico para una consulta de búsqueda

  1. Pulse Ver búsquedas guardadas.

  2. Vaya a la consulta de búsqueda que ha creado. Haga clic en el icono Ver calendario de entrega de correo electrónico .

    Nota

    Solo el propietario de una consulta puede detener la programación de correo electrónico de su consulta de búsqueda guardada.

    Detener programación de correo electrónico

  3. Desactive el botón Programar informe por correo electrónico .

  4. Haga clic en Save.

Contenido del correo electrónico

Los destinatarios reciben un correo electrónico de “Citrix Cloud - Notificaciones < donotreplynotifications@citrix.com >” sobre el informe de consultas de búsqueda. El informe se adjunta como documento PDF. El correo electrónico se envía a intervalos regulares definidos por usted en la configuración Programar informe de correo electrónico .

El informe de consultas de búsqueda contiene la siguiente información:

  • Consulta de búsqueda que ha especificado para los eventos del período seleccionado.

  • Las facetas (filtros) que ha aplicado a los eventos.

  • El resumen visual, como los gráficos de línea de tiempo, gráficos de barras o gráficos de los eventos de búsqueda.

Permisos para administradores de acceso total y acceso de solo lectura

  • Si es administrador de Citrix Cloud con acceso completo, puede usar todas las funciones disponibles en la página Buscar .

  • Si es administrador de Citrix Cloud con acceso de solo lectura, solo puede realizar las siguientes actividades en la página Buscar :

    • Para ver los resultados de la búsqueda, seleccione una fuente de datos y el período de tiempo.

    • Ingrese una consulta de búsqueda y vea los resultados de la búsqueda.

    • Permite ver los resultados de búsqueda guardados de otros administradores.

    • Exporte el resumen visual y descargue los resultados de la búsqueda en un archivo CSV.

Para obtener información sobre las funciones de administrador, consulte Administrar funciones de administrador para Citrix Analytics.