Citrix Analytics para seguridad

Búsqueda de autoservicio

¿Qué es la búsqueda de autoservicio?

La función de búsqueda de autoservicio le permite buscar y filtrar eventos de usuario recibidos de sus orígenes de datos. Puede explorar los eventos de usuario subyacentes y sus atributos. Estos eventos le ayudan a identificar los problemas de datos y solucionarlos. La página de búsqueda muestra varias facetas (dimensiones) y métricas para un origen de datos. Puede definir la consulta de búsqueda y aplicar filtros para ver los eventos que coinciden con los criterios definidos. De forma predeterminada, la página de búsqueda de autoservicio muestra los eventos de usuario del último mes.

Actualmente, la función de búsqueda de autoservicio está disponible para los siguientes orígenes de datos:

Además, puede realizar búsquedas de autoservicio en los eventos que cumplen las directivas definidas. Para obtener más información, consulte Búsqueda de directivas de autoservicio.

Cómo acceder a la búsqueda de autoservicio

Puede acceder a la búsqueda de autoservicio mediante las siguientes opciones:

  • Barra superior: Haga clic en Buscaren la barra superior para ver todos los eventos de usuario del origen de datos seleccionado.

  • Línea de tiempo de riesgo en una página de perfil de usuario: Haga clic en Búsquedade eventos para ver los eventos del usuario respectivo.

Búsqueda de autoservicio desde la barra superior

Utilice esta opción para ir a la página de búsqueda de autoservicio desde cualquier lugar de la interfaz de usuario.

  1. Haga clic en Buscar para ver la página de autoservicio.

    Búsqueda en la barra superior

  2. Seleccione el origen de datos y el período de tiempo para ver los eventos correspondientes.

    Página de búsqueda de la barra superior

Búsqueda de autoservicio desde la línea de tiempo de riesgo del usuario

Utilice esta opción si quiere ver los eventos de usuario asociados a un indicador de riesgo.

Al seleccionar un indicador de riesgo de la línea de tiempo de un usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Haga clic en Búsqueda de eventos para explorar los eventos asociados al usuario y al origen de datos (para el que se activa el indicador de riesgo) en la página de búsqueda de autoservicio.

Búsqueda de plazos de riesgo

Para obtener más información sobre la línea de tiempo de riesgo del usuario, consulte Cronología de riesgos.

Cómo utilizar la búsqueda de autoservicio

Utilice las siguientes funciones en la página de búsqueda de autoservicio:

Página de información general de búsqueda

Usar facetas para filtrar eventos

Las facetas son el resumen de los puntos de datos que constituyen un evento. Las facetas varían según la fuente de datos. Por ejemplo, las facetas del origen de datos de Control de acceso son reputación, acciones, ubicación y grupo de categorías. Mientras que las facetas de aplicaciones y escritorios virtuales son tipo de evento, dominio y plataforma.

Seleccione las facetas para filtrar los resultados de la búsqueda. La página de búsqueda de autoservicio muestra las facetas seleccionadas como fichas. Para obtener más información sobre las facetas correspondientes a cada origen de datos, consulte el artículo de búsqueda de autoservicio para el origen de datos mencionado anteriormente en este artículo.

Usar la consulta de búsqueda en el cuadro de búsqueda para filtrar eventos

Cuando coloca el cursor en el cuadro de búsqueda, el cuadro de búsqueda muestra una lista de dimensiones basada en los eventos del usuario. Estas dimensiones varían según el origen de datos. Utilice las dimensiones y el válido operadores para definir los criterios de búsqueda y buscar los eventos necesarios.

Por ejemplo, en la búsqueda de autoservicio de acceso, obtendrá las siguientes dimensiones para los eventos de acceso. Utilice las dimensiones para escribir la consulta, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Consulta de búsqueda

Operadores admitidos en la consulta de búsqueda

Utilice los siguientes operadores en las consultas de búsqueda para refinar los resultados de búsqueda.

Operador Descripción Ejemplo Resultado
: Asignar un valor a la consulta de búsqueda Nombre de usuario: John Muestra eventos para el usuario John
= Asignar un valor a la consulta de búsqueda Nombre de usuario = John Muestra eventos para el usuario John
~ Buscar valores similares Nombre de usuario ~ prueba Muestra eventos con nombres de usuario similares
”” Encerrar valores separados por espacios Nombre de usuario = “John Smith” Muestra eventos para el usuario John Smith
<, > Búsqueda de valor relacional Volumen de datos > 100 Muestra eventos en los que el volumen de datos es superior a 100 GB
Y Valores de búsqueda donde ambas condiciones son verdaderas Nombre de usuario: John AND Data Volume > 100 Muestra eventos del usuario John donde el volumen de datos es mayor que 100 GB
* Valores de búsqueda que coincidan con el carácter cero o más veces Nombre de usuario = John* Muestra eventos de todos los nombres de usuario que comienzan por John
    Nombre de usuario = *John* Muestra eventos para todos los nombres de usuario que contienen John
    Nombre de usuario = *Smith Muestra eventos de todos los nombres de usuario que terminan con Smith
!= Buscar valores donde la condición no es verdadera ¡País! = ESTADOS UNIDOS Muestra eventos para los países excepto EE. UU.

El operador NOT EQUAL (! =) es válido para las siguientes dimensiones:

Origen de datos Dimensiones
Control de acceso País, Ciudad, Acción, URL, Categoría de URL, Reputación, Explorador, SO, Dispositivo
Content Collaboration País, Ciudad, SO cliente
Gateway Etapa de autenticación, IP de cliente
Escritorios y aplicaciones virtuales País, Ciudad, Nombre de la aplicación, Operación del Portapapeles, Explorador, SO

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de la consulta, utilice los valores exactos disponibles en la página de búsqueda de autoservicio para un origen de datos. Los valores de dimensión distinguen mayúsculas y minúsculas.

Para obtener más información acerca de cómo especificar la consulta de búsqueda para el origen de datos, consulte el artículo de búsqueda de autoservicio para el origen de datos mencionado anteriormente en este artículo.

Seleccione la hora para ver el evento

Seleccione una hora preestablecida o introduzca un intervalo de tiempo personalizado y haga clic en Buscar para ver los eventos.

Selección de tiempo

Ver los detalles de la escala de tiempo

La línea de tiempo proporciona una representación gráfica de los eventos de usuario para el período de tiempo seleccionado. Mueva las barras selectoras para elegir el intervalo de tiempo y ver los eventos correspondientes al intervalo de tiempo seleccionado.

La ilustración muestra los detalles de la escala de tiempo de los datos de acceso.

Detalles de la cronología

Ver el evento

Puede ver la información detallada sobre el evento de usuario. En la tabla DATOS, haga clic en la flecha de cada columna para ver los detalles del evento de usuario.

La ilustración muestra los detalles sobre los datos de acceso del usuario.

Eventos

Agregar o quitar columnas

Puede agregar o quitar columnas de la tabla de eventos para mostrar u ocultar los puntos de datos correspondientes. Haga lo siguiente:

  1. Haga clic en Agregar o quitar columnas.

     Actualizar eventos

  2. Seleccione o anule la selección de los elementos de datos de la lista y, a continuación, haga clic en Actualizar.

    Actualizar columnas

Si anula la selección de un punto de datos de la lista, la columna correspondiente se quitará de la tabla de eventos. Sin embargo, puede ver ese punto de datos expandiendo la fila de eventos de un usuario. Por ejemplo, al anular la selección del punto de datos TIME de la lista, la columna TIME se quita de la tabla de eventos. Para ver el registro de tiempo, expanda la fila de eventos de un usuario.

Atributos ocultos

Exportar los eventos a un archivo CSV

Exporte los resultados de búsqueda a un archivo CSV y guárdelo para su referencia. Haga clic en Exportar a formato CSV para exportar los eventos y descargar el archivo CSV generado.

Exportación CSV

Clasificación de varias columnas

La ordenación ayuda a organizar los datos y proporciona una mejor visibilidad. En la página de búsqueda de autoservicio, puede ordenar los eventos de usuario por una o más columnas. Las columnas representan los valores de varios elementos de datos como el nombre de usuario, la fecha y la hora y la dirección URL. Estos elementos de datos varían en función de los orígenes de datos seleccionados.

Para realizar una ordenación de varias columnas, haga lo siguiente:

  1. Haga clic en Ordenar por.

    Ordenar por

  2. Seleccione una columna de la lista Ordenar por.

  3. Seleccione el orden de ordenamiento: ascendente (flecha arriba) o descendente (flecha abajo) para ordenar los eventos en la columna.

  4. Haga clic en + Agregar columnas.

  5. Seleccione otra columna de la lista Después por.

  6. Seleccione el orden de ordenamiento: ascendente (flecha arriba) o descendente (error hacia abajo) para ordenar los eventos en la columna.

    Nota

    Puede agregar hasta seis columnas para realizar la ordenación.

  7. Haga clic en Aplicar.

  8. Si no desea aplicar la configuración anterior, haga clic en Cancelar. Para eliminar los valores de las columnas seleccionadas, haga clic en Borrar todo.

En el ejemplo siguiente se muestra una ordenación de varias columnas en los eventos de Control de acceso. Los eventos se ordenan por tiempo (en orden más reciente al más antiguo) y luego por URL (en orden alfabético).

Clasificación de varias columnas

Alternativamente, puede realizar la ordenación de varias columnas mediante la tecla Mayús. Presione la tecla Mayús y haga clic en los encabezados de columna para ordenar los eventos de usuario.

Cómo guardar la búsqueda de autoservicio

Como administrador, puede guardar una consulta de autoservicio. Esta función ahorra el tiempo y el esfuerzo de volver a escribir la consulta que se utiliza a menudo para el análisis o la solución de problemas. Las siguientes opciones se guardan con la consulta:

  • Filtros de búsqueda aplicados
  • Origen de datos y duración seleccionados

Haga lo siguiente para guardar una consulta de autoservicio:

  1. Seleccione el origen de datos y la duración necesarios.

  2. Escriba una consulta en la barra de búsqueda.

  3. Aplique los filtros necesarios.

  4. Haga clic en Guardar búsqueda.

  5. Especifique el nombre para guardar la consulta personalizada.

    Nota

    Asegúrese de que el nombre de la consulta es único. De lo contrario, la consulta no se guarda.

  6. Haga clic en Guardar.

Para ver las búsquedas guardadas:

  1. Pulse Ver búsquedas guardadas.

  2. Seleccione la consulta de búsqueda.

En este ejemplo, la consulta de autoservicio es User-Name = testuser. Además, los filtros aplicados como Tipo de evento, Dominioy Plataforma se guardan con la consulta.

Guardar búsqueda de autoservicio

Para eliminar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Seleccione la consulta de búsqueda que ha guardado.

  3. Haga clic en Eliminar búsqueda guardada.

Eliminar búsqueda guardada

Para modificar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Haga clic en el nombre de la consulta de búsqueda que ha guardado.

  3. Modifique la consulta de búsqueda o la selección de facetas en función de su requisito.

  4. Haga clic en Guardar búsqueda > Reemplazar.

Si reemplaza la búsqueda por un nuevo nombre, la búsqueda se guardará como una nueva entrada. Si conserva el nombre de búsqueda existente mientras se reemplaza, los datos de búsqueda modificados anularán los datos de búsqueda existentes.

Nota

  • Solo un propietario de consulta puede modificar o quitar sus búsquedas guardadas.
  • Puede copiar la dirección de enlace de búsqueda guardada para compartirla con otro usuario.
Búsqueda de autoservicio