Citrix Analytics para la seguridad

Libro de trabajo de Citrix Analytics para Microsoft Sentinel

Nota

Esta función se encuentra en Tech Preview.

En este artículo se describe el libro de trabajo de Citrix Analytics que está disponible en el espacio de trabajo de Microsoft Sentinel.

Requisito previo

Para usar el libro de trabajo de Citrix Analytics, asegúrese de que ya ha integrado Microsoft Sentinel con Citrix Analytics for Security. Para obtener más información, consulte Integración de Microsoft Sentinel.

Ver los eventos de Citrix Analytics

Después de integrar Citrix Analytics for Security con Microsoft Sentinel, el conector de Logstash comienza a enviar eventos de Citrix Analytics for Security al espacio de trabajo de Microsoft Sentinel. En su portal de Azure, abra el espacio de trabajo de Microsoft Sentinel que ha utilizado para la integración.

Para comprobar que Microsoft Sentinel recibe los eventos de Citrix Analytics for Security, seleccione Registros > Registros personalizados.

Registros de centinela

En la sección Registros personalizados, puede ver las tablas de registros que se crean automáticamente para almacenar los eventos recibidos de Citrix Analytics for Security. Estas tablas de registro sirven como origen de los paneles del libro de trabajo de Citrix Analytics.

Nota

Los eventos enviados desde Citrix Analytics for Security pueden tardar unas horas en aparecer en el espacio de trabajo de Microsoft Sentinel. Por lo tanto, es posible que vea un retraso en la creación de las tablas de registro para los eventos.

Registros de análisis en Sentinel

Ver el libro de trabajo de Citrix Analytics

Cuando las tablas de registro se hayan creado correctamente, haga lo siguiente:

  1. Seleccione Libros de trabajo y busque en Citrix Analytics. Seleccione Citrix Analytics.

    Libro de trabajo de análisis

  2. Seleccione Ver plantilla para abrir el libro de trabajo de Citrix Analytics.

    Ver el libro de trabajo de Citrix Analytics

En el libro de trabajo de Citrix Analytics, puede ver los eventos del usuario en los siguientes paneles:

  • Descripción general de las puntuaciones de riesgo del usuario: proporciona una vista consolidada de los usuarios de riesgo en su organización.

  • Detalles del usuario: proporciona detalles de los usuarios y su comportamiento de riesgo.

  • Perfil de usuario: proporciona las métricas de eventos asociadas a los usuarios.

  • Eventos recibidos: proporciona los eventos recibidos de Citrix Analytics for Security.

  • Detalles del indicador de riesgo: proporciona detalles sobre los indicadores de riesgo integrados y personalizados activados por los usuarios.

  • Descripción general de los indicadores de riesgo: proporciona una vista consolidada de los indicadores de riesgo activados por los usuarios.

    Paneles de análisis en Sentinel

Descripción general de la puntuación de riesgo

Este panel proporciona una vista consolidada de los usuarios de riesgo de su organización. Los usuarios se clasifican según los niveles de riesgo: alto, medio y bajo. Los niveles de riesgo se basan en las anomalías de las actividades de los usuarios y, en consecuencia, se asigna una puntuación de riesgo. Para obtener más información sobre los tipos de usuarios de riesgo, consulte el panel Usuarios.

Seleccione un período de tiempo para ver los usuarios de riesgo de su organización.

Descripción general de la puntuación de riesgo

Detalles del usuario

Este panel proporciona la puntuación de riesgo y los indicadores de riesgo asociados con un usuario.

Busque un usuario y vea sus actividades de riesgo que pueden representar una amenaza para su organización. Para mitigar la amenaza, puede tomar las medidas adecuadas en las cuentas de usuario en función de su gravedad del riesgo.

Detalles del usuario

Perfil de usuario

Este panel proporciona los detalles de las métricas de eventos asociadas a sus usuarios durante un período de tiempo seleccionado. Las métricas proporcionan información sobre las actividades de los usuarios, tales como:

  • Las 10 aplicaciones más utilizadas por los usuarios

  • Los 10 dispositivos más utilizados por los usuarios

  • Las 10 ubicaciones principales desde las que los usuarios han iniciado sesión

  • Número de archivos cargados en el servicio Content Collaboration

  • Número de archivos descargados del servicio Content Collaboration

  • Número de archivos compartidos desde el servicio Content Collaboration

  • Número de archivos eliminados del servicio de Content Collaboration

Con los informes, puede:

  • Identificar la tendencia de uso de sus usuarios

  • Descubra los dispositivos no conformes que se utilizan para acceder a los recursos

  • Compruebe si hay posibles accesos con riesgos de sus usuarios

    Libro de trabajo de perfil de usuario

Eventos recibidos

Durante un período de tiempo seleccionado, puede ver el número total de eventos recibidos de Citrix Analytics for Security. El total de eventos recibidos incluye lo siguiente:

  • Resumen de indicadores de riesgo: indica los eventos asociados con el resumen de los indicadores de riesgo del usuario. Para obtener información sobre varios eventos de resumen de indicadores de riesgo, consulte Esquema de indicadores de riesgo.

  • Detalles del evento indicador de riesgo: indica los eventos asociados con los detalles de los indicadores de riesgo del usuario. Para obtener información sobre varios eventos detallados de indicadores de riesgo, consulte Esquema de indicadores de riesgo.

  • Puntuación de riesgo del perfil de usuario: indica los eventos asociados con la puntuación de riesgo de los usuarios. Para obtener información, consulte Panel de usuarios.

  • Cambios en la puntuación de riesgo: indica los eventos asociados al cambio en la puntuación de riesgo de los usuarios Para obtener información, consulte Panel de usuarios.

  • Ubicaciones del perfil de usuario: indica los eventos asociados a las ubicaciones desde las que los usuarios iniciaron sesión.

  • Aplicación de perfil de usuario: indica los eventos asociados a las aplicaciones utilizadas por los usuarios.

  • Uso del perfil de usuario: indica los eventos asociados con el uso de datos de los usuarios.

  • Dispositivo de perfil de usuario: indica los eventos asociados a los dispositivos utilizados por los usuarios.

Al revisar el panel a intervalos regulares, puede asegurarse de que los eventos fluyan correctamente a su espacio de trabajo de Microsoft Sentinel. Cualquier discrepancia en el total de eventos recibidos puede indicar problemas de integración con Citrix Analytics for Security. Puede llevar a cabo los pasos necesarios para depurar los problemas.

Libro de trabajo de eventos recibidos

Detalles del indicador de riesgo

Este panel proporciona los detalles de los indicadores de riesgo activados por sus usuarios.

Puede ver los detalles del indicador de riesgo seleccionando una o más categorías:

  • Rango de tiempo: seleccione un rango de tiempo para ver los detalles de los indicadores de riesgo activados durante el período.

  • Tipo de entidad: seleccione ID de usuario o recurso compartido para ver los detalles de los indicadores de riesgo asociados.

  • Tipo de indicador de riesgo: seleccione indicadores de riesgo incorporados o personalizados para ver sus detalles.

  • Fuente de datos: seleccione una fuente de datos para ver los indicadores de riesgo asociados.

  • Categoría de indicador de riesgo: seleccione la categoría de riesgo para ver los indicadores de riesgo asociados.

  • Indicador de riesgo: seleccione un indicador de riesgo por su nombre y vea sus detalles.

    Libro de trabajo detallado del indicador de riesgo

Resumen de indicadores de riesgo

Este panel proporciona una vista consolidada de todos los indicadores de riesgo activados por sus usuarios.

Puede ver los indicadores de riesgo seleccionando una o más categorías:

  • Rango de tiempo: seleccione un período de tiempo para ver los indicadores de riesgo que se activan durante ese período.

  • Tipo de indicador de riesgo: seleccione integrado o personalizado para ver los indicadores de riesgo asociados.

  • Tipo de entidad: Seleccione un ID de usuario o de recurso compartido para ver los indicadores de riesgo asociados.

    Libro de trabajo general de indicadores de riesgo

Libro de trabajo de Citrix Analytics para Microsoft Sentinel