Paneles de Citrix Analytics para Splunk

Nota

:CitrixContent Collaboration y ShareFile han llegado al final de su vida útil y ya no están disponibles para los usuarios.

Esta función se encuentra en Tech Preview.

Requisito previo

Para utilizar los siguientes paneles de control de Citrix Analytics, asegúrese de que ya ha configurado y configurado la aplicación Citrix Analytics para Splunk.

Descripción general de la puntuación de riesgo

Este panel proporciona una vista consolidada de los usuarios de riesgo de su organización. Los usuarios se clasifican según los niveles de riesgo: alto, medio y bajo. Los niveles de riesgo se basan en las anomalías de las actividades de los usuarios y, en consecuencia, se asigna una puntuación de riesgo. Para obtener más información sobre los tipos de usuarios de riesgo, consulte el panel Usuarios.

Para ver este panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general de las puntuaciones de riesgo del usuario.

Seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver la cronología de los usuarios con riesgos y sus detalles.

La tabla Usuarios con riesgos proporciona la siguiente información:

• Usuario: indica el nombre de usuario. Haga clic en un nombre de usuario para ver los detalles sobre el comportamiento de riesgo del usuario en el panel Citrix Analytics - Detalles de entidad.

• Riesgos de dispositivo de punto finales comprometidos detectados: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de dispositivo de punto finales comprometidos.

• Riesgos detectados para usuarios comprometidos: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de usuarios comprometidos.

• Riesgos de exfiltración de datos detectados: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de exfiltración de datos.

• Riesgos de amenazas internas detectados: indica el número de indicadores de riesgo activados por el usuario que pertenecen a la categoría de riesgo de amenazas internas.

• Puntuación de riesgo: indica la puntuación de riesgo del usuario.

También puede buscar un usuario por su nombre de usuario y obtener los detalles necesarios.

Para obtener más información, consulte las categorías de riesgo.

Resumen de indicadores de riesgo

El panel proporciona una vista consolidada de los indicadores de riesgo activados por los usuarios de su organización.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general del indicador de riesgo.

Seleccione la categoría para ver el informe

Busque los indicadores de riesgo seleccionando una o varias categorías:

• Intervalo de tiempo: seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver los indicadores de riesgo desencadenados para ese período.

• Tipo de indicador de riesgo: Seleccione el tipo de indicador de riesgo: integrado o personalizado.

• Tipo de entidad: seleccione un usuario para ver los indicadores de riesgo asociados.

• Grupo: seleccione un criterio para agrupar los eventos de usuario por origen de datos, categoría de indicador, nombre de indicador, tipo de indicador o tipo de entidad y ver los indicadores de riesgo asociados.

  

Ver informe

Utilice los siguientes informes para ver detalles sobre los indicadores de riesgo seleccionando una o varias categorías:

• Número de indicadores de riesgo activados: muestra el número de indicadores de riesgo activados para el período seleccionado. Utilice este informe para identificar el patrón y las áreas de las actividades de riesgo. Además, identifique las actividades más riesgosas de su organización.

• Recuento total y distinto de entidades de eventos del indicador de riesgo: muestra el total de eventos y los eventos únicos correspondientes a un indicador de riesgo. Utilice este informe para identificar las ocurrencias de cada indicador de riesgo y los principales indicadores de riesgo de su organización. También puede identificar cuántos usuarios únicos activaron un indicador de riesgo en particular y comprobar si el indicador de riesgo lo activa un grupo de usuarios más grande o más pequeño.

• Indicadores de riesgo por ubicaciones: muestra el número de indicadores de riesgo activados por los usuarios en todas las ubicaciones. Utilice este informe para identificar las ubicaciones que muestran actividades más riesgosas y comprobar si las ubicaciones están fuera del área de operación de su organización.

• Detalles del indicador de riesgo: muestra los detalles del indicador de riesgo, como la fuente de datos asociada, la categoría del indicador, el tipo de indicador y el número de incidencias.

Detalles del indicador de riesgo

El panel de control proporciona información detallada sobre los indicadores de riesgo integrados y personalizados activados por los usuarios. Para obtener más información, consulte Indicadores de riesgo de usuario de Citrix e Indicadoresde riesgo personalizados.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Detalles del indicador de riesgo.

Seleccione la categoría para ver los informes

Consulte los detalles de los indicadores de riesgo seleccionando una o varias categorías:

• Intervalo de tiempo: seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver los detalles de los indicadores de riesgo desencadenados para ese período.

• Tipo de entidad: seleccione un usuario para ver los detalles de los indicadores de riesgo asociados.

• Tipo de indicador de riesgo: seleccione el tipo de indicador de riesgo integrado o personalizado para ver sus detalles.

• Origen de datos: seleccione la fuente de datos para ver los detalles de los indicadores de riesgo asociados.

• Categoría de indicador de riesgo: seleccione la categoría de riesgo para ver los detalles de los indicadores de riesgo asociados.

• Indicador de riesgo: seleccione el indicador de riesgo para ver sus detalles.

Ver los informes

Por ejemplo, en la lista Seleccionar indicador de riesgo, seleccione Error de autenticación inusual (Citrix Content Collaboration), haga clic en Enviary consulte la siguiente información:

• Los 10 principales usuarios asociados al indicador de riesgo

• Detalles sobre el indicador de riesgo como

  • Fecha y hora del desencadenador

  • Origen de datos asociado

  • Categoría de riesgo asociada

  • ID de entidad asociada y tipo de entidad de usuario

  • Gravedad del riesgo alta, media o baja

  • Probabilidad de riesgo del evento de usuario

  • Identidad única del indicador de riesgo (UUID)

    

En 10 entidades principales por indicadores de riesgo, haga clic en una entidad para ver sus detalles en el panel Citrix Analytics- Detalles de entidad .

Haga clic en cada fila de la tabla Detalles del indicador de riesgo para ver el resumen del evento, los detalles del evento y los eventos sin procesar del indicador de riesgo seleccionado.

En la sección Resumen de eventos del indicador de riesgo, haga clic en el enlace de la interfaz de usuario de Citrix Analytics para ir directamente a la cronología del usuario en Citrix Analytics for Security desde su Splunk. En el cronograma del usuario, vea el indicador de riesgo, los eventos asociados y cualquier acción aplicada al usuario.

Para obtener más información sobre el resumen de eventos y los detalles de los eventos, consulte Formato de datos de Citrix Analytics para SIEM.

Detalles de entidad

Utilice el panel de control para ver los detalles sobre un usuario de la entidad de usuario y su comportamiento riesgoso.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Detalles de la entidad.

Ver el informe

Introduzca un intervalo de tiempo y la entidad (nombre de usuario) y haga clic en Enviar para ver la información detallada.

De forma alternativa, también puede ver la información detallada sobre una entidad en los siguientes paneles:

• En Citrix Analytics: detalles del indicador de riesgo, vaya a las 10 principales entidades por indicadores de riesgoy haga clic en una entidad.

  

• En Citrix Analytics: descripción general de la puntuación de riesgo, vaya a Usuarios con riesgos y haga clic en un nombre de usuario.

  

Se muestra la siguiente información detallada:

• Puntuación de riesgo actual y cronograma de la puntuación de riesgo para el intervalo de tiempo seleccionado.

• Distribución porcentual de los indicadores de riesgo. Le ayuda a analizar el patrón de actividades de riesgo de la entidad.

• Distribución geográfica de los indicadores de riesgo. Le ayuda a identificar las ubicaciones inusuales y de alto riesgo.

• Detalles de IP del cliente asociados a las actividades de riesgo.

• Detalles del dispositivo del usuario asociados a las actividades de riesgo.

• Detalles del indicador de riesgo, como la fuente de datos asociada, la categoría de riesgo, la gravedad del riesgo, etc.

  

  

Correlaciona las IP de los clientes y los dispositivos de usuario asociados a actividades de riesgo con los eventos recopilados de otras fuentes de seguridad que están conectadas a tu Splunk. Por ejemplo, haga clic en una fila de la tabla Detalles de IP del cliente .

En el panel de control de correlación de eventos de Citrix Analytics, puede ver los eventos asociados a la IP del cliente seleccionada que se correlacionan desde los demás orígenes de datos de seguridad (según el índice y el tipo de origen). Estos eventos proporcionan información más detallada sobre las actividades maliciosas asociadas con la IP del cliente.

Descripción general del perfil de usuario

Utilice el panel de control para ver las métricas de eventos asociadas a los usuarios de su organización.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general del perfil de usuario.

Ver los eventos

Selecciona un intervalo de tiempo y consulta las siguientes métricas:

• Las 10 aplicaciones más utilizadas por los usuarios

• Los 10 dispositivos más utilizados por los usuarios

• Las 10 mejores ubicaciones utilizadas por los usuarios

• Número de aplicaciones web y SaaS utilizadas

• Número de dispositivos utilizados

• Número de usuarios que han accedido a todas las ubicaciones

• Métricas de uso de datos como archivos cargados, descargados y compartidos

Estas métricas le proporcionan información sobre las actividades de los usuarios en su organización. Puede identificar las aplicaciones y dispositivos más importantes, los patrones de uso, los dispositivos y aplicaciones que no cumplen los requisitos, las ubicaciones inusuales, el acceso de riesgo y las actividades de archivos inusuales.

Eventos recibidos

Utilice el panel de control para ver los eventos recibidos de Citrix Analytics for Security. Un evento indica un tipo de actividad del usuario.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Eventos recibidos.

Ver los informes

Seleccione un intervalo de tiempo para ver y comparar los distintos tipos de eventos recibidos. El panel de control proporciona la siguiente información:

• Total de eventos recibidos: es la suma de todos los eventos recibidos de Citrix Analytics for Security, incluidos los siguientes:

  • Eventos del indicador de riesgo total: indica los eventos asociados a los indicadores de riesgo desencadenados por los usuarios.

  • Eventos detallados del indicador de riesgo total: indica los eventos asociados con los detalles de los indicadores de riesgo desencadenados.

  • Eventos de cambio de puntuación de riesgo total: indica los eventos asociados con el cambio de puntuación de riesgo del usuario.

  • Total de eventos de puntuación de riesgo del perfil de usuario: indica los eventos asociados a las puntuaciones de riesgo de los usuarios.

  • Sucesos totales de aplicaciones de perfil de usuario: indica los eventos asociados a las aplicaciones utilizadas por los usuarios.

  • Sucesos totales de dispositivos de perfil de usuario: indica los eventos asociados a los dispositivos utilizados por los usuarios.

  • Sucesos totales de uso de datos de perfil de usuario: indica los eventos asociados con el uso de datos de los usuarios.

  • Sucesos totales de ubicación de perfil de usuario: indica los eventos asociados a las ubicaciones a las que acceden los usuarios.

    

Correlación de eventos de ejemplo

Utilice el panel para correlacionar los eventos recibidos de Citrix Analytics for Security con los eventos recopilados de otros orígenes de datos de seguridad configurados en su Splunk. Obtiene información más profunda sobre las actividades riesgosas del usuario recopiladas de múltiples fuentes de datos, encuentra relaciones entre los eventos e identifica cualquier amenaza.

Para ver el panel, haga clic en Correlación SIEM - Paneles de ejemplo > Correlación de eventos de Citrix Analytics.

Requisitos previos

Para llevar a cabo la correlación, asegúrese de lo siguiente:

• Debe tener eventos de otros orígenes de datos de seguridad para correlacionarlos. Por ejemplo, eventos asociados a usuarios, dispositivos y direcciones IP de clientes recibidos de otros orígenes de datos configuradas en su Splunk.

• Debe tener un índice de correlación definido durante la configuración.

Correlaciona los eventos

Puede ver las entidades de mayor riesgo y las direcciones IP de mayor riesgo detectadas por Citrix Analytics for Security. Para correlacionar estos eventos con otros orígenes de datos (definidos en el índice y en el tipo de origen), haga clic en una entidad o en una dirección IP de las tablas.

El valor de índice que se muestra en el campo de consulta se define durante la configuración de la aplicación. Puede cambiar el valor del índice a una fuente de datos de seguridad diferente en función de sus requisitos.

Solución de problemas de ausencia de eventos

Si no encuentre ningún evento en todos los paneles, puede deberse a problemas de configuración de la aplicación Citrix Analytics para Splunk y del complemento Citrix Analytics para Splunk. En este caso, compruebe el valor del índice y el valor del tipo de origen. Asegúrese de que los valores del índice y del tipo de fuente sean los mismos en la aplicación y en el complemento.

Para ver los valores de configuración de la aplicación Citrix Analytics para Splunk:

1. Haga clic en Aplicaciones > Administrar aplicaciones.

   

2. Busque la aplicación Citrix Analytics para Splunk en la lista. Haga clic en Configurar.

   

3. Compruebe el tipo de fuente y el índice.

   

Para ver los valores de configuración del complemento Citrix Analytics para Splunk:

1. Haga clic en Configuración > Entradas de datos.

   

2. Haga clic en Complemento de Citrix Analytics.

   

3. Haga clic en el arrendatario del que obtiene los eventos.

4. Selecciona Más ajustes.

   

5. Compruebe el tipo de fuente y el índice.

   

Para obtener más información sobre la configuración, consulte Configurar el complemento Citrix Analytics para Splunk.