Citrix Analytics for Security

Paneles de control de Citrix Analytics en Splunk

Nota

Estos paneles están en versión preliminar.

Requisito previo

Para utilizar los siguientes paneles de control de Citrix Analytics, asegúrese de que ya ha configurado y configurado la aplicación Citrix Analytics para Splunk.

Resumen de puntuación de riesgo del usuario

Este panel proporciona una vista consolidada de los usuarios de riesgo de su organización. Los usuarios se clasifican según los niveles de riesgo: alto, medio y bajo. Los niveles de riesgo se basan en las anomalías de las actividades de los usuarios y, en consecuencia, se asigna una puntuación de riesgo. Para obtener más información sobre los tipos de usuarios de riesgo, consulte el panel Usuarios.

Para ver este panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general de las puntuaciones de riesgo del usuario.

Lista desplegable de resumen de la puntuación de riesgo

Seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver la cronología de los usuarios arriesgados y sus detalles.

Panel de control general de puntuación de riesgo 1

La tabla Usuarios riesgosos proporciona la siguiente información:

  • Usuario: indica el nombre de usuario. Haga clic en un nombre de usuario para ver los detalles sobre el comportamiento de riesgo del usuario en el panel Citrix Analytics - Detalles de entidad.

  • Riesgos de endpoints comprometidos detectados: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de endpoints comprometidos.

  • Riesgos detectados para usuarios comprometidos: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de usuarios comprometidos.

  • Riesgos de exfiltración de datos detectados: indica el número de indicadores de riesgo activados por el usuario que pertenece a la categoría de riesgo de exfiltración de datos.

  • Riesgos de amenazas internas detectados: indica el número de indicadores de riesgo activados por el usuario que pertenecen a la categoría de riesgo de amenazas internas.

  • Puntuación de riesgo: indica la puntuación de riesgo del usuario.

También puede buscar un usuario por su nombre de usuario y obtener los detalles necesarios.

Para obtener más información, consulte las categorías de riesgo.

Lista de usuarios arriesgados

Resumen de indicadores de riesgo

El panel proporciona una vista consolidada de los indicadores de riesgo activados por los usuarios de su organización.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general del indicador de riesgo.

Menú general de indicadores de riesgo

Seleccione la categoría para ver el informe

Busque los indicadores de riesgo seleccionando una o varias categorías:

  • Intervalo de tiempo: seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver los indicadores de riesgo desencadenados para ese período.

  • Tipo de indicador de riesgo: Seleccione el tipo de indicador de riesgo: integrado o personalizado.

  • Tipo de entidad: seleccione ID de usuario o recurso compartido para ver los indicadores de riesgo asociados. Los ID de recursos compartidos están asociados únicamente a los indicadores de riesgo de Citrix Content Collaboration

  • Grupo: seleccione un criterio para agrupar los eventos de usuario por origen de datos, categoría de indicador, nombre de indicador, tipo de indicador o tipo de entidad y ver los indicadores de riesgo asociados.

    Categorías generales de indicadores de riesgo

Ver informe

Utilice los siguientes informes para ver detalles sobre los indicadores de riesgo seleccionando una o varias categorías:

  • Número de indicadores de riesgo activados: muestra el número de indicadores de riesgo activados para el período seleccionado. Utilice este informe para identificar el patrón y las áreas de las actividades de riesgo. Además, identifique las actividades más riesgosas de su organización.

  • Recuento total y distinto de entidades de eventos del indicador de riesgo: muestra el total de eventos y los eventos únicos correspondientes a un indicador de riesgo. Utilice este informe para identificar las apariciones de cada indicador de riesgo y los principales indicadores de riesgo de su organización. También puede identificar cuántos usuarios únicos activaron un indicador de riesgo concreto y comprobar si el indicador de riesgo lo activa un grupo de usuarios mayor o menor.

  • Indicadores de riesgo por ubicaciones: muestra el número de indicadores de riesgo activados por los usuarios en todas las ubicaciones. Utilice este informe para identificar las ubicaciones que muestran actividades más riesgosas y comprobar si las ubicaciones están fuera del área de operación de su organización.

  • Detalles del indicador de riesgo: muestra los detalles del indicador de riesgo, como la fuente de datos asociada, la categoría del indicador, el tipo de indicador y el número de incidencias.

Informes generales de indicadores de riesgo 1

Informes generales de indicadores de riesgo 2

Detalles del indicador de riesgo

El panel de control proporciona información detallada sobre los indicadores de riesgo integrados y personalizados activados por los usuarios. Para obtener más información, consulte Indicadores de riesgo de usuario de Citrix e Indicadoresde riesgo personalizados.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Detalles del indicador de riesgo.

Selección de detalles del indicador de riesgo

Seleccione la categoría para ver los informes

Consulte los detalles de los indicadores de riesgo seleccionando una o varias categorías:

  • Intervalo de tiempo: seleccione un intervalo de tiempo preestablecido o un intervalo de tiempo personalizado para ver los detalles de los indicadores de riesgo desencadenados para ese período.

  • Tipo de entidad: seleccione ID de usuario o recurso compartido para ver los detalles de los indicadores de riesgo asociados.

  • Tipo de indicador de riesgo: seleccione el tipo de indicador de riesgo integrado o personalizado para ver sus detalles.

  • Origen de datos: seleccione la fuente de datos para ver los detalles de los indicadores de riesgo asociados.

  • Categoría de indicador de riesgo: seleccione la categoría de riesgo para ver los detalles de los indicadores de riesgo asociados.

  • Indicador de riesgo: seleccione el indicador de riesgo para ver sus detalles.

Ver los informes

Por ejemplo, en la lista Seleccionar indicador de riesgo, seleccione Error de autenticación inusual (Citrix Content Collaboration), haga clic en Enviary consulte la siguiente información:

  • Los 10 principales usuarios o ID de compartir asociados con el indicador de riesgo

  • Detalles sobre el indicador de riesgo como

    • Fecha y hora del desencadenador

    • Origen de datos asociado

    • Categoría de riesgo asociada

    • ID de entidad asociada y tipo de entidad (usuario o recurso compartido)

    • Gravedad del riesgo alta, media o baja

    • Probabilidad de riesgo del evento de usuario

    • Identidad única del indicador de riesgo (UUID)

      Las 10 principales entidades

En 10 entidades principales por indicadores de riesgo, haga clic en una entidad para ver sus detalles en el panel Citrix Analytics- Detalles de entidad .

Detalles del indicador de riesgo

Haga clic en cada fila de la tabla Detalles del indicador de riesgo para ver el resumen del evento, los detalles de los eventos y los eventos sin procesar del indicador de riesgo seleccionado.

En la sección Resumen de eventos del indicador de riesgo, haga clic en el enlace de la interfaz de usuario de Citrix Analytics para ir directamente a la cronología del usuario en Citrix Analytics for Security desde su Splunk. En el cronograma del usuario, vea el indicador de riesgo, los eventos asociados y cualquier acción aplicada al usuario.

Para obtener más información sobre el resumen de eventos y los detalles de los eventos, consulte Formato de datos de Citrix Analytics para SIEM.

Detalles del resumen del evento

Detalles de entidad

Utilice el panel de control para ver los detalles de una entidad (ID de usuario o de recurso compartido) y su comportamiento riesgoso.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Detalles de la entidad.

Selección de detalles del evento

Ver el informe

Introduzca un intervalo de tiempo y la entidad (nombre de usuario o ID de recurso compartido) y haga clic en Enviar para ver la información detallada.

De forma alternativa, también puede ver la información detallada sobre una entidad en los siguientes paneles:

  • En Citrix Analytics: detalles del indicador de riesgo, vaya a las 10 principales entidades por indicadores de riesgoy haga clic en una entidad.

    Vista de entidad

  • En Citrix Analytics: descripción general de la puntuación de riesgo, vaya a Usuarios riesgososy haga clic en un nombre de usuario.

    Selección de nombre de usuario

Se muestra la siguiente información detallada:

  • Puntuación de riesgo actual y cronograma de la puntuación de riesgo para el intervalo de tiempo seleccionado.

  • Distribución porcentual de los indicadores de riesgo. Le ayuda a analizar el patrón de actividades de riesgo de la entidad.

  • Distribución geográfica de los indicadores de riesgo. Le ayuda a identificar las ubicaciones inusuales y de alto riesgo.

  • Detalles de IP del cliente asociados a las actividades de riesgo.

  • Detalles del dispositivo del usuario asociados a las actividades de riesgo.

  • Detalles del indicador de riesgo, como la fuente de datos asociada, la categoría de riesgo, la gravedad del riesgo, etc.

  • Métricas de uso como uso de aplicaciones, uso de dispositivos, ubicación a la que se accede, archivos compartidos, etc.

    Vista de detalles de entidad 1

    Vista de detalles de entidad 2

Correlacione las IP de cliente y los dispositivos de usuario asociados a actividades de riesgo con los eventos recopilados de otras fuentes de seguridad conectadas en su Splunk. Por ejemplo, haga clic en una fila de la tabla Detalles de IP del cliente .

Detalles de IP del cliente

En el panel de control de correlación de eventos de Citrix Analytics, puede ver los eventos asociados a la IP del cliente seleccionada que se correlacionan desde los demás orígenes de datos de seguridad (según el índice y el tipo de origen). Estos eventos proporcionan información más detallada sobre las actividades maliciosas asociadas con la IP del cliente.

Panel de correlación de eventos

Descripción general del perfil de usuario

Utilice el panel de control para ver las métricas de eventos asociadas a los usuarios de su organización.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Descripción general del perfil de usuario.

Selección de resumen del perfil de usuario

Ver los eventos

Selecciona un intervalo de tiempo y consulta las siguientes métricas:

  • Las 10 aplicaciones más utilizadas por los usuarios

  • Los 10 dispositivos más utilizados por los usuarios

  • Las 10 mejores ubicaciones utilizadas por los usuarios

  • Número de aplicaciones web y SaaS utilizadas

  • Número de dispositivos utilizados

  • Número de usuarios que han accedido a todas las ubicaciones

  • Métricas de uso de datos como archivos cargados, descargados y compartidos

Estas métricas le proporcionan información sobre las actividades de los usuarios en su organización. Puede identificar las aplicaciones y dispositivos más importantes, los patrones de uso, los dispositivos y aplicaciones que no cumplen los requisitos, las ubicaciones inusuales, el acceso de riesgo y las actividades de archivos inusuales.

Descripción general del perfil de usuario

Eventos recibidos

Utilice el panel de control para ver los eventos recibidos de Citrix Analytics for Security. Un evento indica un tipo de actividad del usuario.

Para ver el panel, haga clic en Citrix Analytics- Paneles > Citrix Analytics- Eventos recibidos.

Selección de eventos recibidos

Ver los informes

Seleccione un intervalo de tiempo para ver y comparar los distintos tipos de eventos recibidos. El panel de control proporciona la siguiente información:

  • Total de eventos recibidos: Es el conjunto de todos los eventos recibidos de Citrix Analytics for Security que incluye lo siguiente:

    • Eventos del indicador de riesgo total: indica los eventos asociados a los indicadores de riesgo desencadenados por los usuarios.

    • Eventos detallados del indicador de riesgo total: indica los eventos asociados con los detalles de los indicadores de riesgo desencadenados.

    • Eventos de cambio de puntuación de riesgo total: indica los eventos asociados con el cambio en la puntuación de riesgo de los usuarios.

    • Total de eventos de puntuación de riesgo del perfil de usuario: indica los eventos asociados a las puntuaciones de riesgo de los usuarios.

    • Sucesos totales de aplicaciones de perfil de usuario: indica los eventos asociados a las aplicaciones utilizadas por los usuarios.

    • Sucesos totales de dispositivos de perfil de usuario: indica los eventos asociados a los dispositivos utilizados por los usuarios.

    • Sucesos totales de uso de datos de perfil de usuario: indica los eventos asociados con el uso de datos de los usuarios.

    • Sucesos totales de ubicación de perfil de usuario: indica los eventos asociados a las ubicaciones a las que acceden los usuarios.

      Panel de eventos recibidos

Correlación de eventos de ejemplo

Utilice el panel para correlacionar los eventos recibidos de Citrix Analytics for Security con los eventos recopilados de otros orígenes de datos de seguridad configurados en su Splunk. Obtendrá información más detallada sobre las actividades riesgosas de los usuarios recopiladas de múltiples fuentes de datos, encontrará relaciones entre los eventos e identificará cualquier amenaza.

Para ver el panel, haga clic en Correlación SIEM - Paneles de ejemplo > Correlación de eventos de Citrix Analytics.

Selección de correlación de eventos

Requisitos previos

Para llevar a cabo la correlación, asegúrese de lo siguiente:

  • Debe tener eventos de otras fuentes de datos de seguridad para correlacionarlos. Por ejemplo, eventos asociados a usuarios, dispositivos y direcciones IP de clientes recibidos de otras fuentes de datos configuradas en su Splunk.

  • Debe tener un índice de correlación definido durante la configuración.

Correlaciona los eventos

Puede ver las entidades de mayor riesgo y las direcciones IP de mayor riesgo detectadas por Citrix Analytics for Security. Para correlacionar estos eventos con otros orígenes de datos (definidos en el índice y en el tipo de origen), haga clic en una entidad o en una dirección IP de las tablas.

Eventos más riesgosos

El valor de índice que se muestra en el campo de consulta se define durante la configuración de la aplicación. Puede cambiar el valor del índice por otro origen de datos de seguridad según sus necesidades.

Sucesos de otras fuentes de datos

Solución de problemas de ausencia de eventos

Si no encuentre ningún evento en todos los paneles, puede deberse a problemas de configuración de la aplicación Citrix Analytics para Splunk y del complemento Citrix Analytics para Splunk. En este caso, compruebe el valor del índice y el valor del tipo de origen. Asegúrese de que los valores de índice y tipo de fuente sean los mismos tanto en la aplicación como en el complemento.

Para ver los valores de configuración de la aplicación Citrix Analytics para Splunk:

  1. Haga clic en Aplicaciones > Administrar aplicaciones.

    Aplicación de configuración

  2. Busque la aplicación Citrix Analytics para Splunk en la lista. Haga clic en Configurar.

    Configuración

  3. Compruebe el tipo de fuente y el índice.

    Tipo de origen

Para ver los valores de configuración del complemento Citrix Analytics para Splunk:

  1. Haga clic en Configuración > Entradas de datos.

    Entradas de datos

  2. Haga clic en Complemento de Citrix Analytics.

    Seleccione add

  3. Haga clic en el arrendatario del que obtiene los eventos.

  4. Selecciona Más ajustes.

    Configuration

  5. Compruebe el tipo de fuente y el índice.

    Tipo de origen

Para obtener más información sobre la configuración, consulte Configurar el complemento Citrix Analytics para Splunk.