Citrix Analytics para seguridad

Panel de usuarios

El panel Usuarios es el punto de inicio del análisis del comportamiento de los usuarios y la prevención de amenazas.

Este panel proporciona visibilidad de los patrones de comportamiento de los usuarios en una organización. Con estos datos, puede supervisar, detectar y marcar de forma proactiva comportamientos que no son habituales, como ataques de phishing o ransomware.

El panel Usuarios contiene las siguientes secciones:

  • Usuarios descubiertos. Número total de usuarios de la organización que utilizan los orígenes de datos para los que ha habilitado Analytics.

  • Usuarios arriesgados. Usuarios que han actuado de manera arriesgada o han presentado comportamientos arriesgados. Lista de usuarios arriesgados que tienen el puntaje de riesgo más alto y las ocurrencias de indicadores de riesgo asociados con su cuenta.

  • Usuarios de alto riesgo. Usuarios que representan una amenaza inmediata para la organización.

  • Usuarios de riesgo medio. Los usuarios que puedan tener varias infracciones graves en su cuenta y deben ser supervisados de cerca.

  • Usuarios de bajo riesgo. Usuarios que tienen algunas violaciones detectadas en su cuenta, pero potencialmente no son una amenaza.

  • Usuarios en lista de seguimiento. Usuarios supervisados de cerca por los administradores.

  • Usuarios privilegiados. Usuarios que pueden ver datos confidenciales y modificar la configuración crítica del sistema en una organización.

  • Indicadores de riesgo. Muestra los cinco indicadores de riesgo principales de la organización.

  • Resumen de acceso. Resume el número total de intentos realizados por los usuarios para acceder a los recursos de la organización.

  • Directivas y acciones. Muestra las cinco principales directivas y acciones aplicadas a los perfiles de usuario.

  • Categorías de riesgo. Muestra las categorías de riesgo compatibles con Citrix Analytics. Los indicadores de riesgo con patrones de comportamiento similares se agrupan en las categorías.

Usuarios descubiertos

Número total de usuarios de la organización que utilizan los orígenes de datos para los que ha habilitado Analytics. Es posible que tengan o no una puntuación de riesgo asociada a su cuenta. Es posible que el número de usuarios descubiertos en el panel Usuarios sea mayor que el número de usuarios arriesgados.

Haga clic en el vínculo Usuarios descubiertos del panel para ver la página Usuarios que muestra una lista completa de los usuarios detectados por Citrix Analytics. La página Usuarios también muestra los orígenes de datos, las puntuaciones de riesgo y el número de ocurrencias del indicador de riesgo asociadas con los usuarios detectados.

Usuarios descubiertos

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios detectados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Utilice el siguiente mapa de interfaz para aprender a interactuar con la página Usuarios.

Sección Usuarios descubiertos

Consulte la siguiente información:

Facetas

Filtrar los eventos de usuario en función de las siguientes categorías:

  • Puntuación de riesgo: Eventos de usuario basados en puntajes de alto riesgo, riesgo medio y bajo riesgo.

  • Usuario: eventos de usuario basados en los privilegios de administrador, privilegios ejecutivos y usuarios de lista de seguimiento.

  • Orígenes de datos descubiertos: eventos de usuario basados en el origen de datos que ha incorporado.

Cuadro de búsqueda

Utilice el cuadro de búsqueda para buscar eventos para los usuarios. Puede utilizar operadores en la consulta para limitar el enfoque de la búsqueda. Para obtener información sobre los operadores válidos que puede utilizar en la consulta, consulte Búsqueda de autoservicio.

Puntuación

La puntuación de riesgo determina el nivel de riesgo que un usuario plantea para una organización durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento del usuario. Según el puntaje de riesgo, un usuario puede caer dentro de una de las tres categorías: usuario de alto riesgo, usuario de riesgo medio o usuario de bajo riesgo.

Usuario

Lista de todos los usuarios descubiertos por Analytics. Seleccione un nombre de usuario para ver la información del usuario y el cronograma de riesgo del usuario. El usuario puede o no haber activado ningún indicador de riesgo. Si no hay eventos de riesgo asociados con este usuario, verá el siguiente mensaje.

Ningún evento arriesgado

Si hay eventos de riesgo asociados con un usuario, verá los indicadores de riesgo en su cronología de riesgo. Seleccione el usuario para ver su cronología de riesgos.

Un usuario se puede marcar como privilegiado y agregarse a la lista de seguimiento.

Ocurrencia de los indicadores de riesgo

Número de veces que se activa un indicador de riesgo para un usuario. Un indicador de riesgo puede ser default o personalizados. Al seleccionar el período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Origen de datos descubierto

El origen de datos asociado a un usuario. Cuando un usuario utiliza activamente el origen de datos, Analytics recibe los eventos de usuario de ese origen de datos. Para recibir eventos de usuario, debe activar el procesamiento de datos en la tarjeta de sitio de origen de datos, que está disponible en la página Orígenes de datos.

Usuarios arriesgados

Los usuarios arriesgados son usuarios descubiertos que tienen eventos arriesgados asociados y han activado al menos un indicador de riesgo. El nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico está determinado por la puntuación de riesgo asociada al usuario. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario arriesgado puede pertenecer a una de las tres categorías: usuario de alto riesgo, usuario de riesgo medio o usuario de riesgo bajo.

En el panel Usuarios arriesgados, puede ordenar los cinco usuarios más arriesgados según la puntuación más alta o las ocurrencias del indicador de riesgo más altas.

  • Selecciona Puntuación más alta para ver a los cinco usuarios más arriesgados según la puntuación de riesgo más alta.

  • Seleccione Indicador de riesgo para ver los cinco principales indicadores de riesgo con el máximo de incidencias.

Enlace de usuario arriesgado

Haga clic en el vínculo Usuarios arriesgados en la parte superior o en el vínculo Ver más en el panel Usuarios arriesgados para ver la página Usuarios. Esta página muestra todos los usuarios arriesgados y sus indicadores de riesgo. Puede utilizar las facetas y la barra de búsqueda para filtrar los eventos en función de sus requisitos.

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios arriesgados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Panel de control de usuario arriesgado

Usuarios de alto riesgo

Usuarios con puntaje de riesgo entre 90 y 100. Estos usuarios representan amenazas inmediatas para la organización.

En el panel Usuarios, puede ver el número de usuarios de alto riesgo durante los últimos 13 meses. Por ejemplo, la siguiente imagen muestra cinco usuarios de alto riesgo en los últimos 13 meses.

Usuarios de alto riesgo

Haga clic en la casilla para ver la página Usuarios que muestra los detalles sobre los usuarios de alto riesgo, como la puntuación de riesgo, las incidencias del indicador de riesgo y sus orígenes de datos. Al seleccionar el período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios de riesgo medio

Usuarios con puntaje de riesgo entre 70 y 89. Estos usuarios pueden tener múltiples infracciones graves en su cuenta y deben ser monitoreados de cerca.

En el panel Usuarios, puede ver el número de usuarios de riesgo medio durante los últimos 13 meses. Por ejemplo, la siguiente imagen muestra ocho usuarios de riesgo medio en los últimos 13 meses.

Usuarios de riesgo medio

Haga clic en la casilla para ver la página Usuarios que muestra los detalles sobre los usuarios de riesgo medio, como la puntuación de riesgo, las incidencias del indicador de riesgo y sus orígenes de datos. Al seleccionar el período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios de bajo riesgo

Usuarios con puntaje de riesgo entre 1 y 69. Estos usuarios pueden tener algunas infracciones detectadas en su cuenta. También pueden incluir usuarios que anteriormente eran usuarios de alto o medio riesgo. Estos usuarios han sido reevaluados durante un período de tiempo predeterminado.

En el panel Usuarios, puede ver el número de usuarios de bajo riesgo durante los últimos 13 meses. Por ejemplo, la siguiente imagen muestra 147 usuarios de bajo riesgo en los últimos 13 meses.

Usuarios de bajo riesgo

Haga clic en la casilla para ver la página Usuarios que muestra los detalles sobre los usuarios de bajo riesgo, como la puntuación de riesgo, las incidencias del indicador de riesgo y sus orígenes de datos. Al seleccionar el período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios en lista de seguimiento

Lista de usuarios supervisados de cerca para detectar posibles amenazas. Por ejemplo, puede supervisar los usuarios que no son empleados a tiempo completo dentro de la organización agregando esos usuarios a la lista de seguimiento. También puede supervisar a los usuarios que activan un indicador de riesgo específico con frecuencia. Puede agregar un usuario a la lista de seguimiento manualmente o definir directivas para agregar usuarios a la lista de seguimiento.

Si no hay usuarios agregados a la lista de visualización, verá la siguiente pantalla en el panel Usuarios.

Cero usuarios en listas de seguimiento

Si ha agregado usuarios a la lista de seguimiento, en el panel Usuarios, puede ver los cinco usuarios principales de la lista de seguimiento en función de la puntuación más alta.

Usuarios del panel de usuarios en la lista de seguimiento

Haga clic en el cuadro Usuarios en la lista de seguimiento o en el vínculo Ver más del panel Usuarios en la lista de seguimiento para ver la página Usuarios que muestra la lista de todos los usuarios de la lista de control.

Nota

En el panel Usuarios y en la página Usuarios, el número de usuarios de la lista de seguimiento se muestra durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Lista de seguimiento

Usuarios privilegiados

Los usuarios con privilegios son los empleados que tienen acceso legítimo a los datos confidenciales y a la configuración del sistema de una organización. Debido a sus derechos privilegiados, las acciones maliciosas de los usuarios privilegiados suelen ser indistinguibles de sus actividades cotidianas. Por lo tanto, las acciones de los usuarios privilegiados permanecen desdetectadas durante mucho tiempo. Tales acciones exponen a las organizaciones a una amplia variedad de riesgos. Para superar este desafío, Citrix Analytics proporciona la función de supervisión de usuarios privilegiados. Esta función le permite supervisar de cerca las anomalías de comportamiento de los usuarios privilegiados de su organización.

En el panel Usuarios, puede ver los cinco usuarios privilegiados principales en función de la puntuación de riesgo más alta. Los usuarios privilegiados se clasifican como administradores y ejecutivos.

  • Administradores. Usuarios que tienen derechos de administrador para un producto o servicio. Por ejemplo, cuando el privilegio de un usuario se eleva a administrador en el servicio Content Collaboration, esta información se muestra en la página Usuarios. A continuación, puede supervisar las actividades de los usuarios administradores.

    Considere al usuario Maria Brown a quien se le asignaron privilegios de administrador en el servicio Content Collaboration. María comienza a eliminar excesivamente archivos y carpetas, y desencadena el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Citrix Analytics le ayuda a comparar este indicador de riesgo con la información disponible en la página Usuarios. Puede decidir si el indicador de riesgo se activó después de que se asignaron privilegios de administrador al usuario en Content Collaboration. En caso afirmativo, puede realizar las acciones apropiadas en el perfil del usuario privilegiado.

  • Ejecutivos. Usuarios, preferiblemente de la alta dirección de su organización. En la página Usuarios, puede agregar o quitar usuarios como usuarios ejecutivos. Para obtener instrucciones, consulte las secciones Agregar como usuario privilegiado y Quitar como usuario privilegiado.

    Considere un caso en el que haya agregado un usuario como usuario privilegiado. El usuario comienza a eliminar archivos y carpetas excesivamente, y desencadena el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Citrix Analytics le ayuda a comparar el indicador de riesgo con la información de la página Usuarios. Al comparar la información, puede determinar si el indicador de riesgo se activó después de que el usuario fue marcado como usuario ejecutivo. En caso afirmativo, puede realizar las acciones apropiadas en el perfil del usuario.

Usuarios con privilegios del panel

Haga clic en el vínculo Usuarios con privilegios en la parte superior o en el vínculo Ver más del panel Usuarios con privilegios para ver la página Usuarios con privilegios que muestra a los usuarios privilegiados con administradores y ejecutivos junto con los detalles más recientes del indicador de riesgo. Los usuarios con privilegios se representan con un icono en la columna USUARIO.

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios privilegiados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las apariciones del indicador de riesgo cambian en función de la selección de tiempo.

Agregar como usuario privilegiado

  1. En la página Usuarios, vaya a la tabla Todos los usuarios y seleccione los usuarios que desea agregar como usuarios ejecutivos.

  2. Haga clic en Marcar privilegiado.

Usuarios privilegiados

Quitar como usuario privilegiado

  1. En la página Usuarios, vaya a la tabla Todos los usuarios y seleccione los usuarios que desea quitar como usuarios ejecutivos.

  2. Haga clic en Eliminar de privilegios.

Usuarios privilegiados

Indicadores de riesgo

Resume los cinco principales indicadores de riesgo para un período de tiempo seleccionado. Los indicadores de riesgo pueden ser default o personalizados. Para los indicadores de riesgo predeterminados, Citrix Analytics recopila datos de las fuentes de datos descubiertas y en las que se habilita el procesamiento de datos.

Para indicadores de riesgo personalizados, Citrix Analytics recopila datos de los siguientes orígenes de datos en función de los eventos de riesgo generados:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

En el panel Indicadores de riesgo, puede ver los cinco indicadores de riesgo principales y ordenarlos en función de las incidencias totales o la gravedad.

Panel de indicadores de riesgo

Haga clic en Ver más en el panel Indicadores de Riesgo para ver la página Visión General de Indicadores de Riesgo.

La página Visión General de los Indicadores de Riesgo proporciona información sobre los indicadores de riesgo predeterminados y personalizados. Seleccione el período de tiempo para ver los indicadores de riesgo y sus ocurrencias.

Visión general de los indicadores de riesgo

Haga clic en un indicador de riesgo en la columna NOMBRE para ver detalles sobre el indicador de riesgo, como la vista de escala de tiempo, los usuarios, las ocurrencias y la hora de activación. También puede hacer clic en un indicador de riesgo en el panel Indicadores de riesgo para ver sus detalles. La siguiente imagen muestra los detalles del acceso excesivo a archivos confidenciales (alerta DLP).

Detalle de alerta de DLP

Resumen de acceso

Este panel resume todos los eventos de acceso a la puerta de enlace durante un período de tiempo seleccionado. Muestra el número de acceso total, acceso correcto y acceso fallido a través de Citrix Gateway.

Haga clic en los punteros del gráfico para ver la Búsqueda de autoservicio para Gateway página. Para escenarios de inicio de sesión satisfactorios, los eventos de acceso de puerta de enlace se ordenan por el código de estado de la página.

Panel de resumen de acceso

Directivas y acciones

Muestra las cinco directivas y acciones principales aplicadas a los perfiles de usuario durante un período de tiempo seleccionado. Haga clic en el vínculo Ver más del panel Directivas y acciones para obtener información detallada sobre las directivas y acciones.

Panel de directivas y acciones

Directivas Principales

Las cinco directivas configuradas principales se determinan en función del número de ocurrencias. Cuando se encuentre en la sección Directivas principales del panel y seleccione Ver más, se le redirigirá a la página Todas las directivas.

Panel de directivas y acciones

Todas las directivas

Esta página proporciona información detallada sobre todas las directivas configuradas. Cuando selecciona cualquier directiva, se le redirige a laBúsqueda de directivas de autoserviciopágina. En el panel izquierdo, puede filtrar según las acciones aplicadas.

Cuando selecciona un nombre de usuario, se le redirige a la línea de tiempo de riesgo. La acción basada en directivas se agrega a la línea de tiempo de riesgo del usuario. Al seleccionar la acción, sus detalles se muestran en el panel derecho de la línea de tiempo de riesgo.

Acciones principales

Las cinco acciones principales asociadas a las políticas que se han aplicado a los perfiles de usuario. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario. Las acciones principales se determinan por el número de incidencias.

Haga clic en Ver más para ver todas las acciones basadas en políticas en la página Acciones .

Acciones

La página proporciona la lista de todas las acciones basadas en políticas que se han aplicado a los usuarios durante el período de tiempo seleccionado. Puede ver la siguiente información:

  • Nombre de la acción aplicada según la política

  • Número de usuarios a los que se ha aplicado la acción

  • Número de incidencias de la acción

  • Número de políticas asociadas a la acción

  • Fecha y hora de la acción aplicada

Panel de directivas y acciones

Haga clic en una acción para ver todas las políticas asociadas. Estas políticas se ordenan según el número de incidencias. Por ejemplo, haga clic en Solicitar respuesta de usuario en la página Acciones . La página Todas las políticas muestra todas las políticas asociadas a la acción Solicitar respuesta de usuario .

Panel de directivas y acciones

En la página Todas las políticas, haga clic en una política para ver los eventos de usuario en los que se ha aplicado la acción.

Categorías de riesgo

Este panel proporciona una vista agregada del nivel de exposición al riesgo de una organización durante un período de tiempo seleccionado. Los indicadores de riesgo se agrupan en categorías conocidas en función de los riesgos similares. La categorización de riesgos se admite en indicadores de riesgo predeterminados y personalizados.

Panel de categorías de riesgo

El objetivo del panel Categorías de riesgo es permitir a los administradores de Citrix Virtual Apps and Desktops gestionar los riesgos de los usuarios y mantener conversaciones simplificadas con sus homólogos de seguridad sin necesidad de tener un conocimiento de seguridad a nivel de experto. Permite que el cumplimiento de la seguridad surta efecto a nivel organizativo y no se limita a los administradores de seguridad solos.

Caso de uso

Tenga en cuenta que es administrador de Citrix Virtual Apps and Desktops y administra los derechos de acceso a las aplicaciones de los empleados de su organización. Si va a la sección Categorías de riesgo > Usuarios comprometidos > Fallos de autenticación excesivos - Indicador de riesgo de Citrix Gateway, puede evaluar si los empleados a los que ha concedido acceso se han visto comprometidos. Si navega más lejos, puede obtener información más precisa sobre este indicador de riesgo, como los motivos de falla, las ubicaciones de inicio de sesión, los detalles de la cronología y el resumen del usuario. Si observa alguna discrepancia entre los usuarios a los que se concedió acceso y los usuarios que se vieron comprometidos, puede notificarlo al administrador de seguridad al respecto. Esta notificación oportuna al administrador de seguridad contribuye a la aplicación de la seguridad a nivel organizativo.

Caso de uso de categorías de riesgo

¿Cómo analizar el panel Categorías de riesgo?

Cuando selecciona Ver más en el panel Categorías de riesgo, se le redirige a la página que resume los detalles sobre las categorías de riesgo. Esta página contiene los siguientes detalles:

  • Informe de categorías de riesgo: Representa las incidencias totales del indicador de riesgo de cada categoría durante un período de tiempo seleccionado.

    Página Categorías de riesgo

  • Detalles de la escalade tiempo: proporciona una representación gráfica de las ocurrencias totales del indicador de riesgo de cada categoría de riesgo durante un período de tiempo seleccionado. Si navega hasta la parte inferior de esta sección, puede ordenar según categorías de riesgo para obtener información más precisa sobre los indicadores de riesgo.

    Página Categorías de riesgo

  • Resumen de categorías de riesgo: esta sección proporciona detalles como el impacto, ocurrencias y gravedad de los indicadores de riesgo asociados a cada categoría. Seleccione cualquier categoría de riesgo para ver detalles sobre los indicadores de riesgo asociados a esa categoría. Por ejemplo, al seleccionar la categoría Usuarios comprometidos, se le redirige a la página Usuarios comprometidos.

    Página Categorías de riesgo

La página Usuarios comprometidos muestra los siguientes detalles:

  • Informe de indicadores de riesgo: muestra los indicadores de riesgo que pertenecen a la categoría Usuarios comprometidos durante un período de tiempo seleccionado. También muestra el total de ocurrencias de los indicadores de riesgo que se activaron durante el período de tiempo seleccionado.

    Página Usuarios comprometidos

  • Detalles de la Líneade Tiempo: Proporciona una representación gráfica de las ocurrencias del indicador de riesgo para un período de tiempo seleccionado.

    Página Usuarios comprometidos

  • Resumen de indicadores de riesgo: muestra un resumen de los indicadores de riesgo generados en la categoría de usuarios comprometidos. En esta sección también se muestra la gravedad, el origen de datos, el tipo de indicador de riesgo, las incidencias y la última aparición.

    Página Usuarios comprometidos

Cuando selecciona un indicador de riesgo, se le redirige a la página que resume los detalles de ese indicador. Por ejemplo, si selecciona el indicador de riesgo del dispositivo por primera vez, se le redirigirá a la página que resume los detalles sobre este indicador. El resumen incluye detalles de la cronología sobre las ocurrencias de este evento y un resumen de usuario que enumera los usuarios que activaron este indicador de riesgo, las ocurrencias del indicador de riesgo y la hora del evento. Cuando selecciona un usuario, se le redirige a la línea de tiempo de riesgo del usuario.

Página Usuarios comprometidos

Nota

Citrix Analytics agrupa los indicadores de riesgo predeterminados en la categoría de riesgo adecuada. Para indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo en la página Crear indicador. Para obtener más información, consulte Indicadores de riesgo personalizados.

Tipos de categorías de riesgo

Exfiltración de datos

Esta categoría agrupa los indicadores de riesgo desencadenados por malware o por empleados que realizan transferencias de datos no autorizadas o robos de datos hacia o desde un dispositivo de una organización. Puede obtener información sobre todas las actividades de exfiltración de datos que se han llevado a cabo durante un período de tiempo especificado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de exfiltración de datos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Exfiltración potencial de datos
Citrix Content Collaboration Acceso excesivo a archivos confidenciales
Citrix Content Collaboration Uso compartido excesivo de archivos
Citrix Access Control Volumen de carga inusual

Amenazas internas

Esta categoría agrupa los indicadores de riesgo desencadenados por los empleados dentro de una organización. Dado que los empleados tienen mayores niveles de acceso a aplicaciones específicas de la empresa, las organizaciones tienen mayores posibilidades de riesgos de seguridad. Las actividades arriesgadas pueden ser causadas intencionalmente por un interno malicioso o ser el resultado de un error humano. En cualquiera de los escenarios, el impacto en la seguridad en la organización es perjudicial. Esta categoría proporciona información sobre todas las actividades de amenazas internas que han tenido lugar durante un período de tiempo especificado. Con la ayuda de estos conocimientos, puede mitigar los riesgos asociados a esta categoría mediante la aplicación proactiva de acciones en los perfiles de usuario.

La categoría de riesgo de amenazas internas agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Content Collaboration Eliminación excesiva de archivos o carpetas
Citrix Content Collaboration Subidas excesivas de archivos
Citrix Access Control Descarga excesiva de datos
Citrix Access Control Intento de acceder a la URL de la lista de bloqueados
Citrix Access Control Acceso a sitios web arriesgado

Usuarios comprometidos

Esta categoría agrupa los indicadores de riesgo en los que los usuarios muestran patrones de comportamiento inusuales, como inicios de sesión sospechosos o fallos de inicio de sesión. Alternativamente, los patrones inusuales pueden ser el resultado de que las cuentas de usuario se vean comprometidas. Puede obtener información sobre todos los eventos de usuario comprometidos que han tenido lugar durante un período de tiempo especificado y mitigar los riesgos asociados con esta categoría aplicando acciones proactivamente en los perfiles de usuario.

La categoría de riesgo de usuarios comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Acceso por primera vez desde un dispositivo nuevo
Citrix Content Collaboration Acceso por primera vez desde una nueva ubicación
Citrix Content Collaboration Fallos de autenticación excesivos
Citrix Content Collaboration Actividad de ransomware sospechosa
Citrix Content Collaboration Descargas excesivas de archivos
Citrix Gateway Inicio de sesión desde IP sospechosa
Citrix Gateway Fallos de autenticación excesivos
Citrix Gateway Fallos excesivos de autorización
Citrix Gateway Acceso desde una ubicación inusual
Microsoft Graph Security Indicadores de riesgo de Azure AD Identity Protection
Microsoft Graph Security Indicadores de riesgo de Microsoft Defender for Endpoint

Endpoints comprometidos

Esta categoría agrupa los indicadores de riesgo que se activan cuando los dispositivos presentan un comportamiento inseguro que podría indicar un compromiso.

La categoría de riesgo de puntos finales comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Acceso desde un dispositivo con SO no compatible
Citrix Gateway Fallo de exploración del análisis de punto final (EPA)
Citrix Endpoint Management Dispositivo no administrado detectado
Citrix Endpoint Management Dispositivo liberado por jailbreak o root detectado
Citrix Endpoint Management Dispositivo con aplicaciones en la lista de bloqueados detectado