Panel de usuarios

El panel Usuarios es el punto de inicio del análisis del comportamiento de los usuarios y la prevención de amenazas.

Este panel proporciona visibilidad de los patrones de comportamiento de los usuarios en una organización. Con estos datos, puede supervisar, detectar y marcar de forma proactiva comportamientos que no son habituales, como ataques de phishing o ransomware. De forma predeterminada, este panel muestra los perfiles de riesgo del usuario durante el último mes.

El panel Usuarios contiene las siguientes secciones:

  • Usuarios descubiertos. Número total de usuarios de la organización que utilizan los orígenes de datos para los que ha habilitado Analytics. Haga clic en el vínculo del panel para ver la lista completa de usuarios descubiertos por Citrix Analytics.

  • Usuarios arriesgados. Usuarios que han actuado de manera arriesgada o han presentado comportamientos arriesgados. Lista de usuarios de riesgo que tienen la puntuación de riesgo más alta, cambio de puntuación de riesgo más alta, indicadores de riesgo, ocurrencias de indicadores de riesgo y cambios de ocurrencia de indicadores de riesgo asociados a su cuenta. Haga clic en el vínculo Usuarios arriesgados en la parte superior o en el vínculo Ver más en el panel Usuarios arriesgados. Puede ver la lista de todos los usuarios de riesgo y los indicadores de riesgo.

  • Usuarios de alto riesgo. Usuarios que representan una amenaza inmediata para la organización. Haga clic en el enlace para ver la lista de todos los usuarios de alto riesgo y los indicadores de riesgo que activaron.

  • Usuarios de riesgo medio. Los usuarios que puedan tener varias infracciones graves en su cuenta y deben ser supervisados de cerca. Haga clic en el enlace para ver la lista de todos los usuarios de riesgo medio y los indicadores de riesgo que activaron.

  • Usuarios de bajo riesgo. Usuarios que tienen algunas violaciones detectadas en su cuenta, pero potencialmente no son una amenaza. Haga clic en el enlace para ver la lista de todos los usuarios de bajo riesgo y los indicadores de riesgo que activaron.

  • Usuarios en lista de seguimiento. Usuarios supervisados de cerca por los administradores. Haga clic en el cuadro Usuarios en la lista de seguimiento o en el vínculo Ver más del panel Usuarios en la lista de seguimiento para ver la lista de usuarios que se agregan a la lista de seguimiento.

  • Usuarios privilegiados. Usuarios que pueden ver datos confidenciales y modificar la configuración crítica del sistema en una organización. Haga clic en el vínculo Usuarios con privilegios o en el vínculo Ver más del panel Usuarios con privilegios para ver la lista de todos los usuarios con privilegios.

  • Indicadores de riesgo. Muestra los cinco principales indicadores de riesgo predeterminados y personalizados. Haga clic en Ver más en la parte inferior del panel para ver la página Visión general del indicador de riesgo.

  • Resumen de acceso. Resume el número total de intentos realizados por los usuarios para acceder a los recursos de la organización.

  • Directivas y acciones. Muestra las cinco principales directivas y acciones aplicadas a los perfiles de usuario. Haga clic en el vínculo Ver más del panel Directivas y acciones para ver la lista de directivas y acciones aplicadas.

  • Categorías de riesgos. Muestra las categorías de riesgo compatibles con Citrix Analytics. Los indicadores de riesgo con patrones de comportamiento similares se agrupan en las categorías. Haga clic en Ver más en el panel Categorías de riesgo para ver los detalles de cada categoría.

Usuarios descubiertos

Número total de usuarios de la organización que utilizan los orígenes de datos para los que ha habilitado Analytics. Es posible que tengan o no una puntuación de riesgo asociada a su cuenta. Es posible que el número de usuarios descubiertos en el panel Usuarios sea mayor que el número de usuarios arriesgados.

Haga clic en el vínculo del panel para ver la lista completa de usuarios descubiertos por Citrix Analytics.

Usuarios descubiertos

La página Usuarios detectados muestra la lista de todos los usuarios detectados durante un período de tiempo. Puede ver los datos de la última hora, las últimas 12 horas, el último día, la última semana o el último mes.

Utilice el siguiente mapa de interfaz para aprender a interactuar con la página Usuarios descubiertos.

Sección Usuarios descubiertos

Consulte la siguiente información:

Usuario

Lista de todos los usuarios descubiertos por Analytics. Haga clic en un nombre de usuario para ver la información del usuario y la línea de tiempo de riesgo del usuario. El usuario puede o no haber activado ningún indicador de riesgo. Si no hay eventos de riesgo asociados con este usuario, verá el siguiente mensaje.

Ningún evento arriesgado

Si hay eventos de riesgo asociados con un usuario, verá la línea de tiempo de riesgo con detalles del indicador de riesgo.

Para obtener más información, consulte Cronología de riesgos.

Dispositivos

Número de dispositivos utilizados por el usuario para acceder a las fuentes de datos. Citrix Analytics recopila estos datos de Citrix Endpoint Management y Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de dispositivos utilizados por el usuario. El vínculo Vista de tendencia en la esquina superior derecha proporciona una representación gráfica sobre el historial de dispositivos del usuario durante un período de tiempo específico.

Dispositivos de información de usuario

Ubicaciones

Los lugares desde los que el usuario puede haber iniciado sesión en los orígenes de datos. Citrix Analytics recopila los datos de Citrix Content Collaboration y Citrix Gateway. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de ubicaciones desde las que el usuario ha accedido a los datos. El vínculo Vista de mapa situado en la esquina superior derecha proporciona el historial de ubicación de inicio de sesión del usuario durante un período de tiempo específico.

Ubicaciones de información de usuario

Uso de datos

El volumen de datos consumidos por el usuario puede incluir los datos cargados o descargados, los archivos cargados o descargados, y los archivos compartidos o eliminados. Citrix Analytics recopila estos datos de Citrix Content Collaboration. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver los detalles del uso de datos para el usuario. El vínculo Vista de tendencia proporciona una representación gráfica sobre el historial de uso de datos de un usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Aplicaciones utilizadas

Número de aplicaciones a las que ha accedido el usuario durante este periodo de tiempo. Citrix Analytics recopila estos datos de Citrix Virtual Apps and Desktops. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el nombre y el número de aplicaciones utilizadas por el usuario. El vínculo Vista de tendencia en la esquina superior derecha proporciona una representación gráfica sobre el historial de aplicaciones del usuario durante un período de tiempo específico.

Uso de datos de información de usuario

Accesos

Número total de veces que el usuario ha accedido a los datos desde diferentes ubicaciones. Haga clic en un nombre de usuario y, a continuación, vaya a Información de usuario para ver el número de veces que el usuario accedió a los datos.

Por ejemplo, en la siguiente imagen, puede ver que el usuario “ShareFileUser” tiene “24” accesos.

Usuario pesado de productos cruzados

Ahora, haga clic en el nombre de usuario y vaya al panel Información de usuario de la página Línea de tiempo de riesgo. Puede ver que este usuario tiene 24 accesos desde dos ubicaciones diferentes.

Acceso a la información del usuario

Usuarios arriesgados

Los usuarios arriesgados son usuarios descubiertos que tienen eventos arriesgados asociados y han activado al menos un indicador de riesgo. El nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico está determinado por la puntuación de riesgo asociada al usuario. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario arriesgado puede pertenecer a una de las tres categorías: usuario de alto riesgo, usuario de riesgo medio o usuario de riesgo bajo.

En el panel Usuarios, puede ver los cinco usuarios más arriesgados ordenados según la puntuación más alta o las incidencias más altas del indicador de riesgo.

  • Haga clic en Cambio de puntuación más alta para ver los cinco usuarios más arriesgados en función del cambio de puntuación más alto a lo largo de un período de tiempo.

Enlace de usuario arriesgado

  • Haga clic en Indicadores de riesgo para ver los cinco indicadores de riesgo principales con el máximo de ocurrencias.

  • Haga clic en Indicadores de riesgo Cambiar para ver los cinco indicadores de riesgo principales con el máximo cambio en las ocurrencias.

Panel de control de usuario arriesgado

Haga clic en el vínculo Usuarios arriesgados en la parte superior o en el vínculo Ver más en el panel Usuarios arriesgados para ver la lista de todos los usuarios arriesgados y los indicadores de riesgo.

La página Usuarios arriesgados muestra la lista de todos los usuarios arriesgados durante un período de tiempo. Puede ver los datos de la última hora, las últimas 12 horas, el último día, la última semana o el último mes.

Utilice el siguiente mapa de interfaz para aprender a interactuar con la página Usuarios arriesgados.

Usuarios arriesgados

Consulte la siguiente información:

Puntuación

La puntuación o la puntuación de riesgo determina el nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario arriesgado puede pertenecer a una de las tres categorías: usuario de alto riesgo, usuario de riesgo medio o usuario de riesgo bajo.

Cambio

Cambio es el cambio de puntuación de riesgo durante un período de tiempo. Un cambio en la puntuación de riesgo puede ser positivo o negativo. Un cambio de puntuación de riesgo positivo se representa con un signo menos (-), lo que significa que la puntuación de riesgo de un usuario ha disminuido durante un período de tiempo. Cambio de puntuación de riesgo negativo representado con un signo más (+), lo que significa que la puntuación de riesgo de un usuario ha aumentado durante un período de tiempo. Por ejemplo, si la puntuación de riesgo de un usuario era 72 el día anterior y la puntuación de riesgo actual es 92, el cambio de puntuación de riesgo es negativo y se calcula como +20.

Cambio de puntuación de riesgo

Acceso, Datos, Aplicación

Tipos de indicadores de riesgo activados para un usuario. Las columnas muestran el número de diferentes tipos de indicadores de riesgo planteados en un usuario durante un período de tiempo específico.

Usuario

Lista de todos los usuarios arriesgados identificados por algoritmos de aprendizaje automático de Citrix Analytics. Haga clic en un nombre de usuario para ver la información del usuario y la línea de tiempo de riesgo del usuario.

Los indicadores de riesgo asociados con un usuario y el momento en que se activó un indicador de riesgo se muestran en el cronograma de riesgos. Haga clic en cada indicador de riesgo para ver los detalles. Haga clic en Información del usuario para ver la información detallada del usuario, como dispositivos, ubicaciones, uso de datos y aplicación.

Más información: Cronología de riesgos

Cronología de riesgos del usuario descubierto

Cronología de riesgos del usuario descubierto

Nota Actualmente, los datos Autenticación y Dominios no están disponibles en el perfil Información de usuario.

Grupos

Muestra los grupos importados desde Active Directory. Los nombres de los grupos de usuarios se muestran si ha integrado Citrix Analytics con Active Directory. El nombre del grupo N/A indica que no ha integrado Citrix Analytics con Active Directory.

Cambios de ocurrencias y ocurrencias

  • Ocurrencias: número total de incidencias de indicadores de riesgo predeterminados y personalizados para un período de tiempo seleccionado.

  • Cambio deincidencias: Cambiode incidencias de los indicadores de riesgo predeterminados y personalizados para un período de tiempo seleccionado.

    Un cambio de ocurrencias positivas se representa con un signo menos (-), lo que significa que las ocurrencias totales de un indicador de riesgo han disminuido durante un período de tiempo. Un cambio de puntuación de ocurrencias negativas representado con un signo más (+), lo que significa que las ocurrencias totales del indicador de riesgo han aumentado durante un período de tiempo. Por ejemplo, si hay 4 ocurrencias de un indicador de riesgo en la hora o día actual y hubo 6 ocurrencias del mismo indicador de riesgo la hora o día anterior, el cambio en las ocurrencias del indicador de riesgo entre estos dos se calcula como 4-6 y el cambio de ocurrencias es se muestra como -2.

Cambios en las ocurrencias y ocurrencias de usuario riesgosas

¿Cómo desplazarse a Información de usuario desde la página Orígenes de datos?

  1. Vaya a Configuración > Orígenes de datos.
  2. En la tarjeta del sitio de cualquier fuente de datos, seleccione el número de usuarios.
  3. En la página Usuarios, seleccione un usuario y, a continuación, haga clic en Información de usuario. Se muestra el perfil de información de usuario basado en la aplicación, los dispositivos, la ubicación y el uso de datos.

Usuarios de alto riesgo

Usuarios con puntuación de riesgo entre 91 y 100. Estos usuarios representan amenazas inmediatas para la organización.

En el panel Usuarios, puede ver el resumen del número de usuarios de alto riesgo durante un tiempo específico. Esto muestra el número total de usuarios de alto riesgo y el aumento del número de usuarios de alto riesgo.

Por ejemplo, la siguiente imagen muestra datos de las últimas 12 horas. Actualmente, hay cinco usuarios de alto riesgo, de los cuales dos fueron identificados como usuarios de alto riesgo en las últimas 12 horas.

Usuarios de alto riesgo

Haga clic en el cuadro para ver detalles sobre los usuarios de alto riesgo, como la puntuación de riesgo, el cambio de puntuación, la tendencia del cambio de puntuación, el último indicador de riesgo activado y los tipos de indicadores de riesgo.

Más información: Usuarios arriesgados

Datos de usuario de alto riesgo

Usuarios de riesgo medio

Usuarios con puntuación de riesgo entre 71 y 90. Estos usuarios pueden tener múltiples infracciones graves en su cuenta y deben ser monitoreados de cerca.

En el panel Usuarios, puede ver el resumen del número de usuarios de riesgo medio durante un tiempo específico. Puede ver el número total de usuarios de riesgo medio y el aumento del número de usuarios de riesgo medio.

Por ejemplo, la siguiente imagen muestra datos de las últimas 12 horas. Actualmente, hay ocho usuarios de riesgo medio, de los cuales siete fueron identificados como usuarios de riesgo medio en las últimas 12 horas.

Usuarios de riesgo medio

Haga clic en el cuadro para ver detalles sobre los usuarios de riesgo medio, como la puntuación de riesgo, el cambio de puntuación, la tendencia de cambio de puntuación, el último indicador de riesgo activado y los tipos de indicadores de riesgo.

Más información: Usuarios arriesgados

Detalles del usuario de riesgo medio

Usuarios de bajo riesgo

Usuarios con puntuación de riesgo entre 0 y 70. Estos usuarios pueden tener algunas infracciones detectadas en su cuenta. También pueden incluir usuarios que anteriormente eran usuarios de riesgo medio o alto que han sido reevaluados durante un período de tiempo predeterminado.

En el panel Usuarios, puede ver el resumen del número de usuarios de bajo riesgo durante un tiempo específico. Puede ver el número total de usuarios de bajo riesgo y el número de usuarios de bajo riesgo.

Por ejemplo, la siguiente imagen muestra datos de las últimas 12 horas. Actualmente, hay 147 usuarios de bajo riesgo, de los cuales 61 fueron identificados como usuarios de bajo riesgo en las últimas 12 horas.

Usuarios de bajo riesgo

Haga clic en el cuadro para ver detalles sobre los usuarios de bajo riesgo, como la puntuación de riesgo, el cambio de puntuación, la tendencia del cambio de puntuación, el último indicador de riesgo activado y los tipos de indicadores de riesgo.

Más información: Usuarios arriesgados

Detalles de usuario de bajo riesgo

Usuarios en lista de seguimiento

Lista de usuarios supervisados de cerca para detectar posibles amenazas. Por ejemplo, puede supervisar a los usuarios que no son empleados a tiempo completo en su organización agregando esos usuarios a la lista de seguimiento, o bien puede supervisar a los usuarios que activan un indicador de riesgo específico con frecuencia.

Puede agregar un usuario a la lista de seguimiento manualmente o puede definir directivas que, cuando se activan, agregue un usuario a la lista de seguimiento. Si no hay usuarios agregados a la lista de visualización, verá la siguiente pantalla en el panel Usuarios.

Cero usuarios en listas de seguimiento

Si ha agregado usuarios a la lista de visualización, en el panel Usuarios, puede ver los cinco usuarios principales de la lista de visualización ordenados en función de la puntuación más alta. También puede ver los datos de cambio de puntuación y la tendencia de cambio de puntuación.

Haga clic en el cuadro Usuarios en la lista de seguimiento o en el vínculo Ver más del panel Usuarios en la lista de seguimiento para ver la lista de todos los usuarios que se agregan a la lista de seguimiento.

Más información: Lista de seguimiento

Usuarios del panel de usuarios en la lista de seguimiento

Usuarios privilegiados

Teniendo en cuenta el acceso legítimo a los datos confidenciales y a la configuración del sistema, las acciones maliciosas de los usuarios privilegiados suelen ser indistinguibles de su actividad cotidiana. Por lo tanto, las acciones de los usuarios privilegiados permanecen sin detectar durante mucho tiempo. Tales acciones exponen a las organizaciones a una amplia variedad de riesgos. Para superar este desafío, Citrix Analytics introduce la funcionalidad de supervisión de usuarios privilegiada. Esta funcionalidad le permite supervisar de cerca las anomalías de comportamiento de los usuarios privilegiados.

En el panel Usuarios, puede ver los cinco usuarios privilegiados principales ordenados en función de la puntuación más alta.

Usuarios con privilegios del panel

Haga clic en el vínculo Usuarios privilegiados en la parte superior o en el vínculo Ver más en el panel Usuarios privilegiados. Puede ver la página Usuarios que muestra los usuarios con privilegios con administradores y ejecutivos seleccionados en el panel Filtros, junto con los detalles más recientes del indicador de riesgo. Los usuarios con privilegios se representan con un icono en la columna USUARIO. Puede ver los datos de la última hora, las últimas 12 horas, el último día, la última semana o el último mes.

Usuarios con privilegios del panel

Citrix Analytics admite los siguientes tipos de usuarios privilegiados:

  • Administradores. Usuarios que tienen derechos de administrador para un producto o servicio. Cuando el privilegio de un usuario se eleva a Admin en el servicio Content Collaboration, esta información está disponible en la página Usuarios. Citrix Analytics le ayuda a supervisar las actividades de sus usuarios como administradores.

    Considere al usuario Maria Brown a quien se le asignaron privilegios de administrador en el servicio Content Collaboration. María comienza a eliminar excesivamente archivos y carpetas, y desencadena el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Citrix Analytics le ayuda a comparar este indicador de riesgo con la información disponible en la página Usuarios. Puede determinar si el indicador de riesgo se activó después de asignar al usuario privilegios de administrador en Content Collaboration. Si es así, puede tomar las acciones adecuadas en el perfil del usuario privilegiado.

  • Ejecutivos. Usuarios, preferiblemente de la alta dirección de su organización. Cuando marca un grupo de usuarios de Active Directory (AD) como grupo ejecutivo, Citrix Analytics convierte a todos los usuarios de este grupo como usuarios privilegiados. Incluso supervisa las actividades de estos usuarios como ejecutivos. Para obtener más información, consulte Marcar un grupo de AD como grupo ejecutivo y Quitar un grupo de AD como grupo ejecutivo.

    Considere el grupo de usuarios de AD Administradores de dominio, marcado como grupo ejecutivo. Un usuario comienza a eliminar archivos y carpetas excesivamente y activa el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega a la línea de tiempo de riesgo del usuario. Citrix Analytics le ayuda a comparar el indicador de riesgo con la información disponible en la página Usuarios o Grupos de usuarios. Una vez que compare la información, puede determinar si el indicador de riesgo se activó después de que el grupo AD se marcó como grupo ejecutivo. Si es así, puede tomar las acciones adecuadas en el perfil del usuario privilegiado.

    Usuarios del panel de usuarios en la lista de seguimiento

La página de grupo de usuarios con privilegios contiene una lista de miembros con privilegios, ubicación de trabajo y organización.

Usuarios del panel de usuarios en la lista de seguimiento

Marcar un grupo de AD como grupo ejecutivo

  1. Vaya a Configuración > Grupos de usuarios.

  2. Seleccione el nombre del grupo de usuarios que quiere marcar como grupo ejecutivo.

  3. En Acciones, seleccione Marcar como grupo ejecutivo.

Quitar un grupo de AD como grupo ejecutivo

  1. Vaya a Configuración > Grupos de usuarios.

  2. Seleccione el nombre del grupo de usuarios que quiere eliminar como grupo ejecutivo.

  3. En Acciones, seleccione Quitar como grupo ejecutivo.

Indicadores de riesgo

Resume los cinco principales indicadores de riesgo predeterminados y personalizados para un usuario. Para los indicadores de riesgo predeterminados, Citrix Analytics recopila datos de orígenes de datos habilitados.

Para indicadores de riesgo personalizados, Citrix Analytics recopila datos de los siguientes orígenes de datos en función de los eventos de riesgo generados:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

Puede ver los cinco indicadores de riesgo principales e incluso ordenarlos en función de las ocurrencias totales, los cambios en las ocurrencias o la gravedad.

Tablero de indicadores de riesgo

Al hacer clic en Ver más en el panel Indicadores de riesgo, se le redirigirá a la página Visión general del indicador de riesgo.

La página Visión General del Indicador de Riesgo proporciona información sobre los indicadores de riesgo predeterminados y personalizados para el origen de datos correspondiente. El panel superior resume las ocurrencias del indicador de riesgo en función de la gravedad. La tabla proporciona una vista detallada de todos los indicadores de riesgo predeterminados y personalizados para un período de tiempo seleccionado. Cuando selecciona un indicador de riesgo, se le redirige a la página Detalles del indicador de riesgo. También puede seleccionar un indicador de riesgo en el panel Indicadores de riesgo para ver la página Detalles del indicador de riesgo.

Visión general de los indicadores de riesgo

La página Detalles del Indicador de Riesgo resume las ocurrencias totales de un indicador de riesgo. También proporciona detalles sobre la hora del evento, el nombre de usuario y los detalles del evento.

Para ver los detalles del indicador de riesgo, haga clic en Ver en la columna DETALLES DEL EVENTO. Se le redirigirá a ese indicador de riesgo en la línea de tiempo de riesgo del usuario. La línea de tiempo de riesgo del usuario muestra los indicadores de riesgo generados para un período de tiempo seleccionado.

Visión general de los indicadores de riesgo

Para obtener información sobre los indicadores de riesgo de usuario predeterminados, consulte Indicadores de riesgo de usuario de Citrix. Para obtener información acerca de los indicadores de riesgo personalizados, consulte Indicadores de riesgo personalizados.

Resumen de acceso

Este panel resume todos los eventos de acceso de puerta de enlace. El gráfico indica el número de eventos de acceso para un período de tiempo seleccionado.

Cuando selecciona los punteros en el gráfico, se le redirige a laBúsqueda de autoservicio para Gatewaypágina. Para los escenarios de inicio de sesión correctos, los datos se ordenan por el código de estado en la página Búsqueda de autoservicio para puerta de enlace.

Panel de resumen de acceso

Directivas y acciones

Muestra las cinco principales directivas y acciones aplicadas a los perfiles de usuario. Haga clic en el vínculo Ver más del panel Directivas y acciones para obtener información detallada sobre las directivas y acciones.

Panel de directivas y acciones

Directivas Principales

Las cinco principales directivas configuradas que se determinan en función del número de ocurrencias. Cuando se encuentre en la sección Directivas principales del panel y seleccione Ver más, se le redirigirá a la página Todas las directivas.

Panel de directivas y acciones

Todas las directivas

Esta página proporciona información detallada sobre todas las directivas configuradas. Cuando selecciona cualquier directiva, se le redirige a laBúsqueda de directivas de autoserviciopágina. En el panel izquierdo, puede filtrar según las acciones aplicadas.

Cuando selecciona un nombre de usuario, se le redirige a la línea de tiempo de riesgo. La acción basada en directivas se agrega a la línea de tiempo de riesgo del usuario. Al seleccionar la acción, sus detalles se muestran en el panel derecho de la línea de tiempo de riesgo.

Acciones principales

Las cinco acciones principales que se realizaron en los perfiles de usuario. Las acciones principales se determinan en función del número de ocurrencias. Cuando se encuentre en la sección Acciones principales del panel y seleccione Ver más, se le redirigirá a la página Acciones.

Panel de directivas y acciones

Acciones

Esta página proporciona información detallada sobre cada acción aplicada, los usuarios afectados, las ocurrencias, las directivas y el evento de hora de la acción. Al seleccionar cualquier acción, se le redirigirá a la página Todas las directivas con los datos ordenados según la acción especificada en el panel izquierdo. Por ejemplo, cuando selecciona Solicitar respuesta del usuario en la página Acciones, se redirige a la página Todas las directivas, que muestra todas las directivas configuradas asociadas a la acción Solicitar respuesta del usuario.

Panel de directivas y acciones

Categorías de riesgos

Este panel proporciona una vista agregada del nivel de exposición al riesgo de una organización. Los indicadores de riesgo se agrupan en categorías conocidas en función de los riesgos similares. La categorización de riesgos se admite en indicadores de riesgo predeterminados y personalizados.

Panel de control de categorías de riesgo

El propósito del panel Categorías de riesgo es permitir que los administradores de Citrix Virtual Apps and Desktops administren los riesgos de los usuarios y tengan conversaciones simplificadas con sus homólogos de seguridad sin necesidad de tener conocimientos de seguridad de nivel experto. Permite que la aplicación de la seguridad surta efecto a nivel organizativo y no se limita únicamente a los administradores de seguridad.

Caso de uso

Tenga en cuenta que es administrador de Citrix Virtual Apps and Desktops y que administra los derechos de acceso a las aplicaciones de los empleados de su organización. Si va a la sección Categorías de riesgo > Usuarios comprometidos > Errores de autenticación excesivos - Indicador de riesgo de Citrix Gateway, puede evaluar si los empleados a los que ha concedido acceso se han visto comprometidos. Si navega más lejos, puede obtener información más precisa sobre este indicador de riesgo, como los motivos de los fallos, las ubicaciones de inicio de sesión, los detalles de la cronología y el resumen del usuario. Si observa discrepancias entre los usuarios a los que se concedió acceso y los usuarios que se vieron comprometidos, puede notificarlo al administrador de seguridad. Esta notificación oportuna al administrador de seguridad contribuye a la aplicación de la seguridad a nivel organizativo.

Casos de uso de categorías de riesgo

¿Cómo analizar el panel de control Categorías de riesgo?

Al seleccionar Ver más en el panel Categorías de riesgo, se le redirigirá a la página que resume los detalles sobre las categorías de riesgo. Esta página contiene los siguientes detalles:

  • Informe de categoría de riesgo: Representa las ocurrencias totales de indicadores de riesgo de cada categoría para un período de tiempo seleccionado.

    Página Categorías de riesgo

  • Detalles de la líneade tiempo: proporciona una representación gráfica de las ocurrencias totales del indicador de riesgo de cada categoría de riesgo durante un período de tiempo seleccionado. Si navega hasta la parte inferior de esta sección, puede ordenar según categorías de riesgo para obtener información más precisa sobre los indicadores de riesgo.

    Página Categorías de riesgo

  • Resumen de la categoría de riesgo: Esta sección proporciona detalles como el impacto, las ocurrencias y la gravedad de los indicadores de riesgo asociados a cada categoría. Seleccione cualquier categoría de riesgo para ver detalles sobre los indicadores de riesgo asociados a esa categoría. Por ejemplo, al seleccionar la categoría Usuarios comprometidos, se le redirigirá a la página Usuarios comprometidos.

    Página Categorías de riesgo

La página Usuarios comprometidos muestra los siguientes detalles:

  • Informe Indicador de Riesgo: Muestra los indicadores de riesgo que pertenecen a la categoría Usuarios comprometidos durante un período de tiempo seleccionado. También muestra las ocurrencias totales de los indicadores de riesgo que se activaron durante el período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Detalles de la Líneade Tiempo: Proporciona una representación gráfica de las incidencias del indicador de riesgo para un período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Resumen del indicador de riesgo: muestra un resumen de los indicadores de riesgo generados en la categoría de usuarios comprometidos. Esta sección también muestra la gravedad, el origen de datos, el tipo de indicador de riesgo, las ocurrencias y la última ocurrencia.

    Página de usuarios comprometidos

Cuando selecciona un indicador de riesgo, se le redirige a la página que resume los detalles de ese indicador. Por ejemplo, si selecciona el indicador de riesgo por primera vez desde el nuevo dispositivo, se le redirigirá a la página que resume los detalles sobre este indicador. El resumen incluye detalles de cronología sobre las ocurrencias de este evento y un resumen de usuario que enumera los usuarios que activaron este indicador de riesgo, las ocurrencias de indicadores de riesgo y la hora del evento. Cuando selecciona un usuario, se le redirige a la línea de tiempo de riesgo del usuario.

Página de usuarios comprometidos

Nota

Citrix Analytics agrupa los indicadores de riesgo predeterminados en la categoría de riesgo adecuada. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo en la página Crear Indicador. Para obtener más información, consulte Indicadores de riesgo personalizados.

Tipos de categorías de riesgo

Exfiltración de datos

Esta categoría agrupa los indicadores de riesgo desencadenados por malware o por empleados que realizan transferencias de datos no autorizadas o robos de datos hacia o desde un dispositivo de una organización. Puede obtener información sobre todas las actividades de exfiltración de datos que se han llevado a cabo durante un período de tiempo especificado y mitigar los riesgos asociados con esta categoría mediante la aplicación proactiva de acciones en los perfiles de usuario.

La categoría de riesgo de exfiltración de datos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Exfiltración potencial de datos
Citrix Content Collaboration Acceso excesivo a archivos confidenciales
Citrix Content Collaboration Uso compartido excesivo de archivos
Citrix Access Control Volumen de carga inusual

Amenazas de información privilegiada

Esta categoría agrupa los indicadores de riesgo desencadenados por los empleados dentro de una organización. Dado que los empleados tienen mayores niveles de acceso a aplicaciones específicas de la empresa, las organizaciones tienen mayores posibilidades de riesgos de seguridad. Las actividades arriesgadas pueden ser causadas intencionalmente por un usuario de información privilegiada maliciosa o pueden ser el resultado de un error humano. En cualquiera de los escenarios, el impacto en la seguridad de la organización es perjudicial. Esta categoría proporciona información sobre todas las actividades de amenazas de información privilegiada que se han llevado a cabo durante un período de tiempo especificado. Con la ayuda de estos conocimientos, puede mitigar los riesgos asociados con esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de amenazas Insider agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Tiempo inusual de acceso a la aplicación (Virtual)
Citrix Virtual Apps and Desktops Tiempo inusual de acceso a la aplicación (SaaS)
Citrix Content Collaboration Eliminación excesiva de archivos o carpetas
Citrix Content Collaboration Subidas excesivas de archivos
Citrix Access Control Descarga excesiva de datos
Citrix Access Control Intento de acceder a la URL de la lista negra
Citrix Access Control Acceso a sitios web arriesgado

Usuarios comprometidos

Esta categoría agrupa los indicadores de riesgo en los que los usuarios muestran patrones de comportamiento inusuales, como inicios de sesión sospechosos o errores de inicio de sesión. Alternativamente, los patrones inusuales podrían ser el resultado de que las cuentas de usuario se vean comprometidas. Puede obtener información sobre todos los eventos de usuario comprometidos que se han producido durante un período de tiempo especificado y mitigar los riesgos asociados con esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de usuarios comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Acceso por primera vez desde un dispositivo nuevo
Citrix Content Collaboration Acceso por primera vez desde una nueva ubicación
Citrix Content Collaboration Errores de autenticación excesivos
Citrix Content Collaboration Actividad de ransomware sospechosa
Citrix Content Collaboration Descargas excesivas de archivos
Citrix Gateway Inicio de sesión desde IP sospechosa
Citrix Gateway Errores de autenticación excesivos
Citrix Gateway Errores de autorización excesivos
Citrix Gateway Acceso por primera vez desde una nueva ubicación
Microsoft Graph Security Indicadores de riesgo de Azure AD Identity Protection
Microsoft Graph Security Indicadores de riesgo ATP de Windows Defender

Puntos finales comprometidos

Esta categoría agrupa los indicadores de riesgo que se activan cuando los dispositivos presentan un comportamiento no seguro que puede indicar un compromiso.

La categoría de riesgo de puntos finales comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Acceso desde un dispositivo con SO no compatible
Citrix Gateway Fallo de exploración del análisis de punto final (EPA)
Citrix Endpoint Management Dispositivo no administrado detectado
Citrix Endpoint Management Dispositivo liberado por jailbreak o root detectado
Citrix Endpoint Management Dispositivo con aplicaciones en la lista negra detectado