Citrix Analytics for Security

Panel de usuarios

Descripción general

El panel de usuarios es el punto de partida para el análisis del comportamiento de los usuarios y la prevención de amenazas.

Este panel proporciona visibilidad de los patrones de comportamiento de los usuarios en toda la organización. Con estos datos, puede supervisar, detectar y marcar de forma proactiva los comportamientos que no cumplen los estándares, como los ataques de phishing o ransomware.

Para ver el panel de usuarios, vaya a Seguridad > Usuarios. El panel Usuarios contiene las siguientes secciones:

Panel de usuarios

  • Estado activo del usuario: distribución del total de usuarios activos e inactivos.

  • Distribución del riesgo de los usuarios: distribución de los usuarios activos, inactivos y totales, y distribución de los usuarios de riesgo en perfiles altos, medios y bajos en función de su puntuación de riesgo calculada más alta en el período de tiempo seleccionado.

  • Usuarios principales: los usuariosprincipales se ordenan por su puntuación de riesgo y se segmentan por todos los usuarios, usuarios privilegiados y usuarios de la lista de seguimiento.

  • Categorías de riesgo: muestra las categorías de riesgo compatibles con Citrix Analytics. Los indicadores de riesgo con patrones de comportamiento similares se agrupan en categorías.

  • Indicadores de riesgo y acciones: distribución de los indicadores de riesgo y las acciones trazados durante un período seleccionado entre todos los usuarios de su organización.

  • Resumen de acceso: resume el número total de intentos que los usuarios han realizado para acceder a los recursos de la organización.

  • Directivas y acciones: muestra las cinco directivas y acciones principales aplicadas a los perfiles de usuario.

  • Indicadores de riesgo: muestra los cinco indicadores de riesgo principales de su organización.

Estado de la actividad del usuario

Número total de usuarios de su organización que utilizan los orígenes de datos para las que ha habilitado Analytics. Es posible que tengan o no una puntuación de riesgo asociada a su cuenta. Este mosaico muestra el número de usuarios activos. Los usuarios activos son los usuarios con eventos detectados dentro del período de tiempo seleccionado. Puede hacer clic en el menú desplegable del estado de la actividad del usuario para ver la distribución del total de usuarios en usuarios activos e inactivos.

  • Total de usuarios: número total de usuarios en el período de tiempo seleccionado.
  • Usuarios activos: usuarios con eventos detectados en el período de tiempo seleccionado.
  • Usuarios inactivos: usuarios sin eventos detectados en el período de tiempo seleccionado.

La cantidad total de usuarios en el panel de usuarios puede ser mayor que la cantidad de usuarios riesgosos, ya que no se espera que todos los usuarios sean riesgosos.

Nota:

En la página Usuarios, se muestra el número total de usuarios de los últimos 30 días, independientemente del período de tiempo seleccionado.

Facetas

Filtra los eventos de usuario según las siguientes categorías:

  • Puntuación de riesgo: eventos de usuario basados en puntuaciones de riesgo alto, riesgo medio, riesgo bajo y riesgo cero.

  • Usuario: eventos de usuario basados en privilegios de administrador, privilegios ejecutivos y usuarios de listas de seguimiento.

  • Orígenes de datos descubiertos: eventos de usuario basados en la fuente de datos incorporada.

Cuadro de búsqueda

Utilice el cuadro de búsqueda para buscar eventos para los usuarios. Puede utilizar operadores en la consulta para reducir el enfoque de la búsqueda. Para obtener información sobre los operadores válidos que puede utilizar en la consulta, consulte Búsqueda de autoservicio.

Puntuación más reciente

La puntuación de riesgo determina el nivel de riesgo que un usuario supone para una organización durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento de los usuarios. Según la puntuación de riesgo más reciente, un usuario puede pertenecer a una de las siguientes categorías: usuario de alto riesgo, usuario de riesgo medio, usuario de bajo riesgo y usuario con puntuación de riesgo cero.

Usuario

Lista de todos los usuarios descubiertos por Analytics. Seleccione un nombre de usuario para ver la información del usuario y el cronograma de riesgos del usuario. El usuario puede o no haber activado ningún indicador de riesgo. Si no hay eventos de riesgo asociados a este usuario, aparece el siguiente mensaje.

Sin evento con riesgos

Si hay eventos de riesgo asociados con un usuario, verá los indicadores de riesgo en su cronología de riesgo. Seleccione el usuario para ver su cronograma de riesgo.

Se puede marcar a un usuario como privileged y agregarlo a la lista de seguimiento.

Fuente de datos descubierta

La fuente de datos asociada a un usuario. Cuando un usuario utiliza activamente la fuente de datos, Analytics recibe los eventos de usuario de esa fuente de datos. Para recibir eventos de usuario, debe activar el procesamiento de datos en la tarjeta del sitio de origen de datos, que está disponible en la página Orígenes de datos.

Indicadores activados

Indica el número de indicadores de riesgo activados en todos los usuarios durante el período seleccionado. Haga clic en el mosaico Indicadores activados para ver los detalles de los indicadores de riesgo. La tabla de indicadores de riesgo proporciona los siguientes detalles:

  • Nombre: el nombre del indicador de riesgo.
  • Gravedad: la gravedad del riesgo asociado con el evento. El riesgo puede ser alto, medio o bajo.
  • Fuente de datos: la fuente de datos a la que se aplica la plantilla del indicador de riesgo.
  • Tipo: Tipo de indicador de riesgo. Un indicador de riesgo puede ser por defecto o personalizado.
  • Ocurrencias: número de veces que se activa un indicador de riesgo para un usuario. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.
  • Última aparición: muestra la fecha y hora de la última aparición.

Enlace de usuario con riesgos

Acciones aplicadas

Indica el número de acciones aplicadas a los usuarios durante la duración seleccionada. Esto incluye las acciones aplicadas manualmente por los administradores y las acciones basadas en directivas. Haga clic en el icono Acción aplicada para ver los detalles de la acción. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario.

Acciones aplicadas

La tabla de acciones proporciona la siguiente información:

  • Acción: nombre de la acción aplicada según la directiva.
  • Usuarios: número de usuarios a los que se ha aplicado la acción.
  • Apariciones: número de ocurrencias de la acción.
  • Fecha y hora: fecha y hora de la acción aplicada.

Eventos procesados

Número total de eventos de usuario recibidos de las fuentes de datos conectadas y procesados por Analytics.

Evento procesado

Distribución de riesgos para los usuarios

Puede ver la cantidad de usuarios con perfiles altos, medios y bajos en función de su puntuación de riesgo calculada más alta en el período de tiempo seleccionado. Debajo de los recuentos generales, un gráfico de barras muestra los cambios a lo largo del tiempo en la distribución de los usuarios de riesgo bajo, medio y alto.

Distribución de riesgos para los usuarios

El nivel de riesgo se clasifica en tres códigos de colores.

  • Rojo : representa a los usuarios de alto riesgo.
  • Naranja : representa a los usuarios de riesgo medio.
  • Gris : representa a los usuarios de bajo riesgo.

Puede ver el número de usuarios riesgosos (alto, medio y bajo) mientras coloca el ratón sobre las barras de colores en función de un período de tiempo específico. Puede ver los detalles de la última actualización (fecha y hora) con la información del intervalo de datos. Haga clic en cualquier barra de colores para ver los usuarios en riesgo durante ese período. Haga clic en la opción de actualización para obtener los datos actualizados.

Usuarios con riesgos

Los usuarios riesgosos son usuarios que tienen eventos de riesgo asociados y han activado al menos un indicador de riesgo. El nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico viene determinado por la puntuación de riesgo asociada al usuario. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios.

El riesgo de cada usuario se actualiza periódicamente a lo largo del tiempo en función de la actividad del usuario. Por lo tanto, un usuario puede tener un riesgo medio o alto en un momento dado, pero caer a un nivel de riesgo más bajo más adelante. Según la puntuación de riesgo, un usuario riesgoso puede clasificarse en una de las siguientes categorías:

En la página Usuarios de riesgo, puede utilizar las facetas para filtrar en función de los niveles de riesgo asociados al período de tiempo seleccionado y la barra de búsqueda para consultar a un usuario o usuarios específicos.

Faceta de usuarios riesgosos

Haga clic en el ID de correo electrónico del usuario para ver la página de cronograma de riesgos de ese usuario seleccionado en particular. Esta página muestra los indicadores de riesgo junto con los detalles de las puntuaciones de riesgo másrecientesy más altas según el período de tiempo seleccionado.

Puntuación de riesgo más reciente y más alta

Riesgo alto

Usuarios con puntuaciones de riesgo entre 90 y 100. Estos usuarios han mostrado múltiples comportamientos consistentes con factores de riesgo de moderados a graves y podrían representar amenazas inmediatas para la organización.

En el panel de usuarios, puede ver la cantidad de usuarios de alto riesgo en función de la puntuación de riesgo calculada más alta en el período de tiempo seleccionado.

Usuarios de alto riesgo

Haga clic en la opción Alto riesgo para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de alto riesgo.

Riesgo medio

Usuarios con puntuaciones de riesgo entre 70 y 89. Estos usuarios suelen realizar una o más actividades que parecen potencialmente sospechosas o anómalas y que podrían merecer la pena supervisarlas de cerca.

Usuarios de riesgo medio

Haga clic en la opción Riesgo medio para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de riesgo medio.

Riesgo bajo

Usuarios con puntuaciones de riesgo entre 1 y 69. Estos usuarios tienen al menos un indicador de riesgo que refleja algún comportamiento inusual o inesperado, pero no lo suficiente como para merecer una clasificación de riesgo más seria.

Usuarios de bajo riesgo

Haga clic en la opción Bajo riesgo para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de bajo riesgo.

Puntuación de riesgo baja

Usuarios principales

Puede ver los principales usuarios de varias categorías de usuarios ordenados según las puntuaciones de riesgo más altas para el período de tiempo seleccionado. La siguiente tabla de usuarios principales muestra los cinco usuarios con mayor riesgo (todos, usuarios con privilegios y de listas de seguimiento) en función de su puntuación de riesgo calculada durante el período de tiempo seleccionado, en lugar de la puntuación de riesgo más reciente.

Usuarios principales

Nota:

En versiones anteriores, la tabla de usuarios principales siempre mostraba la puntuación de riesgo más reciente, independientemente del período de tiempo seleccionado.

Usuarios de la lista de seguimiento

Lista de usuarios supervisados de cerca para detectar posibles amenazas. Por ejemplo, puede supervisar a los usuarios que no son empleados a tiempo completo en su organización si los agrega a la lista de seguimiento. También puede supervisar a los usuarios que activan un indicador de riesgo específico con frecuencia. Puede agregar un usuario a la lista de seguimiento manualmente o definir directivas para agregar usuarios a la lista de seguimiento.

Si has añadido usuarios a la lista de seguimiento, puedes ver los cinco primeros usuarios de la lista de seguimiento en función de la puntuación más alta.

Cero usuarios en listas de seguimiento

Haga clic en el enlace Ver más del panel Todos los usuarios para ver la página Usuarios. La página muestra la lista de todos los usuarios de la lista de seguimiento.

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios de la lista de seguimiento durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Lista de seguimiento

Categorías de riesgo

El gráfico circular de categorías de riesgo resume el número de casos de indicadores por categoría de riesgo durante el período de tiempo seleccionado. Los recuentos de usuarios únicos se muestran al pasar el ratón sobre cada segmento del gráfico, que a su vez enlaza con la página de descripción general de la categoría de indicadores de riesgo correspondiente. La categorización de riesgos cuenta con indicadores de riesgo predeterminados y personalizados.

Panel de categorías de riesgo

El objetivo del panel de categorías de riesgo es permitir a los administradores de Citrix Virtual Apps and Desktops y Citrix DaaS gestionar los riesgos de los usuarios y mantener conversaciones simplificadas con sus homólogos de seguridad sin necesidad de tener conocimientos de seguridad de nivel experto. Permite que la aplicación de la seguridad surta efecto a nivel organizativo y no se limita únicamente a los administradores de seguridad.

Caso de uso

Tenga en cuenta que es administrador de Citrix Virtual Apps and Desktops y administra los derechos de acceso a las aplicaciones de los empleados de su organización. Si va a la sección Categorías de riesgo > Usuarios comprometidos > Errores de autenticación excesivos: indicador de riesgo de Citrix Gateway, puede evaluar si los empleados a los que ha concedido acceso se han visto comprometidos. Si sigue navegando, podrá obtener información más precisa sobre este indicador de riesgo, como los motivos de los fallos, las ubicaciones de inicio de sesión, los detalles del cronograma y el resumen del usuario. Si observa alguna discrepancia entre los usuarios a los que se concedió acceso y los usuarios que se vieron comprometidos, puede notificárselo al administrador de seguridad. Esta notificación oportuna al administrador de seguridad contribuye a la aplicación de la seguridad a nivel organizativo.

Caso práctico de categorías de riesgo

¿Cómo analizar el panel de control de categorías de riesgo?

Cuando selecciona Ver más en el panel Categorías de riesgo, se le redirige a la página que resume los detalles sobre las categorías de riesgo. Esta página contiene los siguientes detalles:

  • Informe de categoría de riesgo: representa el total de incidencias del indicador de riesgo de cada categoría durante un período de tiempo seleccionado.

    Página de categorías de riesgo

  • Detalles del cronograma: proporciona una representación gráfica de las incidencias totales del indicador de riesgo de cada categoría de riesgo durante un período de tiempo seleccionado. Si navega hasta la parte inferior de esta sección, puede ordenar según las categorías de riesgo para obtener información más precisa sobre los indicadores de riesgo.

    Página de categorías de riesgo

  • Resumen de categorías de riesgo: En esta sección se proporcionan detalles como el impacto, la incidencia y la gravedad de los indicadores de riesgo asociados a cada categoría. Seleccione cualquier categoría de riesgo para ver detalles sobre los indicadores de riesgo asociados a esa categoría. Por ejemplo, cuando selecciona la categoría Usuarios comprometidos, se le redirige a la página Usuarios comprometidos.

    Página de categorías de riesgo

La página Usuarios comprometidos muestra los siguientes detalles:

  • Informe Indicador de Riesgo: Muestra los indicadores de riesgo pertenecientes a la categoría Usuarios comprometidos durante un período de tiempo seleccionado. También muestra el total de ocurrencias de los indicadores de riesgo que se activaron durante el período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Detalles del cronograma: proporciona una representación gráfica de las incidencias del indicador de riesgo durante un período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Resumen del indicador de riesgo: muestra un resumen de los indicadores de riesgo generados en la categoría de usuarios comprometidos. En esta sección también se muestra la gravedad, el origen de datos, el tipo de indicador de riesgo, las incidencias y la última aparición.

    Página de usuarios comprometidos

Al seleccionar un indicador de riesgo, se le redirige a la página que resume los detalles de ese indicador. Por ejemplo, si selecciona el indicador de riesgo Acceso por primera vez desde un nuevo dispositivo, se le redirigirá a la página que resume los detalles de este indicador. El resumen incluye detalles del cronograma sobre las ocurrencias de este evento y un resumen del usuario que enumera los usuarios que activaron este indicador de riesgo, las ocurrencias del indicador de riesgo y la hora del evento. Cuando selecciona un usuario, se le redirige al cronograma de riesgo del usuario.

Página de usuarios comprometidos

Nota

Citrix Analytics agrupa los indicadores de riesgo predeterminados en la categoría de riesgo adecuada. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo en la página Crear indicador. Para obtener más información, consulte Indicadores de riesgo personalizados.

Tipos de categorías de riesgo

Exfiltración de datos

Esta categoría agrupa los indicadores de riesgo provocados por el malware o por empleados que realizan transferencias de datos no autorizadas o robos de datos hacia o desde un dispositivo de una organización. Puede obtener información sobre todas las actividades de filtración de datos que se han llevado a cabo durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de exfiltración de datos agrupa los siguientes indicadores de riesgo:

Orígenes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops y Citrix DaaS Exfiltración potencial de datos

Amenazas internas

Esta categoría agrupa los indicadores de riesgo activados por los empleados de una organización. Dado que los empleados tienen niveles más altos de acceso a las aplicaciones específicas de la empresa, las organizaciones tienen más probabilidades de sufrir riesgos de seguridad. Las actividades riesgosas pueden ser causadas intencionalmente por un experto malintencionado o pueden ser el resultado de un error humano. En cualquiera de los escenarios, el impacto en la seguridad de la organización es perjudicial. Esta categoría proporciona información sobre todas las actividades de amenazas internas que han tenido lugar durante un período de tiempo específico. Con la ayuda de esta información, puede mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de amenazas internas agrupa los siguientes indicadores de riesgo:

Orígenes de datos Indicadores de riesgo del usuario
Citrix Secure Private Access Intento de acceso a la URL de la lista negra
Citrix Secure Private Access Descarga excesiva de datos
Citrix Secure Private Access Acceso a sitios web con riesgos
Citrix Secure Private Access Volumen de subida

Usuarios comprometidos

Esta categoría agrupa los indicadores de riesgo en los que los usuarios muestran patrones de comportamiento inusuales, como inicios de sesión sospechosos y errores de inicio de sesión. Alternativamente, los patrones inusuales pueden ser el resultado de que las cuentas de usuario se vean comprometidas. Puede obtener información sobre todos los eventos de usuario comprometidos que han tenido lugar durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de usuarios comprometidos agrupa los siguientes indicadores de riesgo:

Orígenes de datos Indicadores de riesgo del usuario
Citrix Gateway Fallo en el análisis de punto final
Citrix Gateway Fallos de autenticación excesivos
Citrix Gateway Trayectos imposibles
Citrix Gateway Inicio de sesión desde IP sospechosa
Citrix Gateway Error de autenticación inusual
Citrix Virtual Apps and Desktops y Citrix DaaS Inicio de sesión sospechoso
Citrix Virtual Apps and Desktops y Citrix DaaS Trayectos imposibles
Microsoft Graph Security Indicadores de riesgo de protección de identidad de Azure AD
Microsoft Graph Security Indicadores de riesgo de Microsoft Defender for Endpoint

Dispositivos de punto final comprometidos

Esta categoría agrupa los indicadores de riesgo que se activan cuando los dispositivos presentan un comportamiento no seguro que podría indicar un riesgo.

La categoría de riesgo de puntos finales comprometidos agrupa los siguientes indicadores de riesgo:

Orígenes de datos Indicadores de riesgo del usuario
Citrix Endpoint Management Dispositivo no administrado detectado
Citrix Endpoint Management Se ha detectado un dispositivo con jailbreak o rooteado
Citrix Endpoint Management Dispositivo con aplicaciones en la lista de bloqueados detectado

Indicadores de riesgo y acciones

Puede ver los indicadores de riesgo activados y las acciones aplicadas a sus usuarios durante el período de tiempo seleccionado. El nuevo gráfico de barras de indicadores de riesgo y acciones proporciona los recuentos de indicadores, acciones y eventos detallados a lo largo del tiempo, con el rango de tiempo general y el intervalo de barras derivados del período de tiempo seleccionado.

Indicadores de riesgo y acciones

Al hacer clic en un segmento de barra para ver los indicadores o las acciones, se obtiene una visualización detallada de los recuentos por indicador o acción, respectivamente.

Indicadores de riesgo y acciones (barra 1)

Indicadores de riesgo y acciones (barra 2)

En el menú desplegable de indicadores, al hacer clic en una barra indicadora individual, se accede a la página correspondiente del indicador de riesgo para el período de tiempo seleccionado.

Resumen de acceso

Este panel resume todos los eventos de acceso a Gateway durante un período de tiempo seleccionado. Muestra el número total de accesos, accesos correctos y accesos fallidos a través de Citrix Gateway.

Haga clic en los punteros del gráfico para ver la página Búsqueda de autoservicio de puerta de enlace. Para los casos de inicio de sesión satisfactorio, los eventos de acceso a Gateway se ordenan por el código de estado de la página.

Panel de resumen de acceso

Directivas y acciones

Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario durante un período de tiempo seleccionado. Haga clic en el enlace Ver más del panel Directivas y acciones para obtener información detallada sobre las directivas y acciones.

Panel de directivas y acciones

Directivas principales

Las cinco directivas configuradas más importantes se determinan en función del número de incidencias. Cuando se encuentre en la sección Directivas principales del panel de control y selecciona Ver más, se le redirigirá a la página Todas las directivas.

Panel de directivas y acciones

Todas las directivas

En esta página se proporciona información detallada sobre todas las directivas configuradas. Al seleccionar cualquier directiva, se le redirigirá a la página Búsqueda de autoservicio de directivas. En el panel izquierdo, puede filtrar según las acciones aplicadas.

Cuando selecciona un nombre de usuario, se le redirige al cronograma de riesgos. La acción basada en directivas se agrega al cronograma de riesgo del usuario. Al seleccionar la acción, sus detalles se muestran en el panel derecho del cronograma de riesgo.

Acciones principales

Las cinco acciones principales asociadas a las directivas que se aplicaron a los perfiles de usuario. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario. Las acciones principales se determinan por el número de ocurrencias.

Haga clic en Ver más para ver todas las acciones basadas en directivas de la página Acciones.

Acciones

La página proporciona la lista de todas las acciones basadas en directivas que se han aplicado a los usuarios durante el período de tiempo seleccionado. Puede ver la siguiente información:

  • Nombre de la acción aplicada según la directiva

  • Número de usuarios a los que se ha aplicado la acción

  • Número de apariciones de la acción

  • Número de directivas asociadas a la acción

  • Fecha y hora de la acción aplicada

Panel de directivas y acciones

Haga clic en una acción para ver todas las directivas asociadas. Estas directivas se ordenan según el número de incidencias. Por ejemplo, haga clic en Solicitar respuesta del usuario final en la página Acciones. La página Todas las directivas muestra todas las directivas asociadas a la acción Solicitar respuesta del usuario final.

Panel de directivas y acciones

En la página Todas las directivas, haga clic en una directiva para ver los eventos de usuario en los que se ha aplicado la acción.

Indicadores de riesgo

Resume los cinco principales indicadores de riesgo para un período de tiempo seleccionado. Los indicadores de riesgo pueden ser por defecto o personalizados. Para los indicadores de riesgo predeterminados, Citrix Analytics recopila datos de los orígenes de datos detectadas y en las que está habilitado el procesamiento de datos.

Para los indicadores de riesgo personalizados, Citrix Analytics recopila datos de estos orígenes de datos en función de los eventos de riesgo generados:

  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops
  • Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service)

En el panel Indicadores de riesgo, puede ver los cinco indicadores de riesgo principales y ordenarlos según la incidencia total o la gravedad.

Panel de indicadores de riesgo

Haga clic en Ver más en el panel Indicadores de riesgo para ver la página Resumen de indicadores de riesgo.

Descripción general de los indicadores de riesgo

Panel de usuarios