Citrix Analytics para la seguridad

Panel de usuarios

El panel Usuarios es el punto de partida del análisis del comportamiento de los usuarios y la prevención de amenazas.

Este panel proporciona visibilidad de los patrones de comportamiento de los usuarios en toda la organización. Con estos datos, puede supervisar, detectar y marcar de forma proactiva comportamientos fuera de lo normal, como ataques de phishing o ransomware.

El panel Usuarios contiene las siguientes secciones:

  • Usuarios descubiertos. Número total de usuarios de su organización que utilizan las fuentes de datos para las que ha habilitado Analytics.

  • Usuarios arriesgados. Usuarios que han actuado de forma arriesgada o han presentado comportamientos de riesgo. Lista de usuarios de riesgo que tienen la puntuación de riesgo más alta y las incidencias de indicadores de riesgo asociadas a su cuenta.

  • Usuarios de alto riesgo. Usuarios que representan una amenaza inmediata para la organización.

  • Usuarios de riesgo medio. Los usuarios que pueden tener varias infracciones graves en su cuenta y deben ser supervisados de cerca.

  • Usuarios de bajo riesgo. Usuarios a los que se han detectado algunas infracciones en su cuenta, pero que potencialmente no son una amenaza.

  • Usuarios sin riesgo. Usuarios a los que no se ha detectado ninguna infracción activa en su cuenta. Estos usuarios no se consideran una amenaza durante el período seleccionado.

  • Usuarios en lista de seguimiento. Usuarios supervisados de cerca por los administradores.

  • Usuarios privilegiados. Usuarios que pueden ver datos confidenciales y modificar la configuración crítica del sistema de una organización.

  • Indicadores de riesgo. Muestra los cinco principales indicadores de riesgo de su organización.

  • Resumen de acceso. Resume el número total de intentos que han realizado los usuarios para acceder a los recursos de su organización.

  • Directivas y acciones. Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario.

  • Categorías de riesgo. Muestra las categorías de riesgo compatibles con Citrix Analytics. Los indicadores de riesgo con patrones de comportamiento similares se agrupan en categorías.

Usuarios descubiertos

Número total de usuarios de su organización que utilizan las fuentes de datos para las que ha habilitado Analytics. Es posible que tengan o no una puntuación de riesgo asociada a su cuenta. Es posible que el número de usuarios descubiertos en el panel Usuarios sea superior al número de usuarios de riesgo.

Haga clic en el enlace Usuarios descubiertos del panel de control para ver la página Usuarios que muestra una lista completa de los usuarios descubiertos por Citrix Analytics. La página Usuarios también muestra las fuentes de datos, las puntuaciones de riesgo y el número de incidencias de indicadores de riesgo asociadas a los usuarios descubiertos.

Usuarios descubiertos

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios detectados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Sección Usuarios descubiertos

Consulte la siguiente información:

Facetas

Filtra los eventos de usuario según las siguientes categorías:

  • Puntuación de riesgo: eventos de usuario basados en puntuaciones de riesgo alto, riesgo medio, riesgo bajo y riesgo cero.

  • Usuario: eventos de usuario basados en privilegios de administrador, privilegios ejecutivos y usuarios de listas de seguimiento.

  • Orígenes de datos descubiertos: eventos de usuario basados en la fuente de datos incorporada.

  • Estado dela aplicación Workspace: estadode compatibilidad de las versiones de la aplicación Citrix Workspace utilizadas en el dispositivo del usuario.

    Nota

    El estado de la aplicación Workspace se determina a partir de los eventos de usuario recibidos de Citrix Director. Para ver el estado, debe conectar su Citrix Analytics a Citrix Director. De lo contrario, el estado de todos los usuarios de Citrix Virtual Apps and Desktops se muestra como Inactivo.

    Utilice las etiquetas siguientes para identificar el estado:

    • Compatible: Citrix Analytics admite la versión de la aplicación Citrix Workspace y los eventos de usuario se reciben de la aplicación.

    • Compatibilidad parcial: la versión de la aplicación Citrix Workspace es compatible pero no se reciben eventos de usuario de la aplicación. Para identificar y solucionar los problemas, consulte la guía de solución de problemas.

    • No compatible: la versión de la aplicación Citrix Workspace no es compatible y no se reciben eventos de usuario de la aplicación. El usuario debe actualizar la aplicación Citrix Workspace a una versión compatible. Para obtener la lista de versiones compatibles, consulte los clientes compatibles.

    • No disponible (NA): El usuario no utiliza el origen de datos de Citrix Virtual Apps and Desktops. Es posible que utilicen una fuente de datos diferente, como Content Collaboration, Access Control y Gateway.

    • Inactivo: El usuario no tiene ninguna sesión activa en su Citrix Virtual Apps and Desktops en la última semana. Por lo tanto, no se reciben eventos del usuario.

    En la última semana, si el usuario actualiza la aplicación Citrix Workspace a cuatro versiones diferentes (por ejemplo: xx, xy, yx e yy), la información sobre herramientas muestra las cuatro versiones diferentes. El estado cambia según el siguiente caso.

    Caso Estado de la aplicación Workspace
    Cuando se admiten las cuatro versiones (xx, xy, yx e yy). Se admite
    Entre las cuatro versiones, al menos una versión (xx) no es compatible y las demás versiones (xy, yx e yy) son compatibles. No respaldado
    Entre las cuatro versiones, al menos una versión (xx) está parcialmente soportada y las demás versiones (xy, yx e yy) son compatibles. Soportado parcialmente
    Entre las cuatro versiones, la versión (xx) no es compatible, la versión (yx) es parcialmente compatible y las dos versiones restantes (yx, yy) son compatibles. No respaldado

    Nota

    El estado No admitido tiene prioridad que el estado Soportado y el estado Parcialmente admitido.

Cuadro de búsqueda

Utilice el cuadro de búsqueda para buscar eventos para los usuarios. Puede utilizar operadores en la consulta para reducir el enfoque de la búsqueda. Para obtener información sobre los operadores válidos que puede utilizar en la consulta, consulte Búsqueda de autoservicio.

Puntuación

La puntuación de riesgo determina el nivel de riesgo que un usuario supone para una organización durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario puede clasificarse en una de las categorías: usuario de alto riesgo, usuario de riesgo medio, usuario de riesgo bajo y usuario con puntuación de riesgo cero.

Usuario

Lista de todos los usuarios descubiertos por Analytics. Seleccione un nombre de usuario para ver la información del usuario y el cronograma de riesgos del usuario. El usuario puede o no haber activado ningún indicador de riesgo. Si no hay eventos de riesgo asociados a este usuario, aparece el siguiente mensaje.

Sin evento arriesgado

Si hay eventos de riesgo asociados con un usuario, verá los indicadores de riesgo en su cronología de riesgo. Seleccione el usuario para ver su cronograma de riesgo.

Se puede marcar a un usuario como privilegiado y agregarlo a la lista de seguimiento.

Ocurrencia del indicador de riesgo

Número de veces que se activa un indicador de riesgo para un usuario. Un indicador de riesgo puede ser por defecto o personalizado. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Fuente de datos descubierta

Origen de datos asociado a un usuario. Cuando un usuario utiliza activamente la fuente de datos, Analytics recibe los eventos de usuario de esa fuente de datos. Para recibir eventos de usuario, debe activar el procesamiento de datos en la tarjeta del sitio de origen de datos, que está disponible en la página Fuentes de datos .

Usuarios arriesgados

Los usuarios de riesgo son usuarios descubiertos que tienen eventos de riesgo asociados y que han activado al menos un indicador de riesgo. El nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico viene determinado por la puntuación de riesgo asociada al usuario. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios. Según la puntuación de riesgo, un usuario arriesgado puede clasificarse en una de las tres categorías: usuario de alto riesgo, usuario de riesgo medio o usuario de riesgo bajo.

En el panel Usuarios arriesgados, puede ordenar los cinco usuarios más arriesgados según la puntuación más alta o las ocurrencias del indicador de riesgo más altas.

  • Seleccione Puntuación más alta para ver los cinco usuarios con mayor riesgo en función de la puntuación de riesgo más alta.

  • Seleccione Indicador de riesgo para ver los cinco principales indicadores de riesgo con el máximo de incidencias.

Enlace de usuario arriesgado

Haga clic en el enlace Usuarios arriesgados en la parte superior o en el enlace Ver más del panel Usuarios riesgosos para ver la página Usuarios . Esta página muestra todos los usuarios de riesgo y sus indicadores de riesgo. Puede utilizar las facetas y la barra de búsqueda para filtrar los eventos según sus necesidades.

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios de riesgo durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Panel de usuario arriesgado

Usuarios de alto riesgo

Usuarios con puntaje de riesgo entre 90 y 100. Estos usuarios representan amenazas inmediatas para la organización.

En el panel Usuarios, puede ver el número de usuarios de alto riesgo de los últimos 13 meses. Por ejemplo, en la siguiente imagen se muestran cinco usuarios de alto riesgo en los últimos 13 meses.

Usuarios de alto riesgo

Haga clic en el mosaico Usuarios de alto riesgo para ver la página Usuarios . La página muestra los detalles sobre los usuarios de alto riesgo, como la puntuación de riesgo, la aparición de indicadores de riesgo y sus fuentes de datos. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios de riesgo medio

Usuarios con puntaje de riesgo entre 70 y 89. Estos usuarios pueden tener varias infracciones graves en su cuenta y deben supervisarse de cerca.

En el panel Usuarios, puede ver el número de usuarios de riesgo medio de los últimos 13 meses. Por ejemplo, en la siguiente imagen se muestran ocho usuarios de riesgo medio en los últimos 13 meses.

Usuarios de riesgo medio

Haga clic en el mosaico Usuarios de riesgo medio para ver la página Usuarios . La página muestra los detalles sobre los usuarios de riesgo medio, como la puntuación de riesgo, la aparición de indicadores de riesgo y sus fuentes de datos. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios de bajo riesgo

Usuarios con puntaje de riesgo entre 1 y 69. Es posible que se hayan detectado algunas infracciones en su cuenta de estos usuarios. También pueden incluir usuarios que anteriormente eran usuarios de riesgo alto o medio. Estos usuarios han sido reevaluados durante un período de tiempo predeterminado.

En el panel Usuarios, puede ver el número de usuarios de bajo riesgo durante los últimos 13 meses. Por ejemplo, la siguiente imagen muestra 147 usuarios de bajo riesgo en los últimos 13 meses.

Usuarios de bajo riesgo

Haga clic en el mosaico Usuarios de bajo riesgo para ver la página Usuarios . La página muestra los detalles sobre los usuarios de bajo riesgo, como la puntuación de riesgo, la aparición de indicadores de riesgo y sus fuentes de datos. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Usuarios arriesgados

Usuarios no riesgosos

Usuarios con puntuación de riesgo cero. Estos usuarios no tienen ninguna infracción activa detectada en su cuenta durante el período de tiempo seleccionado.

Usuarios no riesgosos

Haga clic en el mosaico Usuarios sin riesgo para ver la página Usuarios . La página muestra los usuarios con una puntuación de riesgo cero seleccionada y sus fuentes de datos. Durante un período de tiempo seleccionado, estos usuarios no riesgosos pueden tener incidencias de indicadores de riesgo asociadas a ellos, aunque su puntuación de riesgo sea cero.

Usuarios en lista de seguimiento

Lista de usuarios supervisados de cerca para detectar posibles amenazas. Por ejemplo, puede supervisar a los usuarios que no son empleados a tiempo completo en su organización si los agrega a la lista de seguimiento. También puede supervisar a los usuarios que activan un indicador de riesgo específico con frecuencia. Puede agregar un usuario a la lista de seguimiento manualmente o definir directivas para agregar usuarios a la lista de seguimiento.

Si no hay usuarios agregados a la lista de seguimiento, verá la siguiente pantalla en el panel Usuarios .

Cero usuarios en listas de seguimiento

Si ha agregado usuarios a la lista de seguimiento, en el panel Usuarios, puede ver los cinco primeros usuarios de la lista de seguimiento en función de la puntuación más alta.

Usuarios del panel de control usuarios en la lista

Haga clic en el mosaico Usuarios en lista de observación o en el enlace Ver más del panel Usuarios en lista de observación para ver la página Usuarios . La página muestra la lista de todos los usuarios de la lista de seguimiento.

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios de la lista de seguimiento durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Más información: Lista de seguimiento

Usuarios privilegiados

Los usuarios con privilegios son los empleados que tienen acceso legítimo a los datos confidenciales y a la configuración del sistema de una organización. Debido a sus derechos privilegiados, las acciones maliciosas de los usuarios privilegiados suelen ser indistinguibles de sus actividades cotidianas. Por lo tanto, las acciones de los usuarios privilegiados permanecen desapercibidas durante mucho tiempo. Estas acciones exponen a las organizaciones a una amplia variedad de riesgos. Para superar este desafío, Citrix Analytics proporciona la función de supervisión de usuarios con privilegios. Esta función le permite supervisar de cerca las anomalías de comportamiento de los usuarios con privilegios de su organización.

En el panel Usuarios, puede ver los cinco principales usuarios privilegiados según la puntuación de riesgo más alta. Los usuarios con privilegios se clasifican como administradores y ejecutivos.

  • Administradores. Usuarios con derechos de administrador de un producto o servicio. Por ejemplo, cuando el privilegio de un usuario se eleva a administrador en el servicio Content Collaboration, esta información se muestra en la página Usuarios . A continuación, puede supervisar las actividades de los usuarios administradores.

    Piense en la usuaria Maria Brown a la que se le asignaron privilegios de administrador en el servicio Content Collaboration. Maria comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detectó comportamientos inusuales. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Citrix Analytics le ayuda a comparar este indicador de riesgo con la información disponible en la página Usuarios . Puede decidir si el indicador de riesgo se activó después de asignar privilegios de administrador al usuario en Content Collaboration. En caso afirmativo, puede tomar las medidas adecuadas en el perfil del usuario privilegiado.

  • Ejecutivos. Usuarios, preferiblemente de la alta dirección de su organización. En la página Usuarios, puede agregar o quitar usuarios como usuarios ejecutivos. Para obtener instrucciones, consulte las secciones Agregar como usuario privilegiado y Eliminar como usuario privilegiado .

    Considere un caso en el que ha agregado un usuario como usuario privilegiado. El usuario comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Citrix Analytics le ayuda a comparar el indicador de riesgo con la información de la página Usuarios . Al comparar la información, puede determinar si el indicador de riesgo se activó después de marcar al usuario como usuario ejecutivo. En caso afirmativo, puede tomar las medidas adecuadas en el perfil del usuario.

Panel de usuarios usuarios privilegiados

Haga clic en el enlace Usuarios con privilegios en la parte superior o en el enlace Ver más del panel Usuarios con privilegios para ver la página Usuarios que muestra a los usuarios privilegiados con administradores y ejecutivos junto con los detalles más recientes del indicador de riesgo. Los usuarios con privilegios se representan con un icono en la columna USUARIO .

Nota

En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios privilegiados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.

Agregar como usuario privilegiado

  1. En la página Usuarios, desplácese hasta la tabla Todos los usuarios y seleccione los usuarios que quiera agregar como usuarios ejecutivos.

  2. Haga clic en Marcar como privilegiado.

Usuarios privilegiados

Quitar como usuario privilegiado

  1. En la página Usuarios, desplácese hasta la tabla Todos los usuarios y seleccione los usuarios que quiera quitar como usuarios ejecutivos.

  2. Haga clic en Quitar de privilegios.

Usuarios privilegiados

Indicadores de riesgo

Resume los cinco principales indicadores de riesgo para un período de tiempo seleccionado. Los indicadores de riesgo pueden ser por defecto o personalizados. Para los indicadores de riesgo predeterminados, Citrix Analytics recopila datos de las fuentes de datos detectadas y en las que está habilitado el procesamiento de datos.

Para los indicadores de riesgo personalizados, Citrix Analytics recopila datos de las siguientes fuentes de datos en función de los eventos de riesgo generados:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

En el panel Indicadores de riesgo, puede ver los cinco indicadores de riesgo principales y ordenarlos según la incidencia total o la gravedad.

Panel de indicadores de riesgo

Haga clic en Ver más en el panel Indicadores de riesgo para ver la página Resumen de indicadores de riesgo .

La página Visión general del indicador de riesgo proporciona información sobre los indicadores de riesgo predeterminados y personalizados. Seleccione el período de tiempo para ver los indicadores de riesgo y sus incidencias.

Resumen de indicadores de riesgo

Haga clic en un indicador de riesgo de la columna NAME para ver detalles sobre el indicador de riesgo, como la vista de cronograma, los usuarios, los sucesos y el tiempo desencadenado. También puede hacer clic en un indicador de riesgo del panel de indicadores de riesgo para ver sus detalles. En la siguiente imagen se muestran los detalles de Acceso excesivo a archivos confidenciales (alerta DLP).

Detalle de alertas DLP

Resumen de acceso

Este panel resume todos los eventos de acceso a Gateway durante un período de tiempo seleccionado. Muestra el número total de accesos, accesos correctos y accesos fallidos a través de Citrix Gateway.

Haga clic en los punteros del gráfico para ver la página Búsqueda de autoservicio de puerta de enlace. Para los casos de inicio de sesión satisfactorio, los eventos de acceso a Gateway se ordenan por el código de estado de la página.

Panel de resumen de acceso

Directivas y acciones

Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario durante un período de tiempo seleccionado. Haga clic en el enlace Ver más del panel Directivas y acciones para obtener información detallada sobre las directivas y acciones.

Panel de directivas y acciones

Directivas principales

Las cinco directivas configuradas más importantes se determinan en función del número de incidencias. Cuando se encuentre en la sección Directivas principales del panel de control y selecciona Ver más, se le redirigirá a la página Todas las directivas .

Panel de directivas y acciones

Todas las directivas

En esta página se proporciona información detallada sobre todas las directivas configuradas. Al seleccionar cualquier directiva, se le redirigirá a la página Búsqueda de autoservicio de directivas . En el panel izquierdo, puede filtrar según las acciones aplicadas.

Cuando selecciona un nombre de usuario, se le redirige al cronograma de riesgos. La acción basada en directivas se agrega al cronograma de riesgo del usuario. Al seleccionar la acción, sus detalles se muestran en el panel derecho del cronograma de riesgo.

Acciones principales

Las cinco acciones principales asociadas a las directivas aplicadas en los perfiles de usuario. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario. Las acciones principales se determinan por el número de ocurrencias.

Haga clic en Ver más para ver todas las acciones basadas en directivas de la página Acciones .

Acciones

La página proporciona la lista de todas las acciones basadas en directivas que se han aplicado a los usuarios durante el período de tiempo seleccionado. Puede ver la siguiente información:

  • Nombre de la acción aplicada según la directiva

  • Número de usuarios a los que se ha aplicado la acción

  • Número de apariciones de la acción

  • Número de directivas asociadas a la acción

  • Fecha y hora de la acción aplicada

Panel de directivas y acciones

Haga clic en una acción para ver todas las directivas asociadas. Estas directivas se ordenan según el número de incidencias. Por ejemplo, haga clic en Solicitar respuesta del usuario en la página Acciones . La página Todas las directivas muestra todas las directivas asociadas a la acción Solicitar respuesta del usuario .

Panel de directivas y acciones

En la página Todas las directivas, haga clic en una directiva para ver los eventos de usuario en los que se ha aplicado la acción.

Categorías de riesgo

Este panel proporciona una vista agregada del nivel de exposición al riesgo de una organización durante un período de tiempo seleccionado. Los indicadores de riesgo se agrupan en categorías conocidas en función de los riesgos que son similares. La categorización de riesgos se admite en los indicadores de riesgo de incumplimiento y personalizados.

Panel de categorías de riesgo

El objetivo del panel Categorías de riesgos es permitir a los administradores de Citrix Virtual Apps and Desktops administrar los riesgos de los usuarios y simplificar las conversaciones con sus homólogos de seguridad sin necesidad de tener conocimientos de seguridad de nivel experto. Permite que la aplicación de la seguridad surta efecto a nivel organizativo y no se limita únicamente a los administradores de seguridad.

Caso de uso

Tenga en cuenta que es administrador de Citrix Virtual Apps and Desktops y administra los derechos de acceso a las aplicaciones de los empleados de su organización. Si va a la sección Categorías de riesgo > Usuarios comprometidos > Errores de autenticación excesivos: indicador de riesgo de Citrix Gateway, puede evaluar si los empleados a los que ha concedido acceso se han visto comprometidos. Si sigue navegando, podrá obtener información más precisa sobre este indicador de riesgo, como los motivos de los fallos, las ubicaciones de inicio de sesión, los detalles del cronograma y el resumen del usuario. Si observa discrepancias entre los usuarios a los que se les concedió acceso y los usuarios que se vieron comprometidos, puede notificarlo al administrador de seguridad. Esta notificación oportuna al administrador de seguridad contribuye a la aplicación de la seguridad a nivel organizativo.

Caso práctico de categorías de riesgo

¿Cómo analizar el panel de control de categorías de riesgo?

Cuando selecciona Ver más en el panel Categorías de riesgo, se le redirige a la página que resume los detalles sobre las categorías de riesgo. Esta página contiene los siguientes detalles:

  • Informe de categoría de riesgo: representa el total de incidencias del indicador de riesgo de cada categoría durante un período de tiempo seleccionado.

    Página de categorías de riesgo

  • Detalles del cronograma: proporciona una representación gráfica de las incidencias totales del indicador de riesgo de cada categoría de riesgo durante un período de tiempo seleccionado. Si navega hasta la parte inferior de esta sección, puede ordenar según las categorías de riesgo para obtener información más precisa sobre los indicadores de riesgo.

    Página de categorías de riesgo

  • Resumen de categorías de riesgo: En esta sección se proporcionan detalles como el impacto, la incidencia y la gravedad de los indicadores de riesgo asociados a cada categoría. Seleccione cualquier categoría de riesgo para ver detalles sobre los indicadores de riesgo asociados a esa categoría. Por ejemplo, cuando selecciona la categoría Usuarios comprometidos, se le redirige a la página Usuarios comprometidos .

    Página de categorías de riesgo

La página Usuarios comprometidos muestra los siguientes detalles:

  • Informe Indicador de Riesgo: Muestra los indicadores de riesgo pertenecientes a la categoría Usuarios comprometidos durante un período de tiempo seleccionado. También muestra el total de ocurrencias de los indicadores de riesgo que se activaron durante el período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Detalles del cronograma: proporciona una representación gráfica de las incidencias del indicador de riesgo durante un período de tiempo seleccionado.

    Página de usuarios comprometidos

  • Resumen del indicador de riesgo: muestra un resumen de los indicadores de riesgo generados en la categoría de usuarios comprometidos. En esta sección también se muestra la gravedad, el origen de datos, el tipo de indicador de riesgo, las incidencias y la última aparición.

    Página de usuarios comprometidos

Cuando selecciona un indicador de riesgo, se le redirige a la página que resume los detalles de ese indicador. Por ejemplo, si selecciona el indicador de riesgo Acceso por primera vez desde un nuevo dispositivo, se le redirigirá a la página que resume los detalles de este indicador. El resumen incluye detalles del cronograma sobre las ocurrencias de este evento y un resumen del usuario que enumera los usuarios que activaron este indicador de riesgo, las incidencias del indicador de riesgo y la hora del evento. Cuando selecciona un usuario, se le redirige al cronograma de riesgo del usuario.

Página de usuarios comprometidos

Nota

Citrix Analytics agrupa los indicadores de riesgo predeterminados en la categoría de riesgo adecuada. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo en la página Crear indicador . Para obtener más información, consulte Indicadores de riesgo personalizados.

Tipos de categorías de riesgo

Exfiltración de datos

Esta categoría agrupa los indicadores de riesgo desencadenados por malware o por empleados que realizan transferencias de datos no autorizadas o robos de datos hacia o desde un dispositivo de una organización. Puede obtener información sobre todas las actividades de filtración de datos que se han llevado a cabo durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de exfiltración de datos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Virtual Apps and Desktops Exfiltración potencial de datos
Citrix Content Collaboration Acceso excesivo a archivos confidenciales
Citrix Content Collaboration Uso compartido excesivo de archivos
Citrix Access Control Volumen de subida

Amenazas internas

Esta categoría agrupa los indicadores de riesgo activados por los empleados de una organización. Dado que los empleados tienen niveles más altos de acceso a aplicaciones específicas de la empresa, las organizaciones tienen mayores probabilidades de sufrir riesgos de seguridad. Las actividades riesgosas pueden ser causadas intencionalmente por un experto malintencionado o pueden ser el resultado de un error humano. En cualquiera de los escenarios, el impacto en la seguridad de la organización es perjudicial. Esta categoría proporciona información sobre todas las actividades de amenazas internas que han tenido lugar durante un período de tiempo específico. Con la ayuda de esta información, puede mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de amenazas internas agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Content Collaboration Eliminación excesiva de archivos o carpetas
Citrix Content Collaboration Subidas excesivas de archivos
Citrix Access Control Descarga excesiva de datos
Citrix Access Control Intento de acceder a URL de la lista de bloqueados
Citrix Access Control Acceso a sitios web arriesgado

Usuarios comprometidos

Esta categoría agrupa los indicadores de riesgo en los que los usuarios muestran patrones de comportamiento inusuales, como inicio de sesión sospechoso o fallos de inicio de sesión. Alternativamente, los patrones inusuales pueden ser el resultado de que las cuentas de usuario se vean comprometidas. Puede obtener información sobre todos los eventos de usuario comprometidos que han tenido lugar durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.

La categoría de riesgo de usuarios comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Content Collaboration Acceso desde una ubicación inusual
Citrix Content Collaboration Fallas de autenticación inusuales
Citrix Content Collaboration Actividad de ransomware sospechosa
Citrix Content Collaboration Descargas excesivas de archivos
Citrix Gateway Inicio de sesión desde IP sospechosa
Citrix Gateway Fallos de autenticación excesivos
Citrix Gateway Fallos excesivos de autorización
Citrix Gateway Acceso desde una ubicación inusual
Microsoft Graph Security Indicadores de riesgo de protección de identidad de Azure AD
Microsoft Graph Security Indicadores de riesgo de Microsoft Defender for Endpoint

Endpoints comprometidos

Esta categoría agrupa los indicadores de riesgo que se activan cuando los dispositivos presentan un comportamiento no seguro que podría indicar un riesgo.

La categoría de riesgo de puntos finales comprometidos agrupa los siguientes indicadores de riesgo:

Fuentes de datos Indicadores de riesgo del usuario
Citrix Gateway Fallo en la exploración del análisis de punto final (EPA)
Citrix Endpoint Management Dispositivo no administrado detectado
Citrix Endpoint Management Se ha detectado un dispositivo con jailbreak o rooteado
Citrix Endpoint Management Dispositivo con aplicaciones en la lista de bloqueados detectado