Panel de usuarios
Introducción
El panel Usuarios es el punto de partida del análisis del comportamiento de los usuarios y la prevención de amenazas.
Este panel proporciona visibilidad de los patrones de comportamiento de los usuarios en toda la organización. Con estos datos, puede supervisar, detectar y marcar de forma proactiva comportamientos fuera de lo normal, como ataques de phishing o ransomware.
Para ver el panel de usuarios, vaya a Seguridad > Usuarios. El panel Usuarios contiene las siguientes secciones:
-
Descripción general: la sección de descripción general proporciona resúmenes de las métricas que pueden ayudar a comprender la postura general de seguridad de su organización.
-
Distribución del riesgode los usuarios: número de usuarios en perfiles altos, medios, bajos y sin riesgo según su puntuación de riesgo calculada más alta en el período de tiempo seleccionado.
-
Usuarios principales: usuariosprincipales ordenados según su puntuación de riesgo, segmentados por todos los usuarios, usuarios con privilegios y usuarios de listas de seguimiento.
-
Categorías de riesgo: muestra las categorías de riesgo compatibles con Citrix Analytics. Los indicadores de riesgo con patrones de comportamiento similares se agrupan en categorías.
-
Indicadores y acciones de riesgo: distribución de los indicadores de riesgo y las acciones trazados durante una duración seleccionada entre todos los usuarios de la organización.
-
Resumen de acceso: resume el número total de intentos que los usuarios han realizado para acceder a los recursos de la organización.
-
Directivas y acciones: muestra las cinco directivas y acciones principales aplicadas a los perfiles de usuario.
-
Indicadores de riesgo: muestra los cinco indicadores de riesgo principales de su organización.
Todos los usuarios detectados
Número total de usuarios de su organización que utilizan los orígenes de datos para las que ha habilitado Analytics. Es posible que tengan o no una puntuación de riesgo asociada a su cuenta. Es posible que el número de usuarios descubiertos en el panel Usuarios sea superior al número de usuarios de riesgo.
Haga clic en el icono Todos los usuarios detectados del panel para ver la página Usuarios, que muestra una lista completa de los usuarios detectados por Citrix Analytics. La página Usuarios muestra las fuentes de datos, las puntuaciones de riesgo y el estado de la aplicación Workspace, junto con los usuarios detectados.
Nota
En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios detectados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Las acciones y los eventos cuentan los cambios en función de la selección de tiempo.
Facetas
Filtra los eventos de usuario según las siguientes categorías:
-
Puntuación de riesgo: eventos de usuario basados en puntuaciones de riesgo alto, riesgo medio, riesgo bajo y riesgo cero.
-
Usuario: eventos de usuario basados en privilegios de administrador, privilegios ejecutivos y usuarios de listas de seguimiento.
-
Orígenes de datos descubiertos: eventos de usuario basados en la fuente de datos incorporada.
-
Estado dela aplicación Workspace: estadode compatibilidad de las versiones de la aplicación Citrix Workspace utilizadas en el dispositivo del usuario.
Nota
El estado de la aplicación Workspace se determina a partir de los eventos de usuario recibidos de Citrix Director. Para ver el estado, debe conectar su Citrix Analytics a Citrix Director. De lo contrario, el estado de todos los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS aparece como Inactivo.
Cuadro de búsqueda
Utilice el cuadro de búsqueda para buscar eventos para los usuarios. Puede utilizar operadores en la consulta para reducir el enfoque de la búsqueda. Para obtener información sobre los operadores válidos que puede utilizar en la consulta, consulte Búsqueda de autoservicio.
Puntuación más reciente
La puntuación de riesgo determina el nivel de riesgo que un usuario supone para una organización durante un período de tiempo específico. El valor de la puntuación de riesgo es dinámico y varía según el análisis del comportamiento de los usuarios. Según la puntuación de riesgo más reciente, un usuario puede clasificarse en una de las siguientes categorías: usuario de alto riesgo, usuario de riesgo medio, usuario de bajo riesgo y usuario con una puntuación de riesgo cero.
Usuario
Lista de todos los usuarios descubiertos por Analytics. Seleccione un nombre de usuario para ver la información del usuario y el cronograma de riesgos del usuario. El usuario puede o no haber activado ningún indicador de riesgo. Si no hay eventos de riesgo asociados a este usuario, aparece el siguiente mensaje.
Si hay eventos de riesgo asociados con un usuario, verá los indicadores de riesgo en su cronología de riesgo. Seleccione el usuario para ver su cronograma de riesgo.
Se puede marcar a un usuario como privilegiado y agregarlo a la lista de seguimiento.
Fuente de datos descubierta
Origen de datos asociado a un usuario. Cuando un usuario utiliza activamente la fuente de datos, Analytics recibe los eventos de usuario de esa fuente de datos. Para recibir eventos de usuario, debe activar el procesamiento de datos en la tarjeta del sitio de origen de datos, que está disponible en la página Orígenes de datos.
Estado de la aplicación Workspace
Utilice las siguientes etiquetas para identificar el estado de la aplicación Workspace:
-
Compatible: Citrix Analytics admite la versión de la aplicación Citrix Workspace y los eventos de usuario se reciben de la aplicación.
-
Compatible parcialmente: se admitela versión de la aplicación Citrix Workspace, pero no se recibe ningún evento de usuario de la aplicación. Para identificar y solucionar los problemas, consulte la guía de solución de problemas.
-
Nocompatible: no se admite la versión de la aplicación Citrix Workspace y no se recibe ningún evento de usuario de la aplicación. El usuario debe actualizar la aplicación Citrix Workspace a una versión compatible. Para obtener la lista de versiones compatibles, consulte los clientes compatibles.
-
No disponible (NA): el usuario no utiliza la fuente de datos Citrix Virtual Apps and Desktops ni Citrix DaaS. Es posible que utilicen una fuente de datos diferente, como Content Collaboration, Secure Private Access y Gateway.
-
Inactivo: el usuario no ha tenido ninguna sesión activa en Citrix Virtual Apps and Desktops ni en Citrix DaaS en la última semana. Por lo tanto, no se reciben eventos del usuario.
En la última semana, si el usuario actualiza la aplicación Citrix Workspace a cuatro versiones diferentes (por ejemplo: xx, xy, yx e yy), la descripción emergente mostrará las cuatro versiones diferentes. El estado cambia según el siguiente caso.
Caso | Estado de la aplicación Workspace |
---|---|
Cuando se admiten las cuatro versiones (xx, xy, yx e yy). | Se admite |
Entre las cuatro versiones, al menos una versión (xx) no es compatible y las demás versiones (xy, yx e yy) son compatibles. | No compatible |
Entre las cuatro versiones, al menos una versión (xx) está parcialmente soportada y las demás versiones (xy, yx e yy) son compatibles. | Compatible parcialmente |
Entre las cuatro versiones, la versión (xx) no es compatible, la versión (yx) es parcialmente compatible y las dos versiones restantes (yx, yy) son compatibles. | No compatible |
Nota
El estado No admitido tiene prioridad que el estado Soportado y el estado Parcialmente admitido.
Indicadores activados
Indica el número de indicadores de riesgo activados en todos los usuarios durante el período seleccionado. Haga clic en el icono Indicadores activados para ver los detalles de los indicadores de riesgo. La tabla de indicadores de riesgo proporciona los siguientes detalles:
- Nombre: el nombre del indicador de riesgo.
- Gravedad: la gravedad del riesgo asociado con el evento. El riesgo puede ser alto, medio o bajo.
- Fuente de datos: la fuente de datos a la que se aplica la plantilla del indicador de riesgo.
- Tipo: Tipo de indicador de riesgo. Un indicador de riesgo puede ser por defecto o personalizado.
- Ocurrencias: número de veces que se activa un indicador de riesgo para un usuario. Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.
- Última aparición: muestra la fecha y hora de la última aparición.
Acciones aplicadas
Indica el número de acciones aplicadas a los usuarios durante la duración seleccionada. Esto incluye las acciones aplicadas manualmente por los administradores y las acciones impulsadas por directivas. Haga clic en el icono Acción aplicada para ver los detalles de la acción. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario.
La tabla de acciones proporciona la siguiente información:
- Acción: nombre de la acción aplicada según la directiva.
- Usuarios: número de usuarios a los que se ha aplicado la acción.
- Apariciones: número de ocurrencias de la acción.
- Fecha y hora: fecha y hora de la acción aplicada.
Eventos procesados
Número total de eventos de usuario recibidos de las fuentes de datos conectadas y procesados por Analytics.
Distribución de riesgos para los usuarios
Puede ver el número de usuarios en perfiles altos, medios, bajos y sin riesgo en función de su puntuación de riesgo calculada más alta en el período de tiempo seleccionado. Debajo de los recuentos generales, aparece un gráfico de barras que muestra los cambios a lo largo del tiempo en la distribución de los usuarios de riesgo bajo, medio y alto.
El nivel de riesgo se clasifica en un código de tres colores.
- Rojo: representa a los usuarios de alto riesgo.
- Naranja: representa a los usuarios de riesgo medio.
- Gris: representa a los usuarios de bajo riesgo.
Puede ver el número de usuarios de riesgo (alto, medio y bajo) mientras coloca el ratón sobre las barras de colores en función de un período de tiempo específico. Puede ver los detalles de la última actualización (fecha y hora) con la información del intervalo de datos. Haga clic en la opción de actualización para obtener los datos actualizados.
Total de usuarios
Haga clic en la opción Total de usuarios para ver la página Usuarios.
Esta página muestra todos los usuarios y sus puntuaciones de riesgo. Puede utilizar las facetas y la barra de búsqueda para filtrar los eventos.
Usuarios con riesgos
Los usuarios de riesgo son usuarios descubiertos que tienen eventos de riesgo asociados y que han activado al menos un indicador de riesgo. El nivel de riesgo que un usuario plantea a la red durante un período de tiempo específico viene determinado por la puntuación de riesgo asociada al usuario. El valor de la puntuación de riesgo es dinámico y se basa en el análisis del comportamiento de los usuarios.
El riesgo de cada usuario se actualiza periódicamente a lo largo del tiempo en función de la actividad del usuario. Por lo tanto, un usuario puede tener un riesgo medio o alto en un momento dado, pero caer a un nivel de riesgo más bajo más adelante. Según la puntuación de riesgo, un usuario riesgoso puede clasificarse en una de las siguientes categorías:
En la página Usuarios de riesgo, puede utilizar las facetas para filtrar en función de los niveles de riesgo asociados al período de tiempo seleccionado y la barra de búsqueda para consultar a un usuario o usuarios específicos.
Haga clic en el ID de correo electrónico del usuario para ver la página del cronograma de riesgos del usuario seleccionado en particular. Esta página muestra los indicadores de riesgo junto con los detalles de las puntuaciones de riesgo másrecientesy más altas según el período de tiempo seleccionado.
Riesgo alto
Usuarios con puntaje de riesgo entre 90 y 100. Estos usuarios han mostrado múltiples comportamientos consistentes con factores de riesgo moderados a graves y pueden representar amenazas inmediatas para la organización.
En el panel de usuarios, puede ver la cantidad de usuarios de alto riesgo en función de la puntuación de riesgo calculada más alta en el período de tiempo seleccionado.
Haga clic en la opción Alto riesgo para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de alto riesgo.
Riesgo medio
Usuarios con puntaje de riesgo entre 70 y 89. Estos usuarios suelen realizar una o más actividades que parecen potencialmente sospechosas o anómalas, y podría valer la pena supervisarlas de cerca.
Haga clic en la opción Riesgo medio para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de riesgo medio.
Riesgo bajo
Usuarios con puntaje de riesgo entre 1 y 69. Estos usuarios tienen al menos un indicador de riesgo que refleja algún comportamiento inusual o inesperado, pero no lo suficiente como para merecer una clasificación de riesgo más seria.
Haga clic en la opción Bajo riesgo para ver la página Usuarios de riesgo. La página muestra los detalles sobre los usuarios de bajo riesgo.
No es riesgoso
Usuarios con puntuación de riesgo cero. Estos usuarios no tienen ningún indicador de riesgo activado en su cuenta durante el período de tiempo seleccionado. Estos usuarios que no presentan riesgos pueden tener asociadas incidencias en los indicadores de riesgo, aunque su puntuación de riesgo sea cero.
Usuarios principales
Puede ver los principales usuarios de varias categorías de usuarios ordenados según las puntuaciones de riesgo más altas para el período de tiempo seleccionado. La siguiente tabla de usuarios principales muestra los cinco usuarios con mayor riesgo (todos, usuarios con privilegios y de listas de seguimiento) en función de su puntuación de riesgo calculada durante el período de tiempo seleccionado, en lugar de la puntuación de riesgo más reciente.
Nota:
En versiones anteriores, la tabla de usuarios principales siempre mostraba la puntuación de riesgo más reciente, independientemente del período de tiempo seleccionado.
Usuarios privilegiados
Los usuarios con privilegios son los empleados que tienen acceso legítimo a los datos confidenciales y a la configuración del sistema de una organización. Debido a sus derechos privilegiados, las acciones maliciosas de los usuarios privilegiados suelen ser indistinguibles de sus actividades cotidianas. Por lo tanto, las acciones de los usuarios privilegiados permanecen desapercibidas durante mucho tiempo. Estas acciones exponen a las organizaciones a una amplia variedad de riesgos. Para superar este desafío, Citrix Analytics proporciona la función de supervisión de usuarios con privilegios. Esta función le permite supervisar de cerca las anomalías de comportamiento de los usuarios con privilegios de su organización.
En la sección Panel de usuarios > Usuarios principales, puede ver los cinco usuarios con más privilegios en función de la puntuación de riesgo más alta. Los usuarios con privilegios se clasifican como administradores y ejecutivos.
-
Administradores. Usuarios con derechos de administrador de un producto o servicio. Por ejemplo, cuando el privilegio de un usuario se eleva a administrador en el servicio Content Collaboration, esta información se muestra en la página Usuarios. A continuación, puede supervisar las actividades de los usuarios administradores.
Piense en la usuaria Maria Brown a la que se le asignaron privilegios de administrador en el servicio Content Collaboration. Maria comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detectó comportamientos inusuales. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Citrix Analytics le ayuda a comparar este indicador de riesgo con la información disponible en la página Usuarios. Puede decidir si el indicador de riesgo se activó después de asignar privilegios de administrador al usuario en Content Collaboration. En caso afirmativo, puede tomar las medidas adecuadas en el perfil del usuario privilegiado.
-
Ejecutivos. Usuarios, preferiblemente de la alta dirección de su organización. En la página Usuarios, puede agregar o quitar usuarios como usuarios ejecutivos. Para obtener instrucciones, consulte las secciones Agregar como usuario privilegiado y Eliminar como usuario privilegiado.
Considere un caso en el que ha agregado un usuario como usuario privilegiado. El usuario comienza a eliminar archivos y carpetas en exceso y activa el algoritmo de aprendizaje automático que detectó un comportamiento inusual. El indicador de riesgo de eliminación excesiva de archivos o carpetas se agrega al cronograma de riesgo del usuario. Citrix Analytics le ayuda a comparar el indicador de riesgo con la información de la página Usuarios. Al comparar la información, puede determinar si el indicador de riesgo se activó después de marcar al usuario como usuario ejecutivo. En caso afirmativo, puede tomar las medidas adecuadas en el perfil del usuario.
Haga clic en el enlace Ver más de la pestaña Todos los usuarios para ver la página Usuarios, que muestra los detalles de los usuarios con privilegios. Una vez que haya accedido a la página Usuarios, puede utilizar las facetas para obtener más detalles según sea necesario. Por ejemplo, puede seleccionar un usuario como administrador oejecutivojunto con la puntuación de riesgo actual. Los usuarios con privilegios se representan con un icono en la columnaUSUARIO.
Nota
En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios privilegiados durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.
Agregar como usuario privilegiado
-
En la página Usuarios, desplácese hasta la tabla Todos los usuarios y seleccione los usuarios que quiera agregar como usuarios ejecutivos.
-
Haga clic en Marcar como privilegiado.
Quitar como usuario privilegiado
-
En la página Usuarios, desplácese hasta la tabla Todos los usuarios y seleccione los usuarios que quiera quitar como usuarios ejecutivos.
-
Haga clic en Quitar de privilegios.
Usuarios de la lista de seguimiento
Lista de usuarios supervisados de cerca para detectar posibles amenazas. Por ejemplo, puede supervisar a los usuarios que no son empleados a tiempo completo en su organización si los agrega a la lista de seguimiento. También puede supervisar a los usuarios que activan un indicador de riesgo específico con frecuencia. Puede agregar un usuario a la lista de seguimiento manualmente o definir directivas para agregar usuarios a la lista de seguimiento.
Si has añadido usuarios a la lista de seguimiento, puedes ver los cinco primeros usuarios de la lista de seguimiento en función de la puntuación más alta.
Haga clic en el enlace Ver más del panel Todos los usuarios para ver la página Usuarios. La página muestra la lista de todos los usuarios de la lista de seguimiento.
Nota
En el panel Usuarios y en la página Usuarios, se muestra el número de usuarios de la lista de seguimiento durante los últimos 13 meses, independientemente del período de tiempo seleccionado. Al seleccionar un período de tiempo, las incidencias del indicador de riesgo cambian en función de la selección de tiempo.
Más información: Lista de seguimiento
Categorías de riesgo
El gráfico circular de categorías de riesgo resume el número de casos de indicadores por categoría de riesgo durante el período de tiempo seleccionado. Los recuentos de usuarios únicos se muestran al pasar el ratón sobre cada segmento del gráfico, que a su vez enlaza con la página de descripción general de la categoría de indicadores de riesgo correspondiente. La categorización de riesgos se admite en los indicadores de riesgo de incumplimiento y personalizados.
El propósito del panel de categorías de riesgo es permitir a los administradores de Citrix Virtual Apps and Desktops y Citrix DaaS gestionar los riesgos de los usuarios y simplificar las conversaciones con sus homólogos de seguridad sin necesidad de tener conocimientos de seguridad de nivel experto. Permite que la aplicación de la seguridad surta efecto a nivel organizativo y no se limita únicamente a los administradores de seguridad.
Caso de uso
Tenga en cuenta que es administrador de Citrix Virtual Apps and Desktops y administra los derechos de acceso a las aplicaciones de los empleados de su organización. Si va a la sección Categorías de riesgo > Usuarios comprometidos > Errores de autenticación excesivos: indicador de riesgo de Citrix Gateway, puede evaluar si los empleados a los que ha concedido acceso se han visto comprometidos. Si sigue navegando, podrá obtener información más precisa sobre este indicador de riesgo, como los motivos de los fallos, las ubicaciones de inicio de sesión, los detalles del cronograma y el resumen del usuario. Si observa discrepancias entre los usuarios a los que se les concedió acceso y los usuarios que se vieron comprometidos, puede notificarlo al administrador de seguridad. Esta notificación oportuna al administrador de seguridad contribuye a la aplicación de la seguridad a nivel organizativo.
¿Cómo analizar el panel de control de categorías de riesgo?
Cuando selecciona Ver más en el panel Categorías de riesgo, se le redirige a la página que resume los detalles sobre las categorías de riesgo. Esta página contiene los siguientes detalles:
-
Informe de categoría de riesgo: representa el total de incidencias del indicador de riesgo de cada categoría durante un período de tiempo seleccionado.
-
Detalles del cronograma: proporciona una representación gráfica de las incidencias totales del indicador de riesgo de cada categoría de riesgo durante un período de tiempo seleccionado. Si navega hasta la parte inferior de esta sección, puede ordenar según las categorías de riesgo para obtener información más precisa sobre los indicadores de riesgo.
-
Resumen de categorías de riesgo: En esta sección se proporcionan detalles como el impacto, la incidencia y la gravedad de los indicadores de riesgo asociados a cada categoría. Seleccione cualquier categoría de riesgo para ver detalles sobre los indicadores de riesgo asociados a esa categoría. Por ejemplo, cuando selecciona la categoría Usuarios comprometidos, se le redirige a la página Usuarios comprometidos.
La página Usuarios comprometidos muestra los siguientes detalles:
-
Informe Indicador de Riesgo: Muestra los indicadores de riesgo pertenecientes a la categoría Usuarios comprometidos durante un período de tiempo seleccionado. También muestra el total de ocurrencias de los indicadores de riesgo que se activaron durante el período de tiempo seleccionado.
-
Detalles del cronograma: proporciona una representación gráfica de las incidencias del indicador de riesgo durante un período de tiempo seleccionado.
-
Resumen del indicador de riesgo: muestra un resumen de los indicadores de riesgo generados en la categoría de usuarios comprometidos. En esta sección también se muestra la gravedad, el origen de datos, el tipo de indicador de riesgo, las incidencias y la última aparición.
Cuando selecciona un indicador de riesgo, se le redirige a la página que resume los detalles de ese indicador. Por ejemplo, si selecciona el indicador de riesgo Acceso por primera vez desde un nuevo dispositivo, se le redirigirá a la página que resume los detalles de este indicador. El resumen incluye detalles del cronograma sobre las ocurrencias de este evento y un resumen del usuario que enumera los usuarios que activaron este indicador de riesgo, las incidencias del indicador de riesgo y la hora del evento. Cuando selecciona un usuario, se le redirige al cronograma de riesgo del usuario.
Nota
Citrix Analytics agrupa los indicadores de riesgo predeterminados en la categoría de riesgo adecuada. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo en la página Crear indicador. Para obtener más información, consulte Indicadores de riesgo personalizados.
Tipos de categorías de riesgo
Exfiltración de datos
Esta categoría agrupa los indicadores de riesgo desencadenados por malware o por empleados que realizan transferencias de datos no autorizadas o robos de datos hacia o desde un dispositivo de una organización. Puede obtener información sobre todas las actividades de filtración de datos que se han llevado a cabo durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.
La categoría de riesgo de exfiltración de datos agrupa los siguientes indicadores de riesgo:
Orígenes de datos | Indicadores de riesgo del usuario |
---|---|
Citrix Content Collaboration | Acceso excesivo a archivos confidenciales |
Citrix Content Collaboration | Descargas excesivas de archivos |
Citrix Content Collaboration | Uso compartido excesivo de archivos |
Citrix Virtual Apps and Desktops y Citrix DaaS | Exfiltración potencial de datos |
Amenazas internas
Esta categoría agrupa los indicadores de riesgo activados por los empleados de una organización. Dado que los empleados tienen niveles más altos de acceso a aplicaciones específicas de la empresa, las organizaciones tienen mayores probabilidades de sufrir riesgos de seguridad. Las actividades riesgosas pueden ser causadas intencionalmente por un experto malintencionado o pueden ser el resultado de un error humano. En cualquiera de los escenarios, el impacto en la seguridad de la organización es perjudicial. Esta categoría proporciona información sobre todas las actividades de amenazas internas que han tenido lugar durante un período de tiempo específico. Con la ayuda de esta información, puede mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.
La categoría de riesgo de amenazas internas agrupa los siguientes indicadores de riesgo:
Orígenes de datos | Indicadores de riesgo del usuario |
---|---|
Citrix Content Collaboration | Eliminación excesiva de archivos o carpetas |
Citrix Content Collaboration | Subidas excesivas de archivos |
Citrix Content Collaboration | Archivos de malware detectados |
Citrix Secure Private Access | Intento de acceder a URL de la lista de bloqueados |
Citrix Secure Private Access | Descarga excesiva de datos |
Citrix Secure Private Access | Acceso a sitios web con riesgos |
Citrix Secure Private Access | Volumen de subida |
Usuarios comprometidos
Esta categoría agrupa los indicadores de riesgo en los que los usuarios muestran patrones de comportamiento inusuales, como inicio de sesión sospechoso o fallos de inicio de sesión. Alternativamente, los patrones inusuales pueden ser el resultado de que las cuentas de usuario se vean comprometidas. Puede obtener información sobre todos los eventos de usuario comprometidos que han tenido lugar durante un período de tiempo determinado y mitigar los riesgos asociados a esta categoría aplicando acciones de forma proactiva en los perfiles de usuario.
La categoría de riesgo de usuarios comprometidos agrupa los siguientes indicadores de riesgo:
Orígenes de datos | Indicadores de riesgo del usuario |
---|---|
Citrix Content Collaboration | Trayectos imposibles |
Citrix Content Collaboration | Actividad de ransomware sospechosa |
Citrix Content Collaboration | Fallas de autenticación inusuales |
Citrix Gateway | Fallo en el análisis de punto final |
Citrix Gateway | Fallos de autenticación excesivos |
Citrix Gateway | Trayectos imposibles |
Citrix Gateway | Inicio de sesión desde IP sospechosa |
Citrix Gateway | Error de autenticación inusual |
Citrix Virtual Apps and Desktops y Citrix DaaS | Inicio de sesión sospechoso |
{page.cvad-and-daas-product-name}} | Trayectos imposibles |
Microsoft Graph Security | Indicadores de riesgo de protección de identidad de Azure AD |
Microsoft Graph Security | Indicadores de riesgo de Microsoft Defender for Endpoint |
Endpoints comprometidos
Esta categoría agrupa los indicadores de riesgo que se activan cuando los dispositivos presentan un comportamiento no seguro que podría indicar un riesgo.
La categoría de riesgo de puntos finales comprometidos agrupa los siguientes indicadores de riesgo:
Orígenes de datos | Indicadores de riesgo del usuario |
---|---|
Citrix Endpoint Management | Dispositivo no administrado detectado |
Citrix Endpoint Management | Se ha detectado un dispositivo con jailbreak o rooteado |
Citrix Endpoint Management | Dispositivo con aplicaciones en la lista de bloqueados detectado |
Indicadores de riesgo y acciones
Puede ver los indicadores de riesgo activados y las acciones aplicadas a sus usuarios durante el período de tiempo seleccionado. El nuevo gráfico de barras de indicadores de riesgo y acciones proporciona los recuentos de indicadores, acciones y eventos detallados a lo largo del tiempo, con el intervalo de tiempo general y el intervalo de barras derivados del período de tiempo seleccionado.
Al hacer clic en un segmento de barra para ver los indicadores o las acciones, se obtiene una visualización detallada de los recuentos por indicador o acción, respectivamente.
En el menú desplegable de indicadores, al hacer clic en una barra indicadora individual, se accede a la página correspondiente del indicador de riesgo para el período de tiempo seleccionado.
Resumen de acceso
Este panel resume todos los eventos de acceso a Gateway durante un período de tiempo seleccionado. Muestra el número total de accesos, accesos correctos y accesos fallidos a través de Citrix Gateway.
Haga clic en los punteros del gráfico para ver la página Búsqueda de autoservicio de puerta de enlace. Para los casos de inicio de sesión satisfactorio, los eventos de acceso a Gateway se ordenan por el código de estado de la página.
Directivas y acciones
Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario durante un período de tiempo seleccionado. Haga clic en el enlace Ver más del panel Directivas y acciones para obtener información detallada sobre las directivas y acciones.
Directivas principales
Las cinco directivas configuradas más importantes se determinan en función del número de incidencias. Cuando se encuentre en la sección Directivas principales del panel de control y selecciona Ver más, se le redirigirá a la página Todas las directivas.
Todas las directivas
En esta página se proporciona información detallada sobre todas las directivas configuradas. Al seleccionar cualquier directiva, se le redirigirá a la página Búsqueda de autoservicio de directivas. En el panel izquierdo, puede filtrar según las acciones aplicadas.
Cuando selecciona un nombre de usuario, se le redirige al cronograma de riesgos. La acción basada en directivas se agrega al cronograma de riesgo del usuario. Al seleccionar la acción, sus detalles se muestran en el panel derecho del cronograma de riesgo.
Acciones principales
Las cinco acciones principales asociadas a las directivas aplicadas en los perfiles de usuario. En esta sección no se muestran las acciones que ha aplicado manualmente en los perfiles de usuario. Las acciones principales se determinan por el número de ocurrencias.
Haga clic en Ver más para ver todas las acciones basadas en directivas de la página Acciones.
Acciones
La página proporciona la lista de todas las acciones basadas en directivas que se han aplicado a los usuarios durante el período de tiempo seleccionado. Puede ver la siguiente información:
-
Nombre de la acción aplicada según la directiva
-
Número de usuarios a los que se ha aplicado la acción
-
Número de apariciones de la acción
-
Número de directivas asociadas a la acción
-
Fecha y hora de la acción aplicada
Haga clic en una acción para ver todas las directivas asociadas. Estas directivas se ordenan según el número de incidencias. Por ejemplo, haga clic en Solicitar respuesta del usuario final en la página Acciones. La página Todas las directivas muestra todas las directivas asociadas a la acción Solicitar respuesta del usuario final.
En la página Todas las directivas, haga clic en una directiva para ver los eventos de usuario en los que se ha aplicado la acción.
Indicadores de riesgo
Resume los cinco principales indicadores de riesgo para un período de tiempo seleccionado. Los indicadores de riesgo pueden ser por defecto o personalizados. Para los indicadores de riesgo predeterminados, Citrix Analytics recopila datos de los orígenes de datos detectadas y en las que está habilitado el procesamiento de datos.
Para los indicadores de riesgo personalizados, Citrix Analytics recopila datos de estos orígenes de datos en función de los eventos de riesgo generados:
- Citrix Content Collaboration
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops
- Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service)
En el panel Indicadores de riesgo, puede ver los cinco indicadores de riesgo principales y ordenarlos según la incidencia total o la gravedad.
Haga clic en Ver más en el panel Indicadores de riesgo para ver la página Resumen de indicadores de riesgo.