Citrix Analytics para la seguridad

Novedades

Un objetivo de Citrix es ofrecer nuevas funciones y actualizaciones de productos a los clientes de Citrix Analytics cuando estén disponibles. Las nuevas versiones agregan valor al producto y no hay motivo para retrasar el momento de actualizar.

Para usted, como cliente, este proceso es transparente. Las actualizaciones iniciales solo se aplican en los sitios internos de Citrix; luego se aplican gradualmente en los entornos de los clientes. La entrega de actualizaciones incrementalmente en ondas ayuda a garantizar la calidad del producto y a maximizar la disponibilidad.

5 de abril de 2022

Novedades

Se cambia el nombre de Secure Workspace Access a Secure Private Access

En los paneles e informes de Analytics, todas las etiquetas de Secure Workspace Access ahora se actualizan como Secure Private Access para alinearse con el nombre del producto con el que se ha cambiado la marca.

Por ejemplo, en la página Orígenes de datos y en la página de búsqueda de autoservicio, las etiquetas Secure Workspace Access se renombran como Acceso privado seguro.

21 de marzo de 2022

Problema resuelto

  • En la página Crear indicador de riesgo, las sugerencias automáticas para dimensiones y operadores no funcionan si la condición anterior de la consulta de búsqueda contiene un valor de dimensión que está separado por un espacio.

    Por ejemplo, en la siguiente consulta, las sugerencias automáticas dejan de funcionar después de seleccionar la ciudad como San Jose. Este problema ya se ha solucionado. [CAS-64126]

    La sugerencia automática falla

10 de marzo de 2022

Novedades

Mejoras en el correo electrónico del administrador

  • La notificación por correo electrónico para la acción Notificar a los administradores ahora proporciona los detalles de los múltiples indicadores de riesgo asociados con una política desencadenada.

  • Puede ver el nombre, el nivel de gravedad y la fecha de activación de cada indicador de riesgo asociado a la política.

  • Haga clic en Ver detalles del riesgo para abrir la página de línea de tiempo del usuario en Citrix Analytics y ver el indicador de riesgo más reciente que desencadenó la directiva. En la página de cronograma del usuario, también puede ver todos los indicadores de riesgo activados para el usuario.

Mejoras en el correo electrónico del administrador

Para obtener más información sobre la acción Notificar a los administradores, consulte Directivas y acciones.

Problema resuelto

Citrix Analytics no recibe eventos de usuario del origen de datos de Secure Workspace Access. Por lo tanto, no verá los eventos del usuario en la página de búsqueda de autoservicio correspondiente. Además, no puede crear indicadores de riesgo personalizados para la fuente de datos Secure Workspace Access. [CAS-64619]

03 marzo 2022

Novedades

Aplicar la respuesta del usuario final de solicitud manualmente

Anteriormente, solo podía aplicar la acción Solicitar respuesta del usuario final en una cuenta de usuario mediante la creación de una política. Con esta versión, puede seleccionar la acción de la lista Acciones en la línea de tiempo del usuario y aplicar esta acción manualmente en un indicador de riesgo.

Para obtener más información sobre la acción y cómo aplicar acciones manualmente, consulte Políticas y acciones.

Solicitar respuesta del usuario final de forma manual

Solicitar mejoras en la respuesta del usuario final para la política

Al crear una política con la acción Solicitar respuesta del usuario final, verá las siguientes mejoras:

  • Después de seleccionar Notificar a los administradores como la siguiente acción, ahora puede ver las listas de distribución de correo electrónico predeterminadas y creadas entre las que puede elegir.

    Notificar lista de distribución de administrador

  • Ahora puede seleccionar una de las acciones de Citrix Content Collaboration o Citrix Virtual Apps and Desktops y Citrix DaaS como la siguiente acción. Anteriormente, solo podía seleccionar una de las acciones globales o las acciones de Citrix Gateway.

    Acciones de seguimiento

Para obtener más información sobre la acción, consulte Directivas y acciones.

23 de febrero de 2022

Novedades

Medidas recomendadas para un indicador de riesgo

Citrix Analytics le sugiere aplicar acciones como Notificar a los administradores, Agregar a la lista de seguimientoy Crear una directiva cuando se desencadenen los siguientes indicadores de riesgo para un usuario:

Cuando vaya a la línea de tiempo del usuario y seleccione el indicador de riesgo, puede ver todas las acciones sugeridas en la sección ACCIÓN RECOMENDADA .

Por ejemplo, en el indicador de riesgo de error de autenticación inusual, puede ver las siguientes acciones recomendadas:

Acción recomendada

Esta función proporciona orientación para elegir una acción que puede tomar en función de la gravedad del riesgo que presente el usuario. Sin embargo, también puede tomar una acción apropiada que esté fuera de la lista recomendada y en función de su análisis de riesgos.

Problema resuelto

  • Si su organización se incorpora a Citrix Cloud en la región de origen de Asia Pacífico Sur, es posible que Citrix Analytics no reciba eventos de usuario de la fuente de datos de autenticación. Por lo tanto, es posible que no vea los eventos de usuario en la página de búsqueda de autoservicio correspondiente. Este problema se ha solucionado. [CAS-62300]

17 de febrero de 2022

Novedades

Recopilación de datos e informes mejorados para la fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS

En esta versión, verá los siguientes cambios:

  • Mejoras en la recopilación de datos, la correlación y los informes de eventos de los clientes de la aplicación Citrix Workspace y el servicio Citrix Monitor.

  • Mejoras en la calidad de los eventos recibidos de los usuarios y las versiones de los clientes, que se pueden utilizar para la búsqueda de autoservicio, los indicadores de riesgo personalizados y la detección general de riesgos.

Compatibilidad con plantillas contextuales para los eventos de sesión y los eventos de aplicaciones en Content Collaboration

En la página de búsqueda de autoservicio, ahora puede ver los detalles de solo los campos relevantes asociados con el archivo, la carpeta, la sesión, el recurso compartido y los eventos del usuario. Se eliminan los campos no aplicables a los eventos.

Por ejemplo, puede ver los siguientes detalles de los eventos de File.Copy:

  • ID de archivo

  • ID de copia de archivo

  • Ruta de archivo

  • Ruta del archivo de destino

  • ID de transmisión

  • Id. de zona

Estos detalles lo ayudan durante la investigación y el análisis de riesgos de una cuenta de usuario asociada con un comportamiento de riesgo. Puede profundizar en los atributos específicos de un evento que parezca con riesgos.

Para obtener más información sobre los campos, consulte Búsqueda de autoservicio de Content Collaboration.

10 de febrero de 2022

Novedades

Valores sugeridos automáticamente para las dimensiones en el indicador de riesgo personalizado

En la página del indicador de riesgo personalizado, cuando selecciona una dimensión y un operador válido en la barra de condiciones, los valores de la dimensión se muestran automáticamente. Seleccione un valor de la lista de sugerencias automáticas o introduzca un valor manualmente en función de sus casos de uso. Cuando escribe un valor, los valores coincidentes disponibles en los registros se sugieren automáticamente.

La lista de valores sugeridos para una dimensión está predefinida (valores conocidos) en la base de datos o se basa en eventos históricos.

Por ejemplo, cuando selecciona la dimensión Event-Type y el operador de asignación, los valores conocidos se sugieren automáticamente. Puede seleccionar un valor en función de sus requisitos.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Sugerencia automática de indicadores de riesgo personalizados

09 de febrero de 2022

Novedades

Nuevas funciones personalizadas para los administradores

Como administrador de Citrix Cloud con permiso de acceso completo, puede invitar a otros administradores a administrar Security Analytics en su organización. Ahora puede asignar las siguientes funciones personalizadas a los administradores invitados:

  • Análisis de seguridad: administrador total

  • Análisis de seguridad: administrador de solo lectura

Con el rol personalizado, puede proporcionar permisos de solo lectura o de acceso completo a sus administradores y permitirles administrar las diversas funciones de Security Analytics.

Para obtener más información sobre los permisos de acceso para estas funciones personalizadas, consulte Administrar funciones de administrador para Security Analytics.

Roles personalizados

Soporte para notificaciones por correo electrónico para administradores de acceso personalizados

Si es administrador de Citrix Cloud con permisos de acceso personalizados (solo lectura o acceso completo) para administrar Security Analytics, ahora recibe las siguientes notificaciones:

  • Notificaciones semanales sobre los riesgos de seguridad detectados en su organización. Para obtener más información, consulte Notificación por correo electrónico semanal.

  • Notificaciones sobre los indicadores de riesgo cuando la acción Notificar a los administradores se aplica manualmente o se desencadena por una política. Para obtener más información, consulte Políticas y acción.

28 de enero de 2022

Novedades

Presentación de indicadores de riesgo de inicio de sesión sospechosos para orígenes de datos de Content Collaboration

Citrix Analytics for Security detecta ahora los inicios de sesión de usuario sospechosos en función de varios factores contextuales, tales como:

  • La ubicación se considera inusual con respecto al usuario y al historial de la organización

  • El dispositivo se considera inusual con respecto al usuario y al historial de la organización

  • La red se considera inusual con respecto al usuario y al historial de la organización.

  • La dirección IP se considera sospechosa en función de las fuentes de inteligencia de amenazas IP

Cuando un usuario inicia sesión desde un contexto sospechoso en función de la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual asociado a los orígenes de datos de Citrix Content Collaboration y Citrix Gateway. Todas las directivas existentes basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al nuevo indicador de riesgo: inicio de sesión sospechoso.

Para obtener más información sobre los indicadores de riesgo, consulte Inicio de sesión sospechoso: Content Collaboration e inicio de sesión sospechoso: puerta de enlace.

Para obtener más información sobre el esquema de los indicadores de riesgo, consulte Formato de datos de Citrix Analytics para SIEM.

20 de enero de 2022

Novedades

Integración de Microsoft Azure Active Directory

Ahora puede conectar su Azure Active Directory con Citrix Analytics for Security para:

  • Importe los detalles de los usuarios y los grupos de usuarios del dominio de su organización a Citrix Analytics for Security.

  • Enriquezca los perfiles de usuario con detalles adicionales, como el cargo, la organización, la ubicación de la oficina, el correo electrónico y los detalles de contacto, que lo ayudarán durante la investigación y el análisis de riesgos.

Para obtener más información, consulte Integración de Azure Active Directory.

18 de enero de 2022

Novedades

Soporte para las acciones de enlace compartido en todos los indicadores de riesgo de Content Collaboration

Anteriormente, puede aplicar las acciones de enlace compartido: caducar todos los enlaces y Cambiar enlace para compartir de solo lectura en los siguientes indicadores de riesgo basados en enlaces compartidos asociados con el servicio Content Collaboration:

  • Descarga de enlace compartido confidencial anónimo

  • Descargas excesivas de enlaces compartidos

  • Uso compartido excesivo de archivos

Con esta versión, ahora puede aplicar las acciones de enlace compartido en los siguientes indicadores de riesgo basados en el usuario asociados con el servicio de Content Collaboration:

  • Acceso desde una ubicación inusual

  • Acceso excesivo a archivos confidenciales

  • Subidas excesivas de archivos

  • Descargas excesivas de archivos

  • Eliminación excesiva de archivos o carpetas

  • Archivos de malware detectados

  • Actividad de ransomware sospechosa

  • Fallas de autenticación inusuales

También puede aplicar las acciones de enlace compartido en los indicadores de riesgo personalizados asociados con el servicio de Content Collaboration.

Para obtener más información sobre las acciones y los indicadores de riesgo, consulte los siguientes artículos:

La integración con SIEM ya está disponible de forma general

Puede integrar Citrix Analytics for Security con sus servicios de administración de eventos e información de seguridad (SIEM) y exportar los datos de los usuarios desde el entorno de TI de Citrix a su SIEM. La integración le ayuda a correlacionar los datos recopilados de varias fuentes y a obtener una visión integral de la seguridad de su organización.

Actualmente, puede integrar Citrix Analytics for Security con los siguientes servicios:

  • Splunk

  • Microsoft Sentinel

  • Elasticsearch

  • Otros servicios SIEM mediante el uso de un conector de datos basado en Kakfa o Logstash

Para obtener más información, consulte Integración de la información de seguridad y la gestión de eventos (SIEM).

23 de diciembre de 2021

Novedades

Mejoras en los indicadores de riesgo de enlaces

Se han realizado las siguientes mejoras:

  • Ahora puede crear una política con el indicador de riesgo de descarga de enlace compartido confidencial anónimo .

  • El indicador de riesgo de descarga de acciones confidenciales anónimascambia su nombre a Descarga de enlace compartido confidencial anónimo para distinguirlo como un indicador de riesgo de enlace compartido.

  • El indicador de riesgo de descargas excesivas se renombra como Descargas excesivas de enlaces compartidos para distinguirlo como un indicador de riesgo de enlace compartido y diferenciarlo del indicador de riesgo de descargas excesivas de archivos basado en el usuario.

Para obtener más información, consulte Indicadores de riesgo de vínculos compartidos de Citrix.

21 de diciembre de 2021

Novedades

Envíe notificaciones sobre los indicadores de riesgo a los administradores que no sean de Citrix Cloud

Ahora puede notificar a los administradores de su organización que no son de Citrix Cloud con la acción Notificar a los administradores .

Para notificar a estos administradores, cree una lista de distribución de correo electrónico. Seleccione los administradores en la lista de distribución de correo electrónico de los dominios externos que están conectados a Citrix Cloud o mediante sus direcciones de correo electrónico directamente. Al aplicar la acción Notificar a los administradores, seleccione la lista de distribución de correo electrónico que contiene a los administradores que no son de Citrix Cloud.

Para obtener más información, consulte Lista de distribución de correo electrónico.

20 de diciembre de 2021

Novedades

Enviar notificaciones de respuesta del usuario a los usuarios de Content Collaboration

Además de los usuarios de Active Directory, ahora puede aplicar la acción Solicitar respuesta del usuario final a los usuarios de Content Collaboration.

Esta acción envía notificaciones por correo electrónico a los usuarios cuando Citrix Analytics detecta cualquier actividad inusual en sus cuentas de Citrix. Para obtener más información sobre la acción Solicitar respuesta del usuario final, consulte Políticas y acciones.

El nombre de Control de acceso cambia a Secure Workspace Access

En los paneles e informes de Security Analytics, todas las etiquetas de control de acceso ahora se actualizan como Secure Workspace Access para alinearse con el nombre del producto con el que se ha cambiado la marca.

Por ejemplo, en la página Orígenes de datos, la página de búsqueda de autoservicio y la página Políticas, las etiquetas de Control de acceso se renombran como Secure Workspace Access.

Problema resuelto

  • Para la fuente de datos de Apps and Desktops, cuando descarga el informe de búsqueda como archivo CSV, algunos valores de campo del archivo CSV se muestran como no disponibles (N/A), aunque sus valores sí están disponibles. Por ejemplo, los valores de los campos como Download File Name, Session Launch Type y Workspace App Version se muestran en la página de búsqueda de autoservicio, pero en el archivo CSV descargado, ve estos valores como no disponibles (N/A). Este problema ya se ha solucionado. [CAS-62299]

09 de diciembre de 2021

Novedades

Crear sus indicadores de riesgo personalizados fácilmente con plantillas

Ahora puede seleccionar una plantilla en función de su caso de uso y crear un indicador de riesgo personalizado. Las plantillas lo guían al proporcionarle consultas y parámetros predefinidos. Facilita su esfuerzo a la vez que crea un indicador de riesgo personalizado.

Para obtener más información, consulte Indicadores de riesgo personalizados.

07 de diciembre de 2021

Problema resuelto

  • En Citrix Analytics for Security, no recibe los eventos de los usuarios que utilizan Citrix Secure Browser que se publicó en septiembre de 2021. El problema existe porque la directiva de seguimiento de nombres de host no está visible en Citrix Secure Browser posterior a la versión de septiembre de 2021 y, por lo tanto, no se puede habilitar para integrarse con Citrix Analytics for Security. Este problema ya se ha solucionado. [CAS-62254]

02 de diciembre de 2021

Novedades

Indicador de riesgo detectado por archivos de malware

Ahora puede recibir una alerta cuando un usuario cargue un archivo infectado en Content Collaboration.

El indicador de riesgo detecta un archivo infectado por un malware como un troyano, un virus o cualquier otra amenaza maliciosa. Proporciona visibilidad de los detalles del archivo malicioso, como el propietario del archivo, el nombre del virus y la ubicación del archivo.

El factor de riesgo asociado con el indicador de riesgo de archivos de malware detectados es el indicador de riesgo basado en archivos.

Para obtener más información sobre el indicador de riesgo y las acciones que puede aplicar, consulte el indicador de riesgo de archivos de malware detectados.

Nuevas acciones para la fuente de datos Content Collaboration

Puede aplicar las siguientes acciones cuando se activa el indicador de riesgo de archivos de malware detectados para un usuario:

  • Elimina el permiso de acceso a carpetas. Puede bloquear el permiso de acceso del usuario que carga el archivo infectado. El usuario no puede acceder a la carpeta en la que se cargó el archivo infectado.

  • Elimina el permiso de carga en la carpeta. Puede bloquear el permiso de carga del usuario que carga el archivo infectado. El usuario no puede cargar un archivo en la carpeta en la que se cargó el archivo infectado.

Para obtener más información sobre las acciones de Content Collaboration, consulte Políticas y acciones.

Acciones

29 de noviembre de 2021

Novedades

Mejoras en la configuración del correo electrónico para las notificaciones a los usuarios

Como administrador, ahora puede agregar imagen de encabezado, texto de encabezado y pie de página en la plantilla de correo electrónico de respuesta del usuario. Estos campos mejoran la legitimidad de su correo electrónico, lo que aumenta la atención y las respuestas de los usuarios hacia su correo electrónico.

Para obtener más información, consulte Configuración del correo electrónico del usuario final.

Parámetros del correo electrónico

26 de noviembre de 2021

Novedades

Cambios en el menú de directivas e indicadores de riesgo

Se actualizan los enlaces de navegación de las siguientes funciones:

25 de noviembre de 2021

Novedades

Mejoras en la integración de la gestión de información y eventos de seguridad (SIEM)

Nota

Esta integración está en versión preliminar.

Ahora puede integrar Citrix Analytics for Security con los siguientes servicios de SIEM:

  • Microsoft Sentinel

  • Elasticsearch con servicios de visualización como Kibana y servicio SIEM como LogRythm

  • Cualquier otro servicio SIEM que utilice el motor de recopilación de datos Logstash

En función de sus necesidades empresariales, importe los datos de los usuarios de Citrix Analytics for Security a su servicio SIEM. Esta integración permite a sus equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares dentro de los servicios de SIEM en su organización, lo que les ayuda a identificar y remediar rápidamente los riesgos de seguridad.

Para obtener más información, consulte Integración de la información de seguridad y la gestión de eventos (SIEM).

09 de noviembre de 2021

Problema resuelto

  • En algunos arrendatarios, las directivas de usuario no funcionan. Este problema se producía cuando las alertas de las aplicaciones virtuales tenían valores de cadena vacíos para los dominios. Este problema ya se ha solucionado. [CAS-60920]

02 de noviembre de 2021

Novedades

Ver los perfiles de acceso y los detalles de inicio de sesión de los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS

En el panel Ubicación de control de acceso, puede ver los perfiles de acceso y los detalles de inicio de sesión de los usuarios que han iniciado sesión en aplicaciones virtuales y escritorios virtuales. Esta información le ayuda durante la investigación y el análisis de amenazas.

  • La página Perfil de acceso proporciona el resumen de los accesos de los usuarios desde las ubicaciones seleccionadas. Puede ver el análisis de tendencias y los eventos de acceso superior del total de usuarios y los inicios de sesión de usuarios únicos.

    Accede a la página de perfil

  • La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de los usuarios en aplicaciones virtuales y escritorios virtuales desde las ubicaciones seleccionadas.

    Página de inicio de sesión del usuario

Para obtener más información, consulte el panel de control Ubicación de Access Assurance.

Ver los registros de malware en la página de búsqueda de autoservicio de Content Collaboration

En la página de autoservicio de Content Collaboration, ahora puede ver el evento de malware File.VirusInfected y sus registros asociados. Este evento se desencadena cuando un usuario de Content Collaboration carga un archivo que está infectado con un malware.

Para obtener más información, consulte Búsqueda de autoservicio de Content Collaboration

Evento de malware

Problema resuelto

  • Algunos usuarios de Content Collaboration se configuran incorrectamente como no empleados al procesar los eventos en Citrix Analytics. Por lo tanto, los usuarios no se identifican como usuarios descubiertos. Este problema ya se ha solucionado. [CAS-59608]

20 de octubre de 2021

Novedades

Integración del servidor de grabación de sesiones

Para su implementación de Citrix Virtual Apps and Desktops y Citrix DaaS, ahora puede configurar sus servidores de grabación de sesiones para que envíen los eventos de usuario a Citrix Analytics for Security. Estos eventos de los usuarios se procesan para proporcionar información útil sobre el comportamiento de los usuarios.

En la página Orígenes de datos > Seguridad, vaya a la tarjeta del sitio Virtual Apps and Desktops . En la tarjeta del sitio Grabación de sesiones, haga clic en puntos suspensivos verticales () y, a continuación, seleccione Conectar servidor de grabación de sesiones.

Para obtener más información, consulte Implementación de Conectarse a la grabación de sesiones.

Implementación de grabación de sesiones

19 de octubre de 2021

Novedades

Mejoras en la plantilla de correo electrónico de notificación al administrador

La notificación por correo electrónico que recibe un administrador después de aplicar la acción Notificar a los administradores se ha mejorado para proporcionar una mejor información sobre los eventos de riesgo del usuario.

  • La notificación ahora proporciona información detallada sobre el indicador de riesgo desencadenado o la directiva aplicada. Por ejemplo, puede ver la gravedad y el tiempo de activación de los indicadores de riesgo predeterminados y personalizados. La estructura del contenido se ha mejorado para una mejor legibilidad.

  • Los administradores ahora pueden acceder a la línea de tiempo del usuario directamente desde la notificación por correo electrónico y ver los detalles sobre los eventos de riesgo.

  • Se agrega una opción de valoración en la notificación. Esta opción ayuda a recopilar las respuestas de los administradores y a mejorar continuamente el contenido de la notificación en función de las respuestas.

Para obtener más información sobre la acción Notificar a los administradores, consulte Directivas y acciones.

Mejoras en el resumen de inicio de sesión del usuario

  • Ahora puede ver la tendencia ascendente o descendente de los inicios de sesión de los usuarios para el total de inicios de sesión de usuarios en todo el mundo y los inicios de sesión de usuarios únicos en todo el mundo.

    Tendencia de inicio de sesión

  • La columna DESVIACIÓN de la tabla Ubicaciones de inicio de sesión únicas muestra el cambio hacia arriba o hacia abajo en los inicios de sesión de usuario únicos para una ubicación en particular.

    Tendencia única de inicio

Estas métricas le ayudan a entender cómo han cambiado los inicios de sesión de los usuarios (positivos o negativos) con respecto al período anterior. Proporciona visibilidad de las interacciones de los usuarios con sus implementaciones de Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

Problema resuelto

  • En el panel de control Ubicación de Access Assurance, las tarjetas de resumen de inicio de sesión de usuario no muestran las métricas de inicio de sesión de los usuarios (total de inicios de sesión de usuarios en todo el mundo, inicios de sesión de usuario únicos en todo el mundo y los países tienen inicios de sesión de usuario) cuando ningún usuario inicia sesión desde fuera de las áreas de geocercas. Este problema ya se ha solucionado. [CAS-595-95]

01 de octubre de 2021

Novedades

Ver los registros de auditoría en la búsqueda de autoservicio de Content Collaboration

En la búsqueda de autoservicio de Content Collaboration, ahora puede ver los registros de auditoría. Estos registros proporcionan información sobre los permisos y las acciones que los administradores de Content Collaboration aplican a las cuentas de usuario. Con estos datos, puede verificar si los administradores de Content Collaboration han tomado medidas válidas en sus cuentas de usuario. Como administrador de seguridad, le ayuda durante la investigación y el análisis de riesgos.

Para obtener más información sobre los registros de auditoría, consulte Búsqueda de autoservicio de Content Collaboration.

Problema resuelto

Los administradores que inician sesión en Citrix Cloud mediante Azure AD no pueden acceder al servicio Citrix Analytics cuando el identificador de sesión caducado anterior viene con el nuevo ID de sesión. Este problema ya se ha solucionado. [CAS-59385]

29 de septiembre de 2021

Novedades

El panel de control de ubicación de garantía de acceso ahora está disponible de forma general

El panel de control proporciona visibilidad de las ubicaciones de sus usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS. Puede identificar a los usuarios cuyas ubicaciones son inusuales habilitando la geocerca y aplicando las acciones apropiadas para evitar cualquier amenaza.

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso. Seleccione el período de tiempo para el que quiere ver los detalles de la ubicación.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

15 de septiembre de 2021

Novedades

Mejoras en los indicadores de riesgo personalizados

  • Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la línea de tiempo del usuario. Sin embargo, el resumen de riesgos y la puntuación de riesgo del usuario se actualizan al cabo de unos minutos (aproximadamente 15-20 minutos).

  • Si modifica los atributos como condición, categoría de riesgo, gravedad y nombre de un indicador de riesgo personalizado existente, en el cronograma del usuario, podrá ver las apariciones anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

  • Si elimina un indicador de riesgo personalizado, en el cronograma del usuario, podrá seguir viendo las apariciones anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Para obtener más información, consulte Indicadores de riesgo personalizados.

14 de septiembre de 2021

Novedades

Introducción del indicador de riesgo de inicio de sesión sospechoso

Citrix Analytics for Security detecta ahora los inicios de sesión de usuario sospechosos en función de varios factores contextuales, tales como:

  • La ubicación se considera inusual con respecto al usuario y al historial de la organización

  • El dispositivo se considera inusual con respecto al usuario y al historial de la organización

  • La red se considera inusual con respecto al usuario y al historial de la organización.

  • La dirección IP se considera sospechosa en función de las fuentes de inteligencia de amenazas IP

Cuando un usuario de Citrix Virtual Apps and Desktops y Citrix DaaS inicia sesión desde un contexto sospechoso en función de la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual asociado al origen de datos de Citrix Virtual Apps and Desktops. Todas las directivas existentes basadas en el indicador de riesgo de acceso desde una ubicación inusual se vinculan automáticamente al nuevo indicador de riesgo: inicio de sesión sospechoso.

Para obtener más información sobre el indicador de riesgo, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

Mejora de mensajes SIEM

Citrix Analytics for Security envía ahora los detalles del esquema del indicador de riesgo de inicio de sesión sospechoso al servicio SIEM. Puede ver el esquema del resumen del indicador y los detalles del evento del indicador de riesgo de inicio de sesión sospechoso . Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

Problema resuelto

  • Para la búsqueda de autoservicio de Apps and Desktops, falta el valor de la IP del cliente en el archivo CSV descargado. Este problema ya se ha solucionado. [CAS-58426]

19 de agosto de 2021

Novedades

Presentación de la aplicación Citrix Analytics para Splunk

Nota

La aplicación se halla en Tech Preview.

La aplicación Citrix Analytics para Splunk le permite ver los datos recopilados de Citrix Analytics for Security en forma de paneles detallados en su Splunk. Los paneles proporcionan información sobre los eventos de riesgo de los usuarios. También puede correlacionar los datos de Citrix Analytics con los registros recopilados de otros orígenes de datos. La correlación le ayuda a encontrar relaciones entre los eventos y a tomar medidas oportunas para proteger su entorno de TI.

Para descargar la aplicación, vaya a Splunk base. Instala la aplicación en su buscador de Splunk.

Para obtener más información, consulte Aplicación Citrix Analytics para Splunk.

Esquema indicador de riesgo personalizado para SIEM

En su servicio SIEM, ahora puede ver el esquema de los indicadores de riesgo personalizados creados para Citrix Virtual Apps and Desktops y Citrix DaaS. Estos datos le ayudan a obtener información sobre la postura de riesgo de seguridad de su organización.

Para obtener más información sobre el esquema de indicador de riesgo personalizado, consulte Formato de datos de Citrix Analytics para SIEM.

Compatibilidad con Citrix Director como origen de datos

Ahora puede configurar sus sitios locales en Citrix Director para enviar eventos a Security Analytics. Estos eventos se utilizan para descubrir a los usuarios conectados a Security Analytics y determinar las versiones de la aplicación Workspace instaladas en los dispositivos de los usuarios.

De forma predeterminada, el procesamiento de datos está habilitado tras el descubrimiento de los sitios. En la tarjeta Monitoring, puede ver todos los sitios conectados.

Para obtener más información sobre cómo configurar sus sitios en Director, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Compatibilidad con geocercas en el panel de control de ubicación de Access assurance

Ahora puede utilizar la configuración de geocercas del tablero de mandos para seleccionar y habilitar las áreas geocercadas. Tras habilitar la geocerca, el mapa muestra las áreas geocercadas (países) y el usuario inicia sesión desde el exterior y desde el interior de la geocerca. Esta función utiliza la sesión de CVAD iniciada fuera del indicador de riesgo de geocerca para supervisar los inicios de sesión de los usuarios.

Para obtener más información, consulte Panel de control de ubicación de Access assurance.

Estado de la aplicación Workspace en la página Usuarios

En la página Usuarios, ahora puede ver el estado de los clientes de la aplicación Citrix Workspace admitidos por Citrix Analytics. La página muestra el siguiente estado:

  • Se admite
  • Compatible parcialmente
  • No compatible
  • No disponible
  • Inactivo

El estado le ayuda a identificar cualquier versión de cliente no admitida utilizada por los usuarios y recomienda a los usuarios que actualicen sus clientes a una versión compatible. Una versión de cliente compatible envía los eventos de usuario a Citrix Analytics.

Nota

Para ver el estado de la aplicación Citrix Workspace, debe incluir el origen de datos de Citrix Director. De lo contrario, el estado de cada usuario de Citrix Virtual Apps and Desktops y Citrix DaaS se muestra como Inactivo.

Para obtener más información, consulte el panel Usuarios.

Compatible con el operador IS EMPTY

Al crear un indicador de riesgo personalizado, ahora puede utilizar el operador IS EMPTY en su condición para comprobar si hay una dimensión nula o vacía.

Nota

El operador solo funciona para dimensiones de tipo cadena como Nombre de aplicación, Explorador y País.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Puntuación de riesgo mejorada

En la cronología del usuario, ahora puede ver el resumen de riesgos de un usuario. El resumen de riesgos proporciona información sobre los factores de riesgo asociados a los eventos de los usuarios. El factor de riesgo ayuda a identificar el tipo de anomalías en los eventos de usuario y también determina la puntuación de riesgo. Los factores de riesgo son los siguientes:

  • Indicadores de riesgo basados en dispositivos

  • Indicadores de riesgo basados en la ubicación

  • Indicadores de riesgo basados en IP

  • Indicadores de riesgo basados en fallos de inicio de sesión

  • Indicadores de riesgo basados en datos

  • Indicadores de riesgo basados en archivos

  • Indicadores de riesgo personalizados

  • Otros indicadores de riesgo

En la línea de tiempo del usuario, ahora puede aplicar el filtro para ver los eventos del usuario en función de los factores de riesgo.

Para obtener más información, consulte estos temas:

29 de julio de 2021

Función obsoleta

Acciones obsoletas asociadas a Citrix Endpoint Management

Las acciones siguientes se quitan del origen de datos de Citrix Endpoint Management. Ya no puede aplicar estas acciones en los indicadores de riesgo ni crear directivas con estas acciones.

  • Bloquear dispositivo

  • Notificar Endpoint Management

  • Notificar al usuario

  • Revocar dispositivo

  • Borrar datos del dispositivo

En las directivas existentes, si estas acciones ya están en uso, se sustituyen automáticamente por la acción Agregar a la lista de seguimiento . Y puede supervisar a esos usuarios desde la lista de seguimiento.

14 de julio de 2021

Novedades

Compatible con el operador IS NOT EMPTY

Al crear un indicador de riesgo personalizado, ahora puede utilizar el operador NO ESTÁ VACÍO en su condición para comprobar si la dimensión no está vacía (ni en blanco).

Nota

El operador solo funciona para dimensiones de tipo cadena como Nombre de aplicación, Explorador y País.

Por ejemplo, la siguiente condición detecta sucesos de inicio de sesión de usuario de cualquier país en el que el valor del país no sea nulo. En otras palabras, se especifica el nombre del país.

Event-Type = “Session.logon” AND Country IS NOT EMPTY

Para obtener más información, consulte Indicadores de riesgo personalizados.

06 julio 2021

Novedades

Ver usuarios no con riesgos en el panel Usuarios

En el panel Usuarios, ahora puede ver el número de usuarios sin riesgo durante el período de tiempo seleccionado. Estos usuarios descubiertos se identifican como no con riesgos en función de la puntuación de riesgo cero para el período seleccionado. Haga clic en la tarjeta Usuarios sin riesgo para ver todos los usuarios que tienen una puntuación de riesgo cero.

Para obtener más información, consulte Panel de control de usuarios.

Usuarios no con riesgos

01 julio 2021

Novedades

Mejoras en el panel de control de ubicación de Access Assurance

  • En la tabla Diez ubicaciones de inicio de sesión únicas principales, puede ver el número de inicios de sesión de usuario únicos desde ubicaciones desconocidas. Esta lista es un subconjunto de las 10 ubicaciones de inicio de sesión únicas principales. También puede encontrar los motivos por los que se desconocen las ubicaciones y las posibles formas de obtener la ubicación de los usuarios.

    Ubicaciones desconocidas

  • En la página Ubicación de acceso, si selecciona varias ubicaciones, puede ver y comparar los detalles del cronograma de los inicios de sesión de los usuarios de todas las ubicaciones, las cinco ubicaciones principales y las cinco ubicaciones inferiores.

    Comparación de cronología

  • En la página Ubicación de acceso, puede utilizar las facetas anidadas como país y sus ciudades, sistemas operativos, versiones principales y secundarias. Estas facetas permiten filtrar los eventos de forma granular.

    Facetas anidadas

Para obtener más información, consulte Ubicación de Access Assurance.

Actualización de la faceta del sistema operativo en la búsqueda de autoservicio de Virtual Apps and Desktops

Ahora puede filtrar los eventos de Apps and Desktops mediante la faceta de SO anidada. Seleccione la versión principal y la versión secundaria asociadas a un sistema operativo y filtre los eventos de forma granular. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Faceta anidada del sistema operativo

30 de junio de 2021

Novedades

Se agregó la versión de la aplicación Workspace en condición de indicador de riesgo personalizado para aplicaciones y escritorios

Para la fuente de datos Apps and Desktops, ahora puede usar la dimensión Workspace App-Version para definir su condición y crear un indicador de riesgo personalizado. Para obtener más información sobre la dimensión, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Versión CWA

23 de junio de 2021

Novedades

Mejoras en los mensajes SIEM

Los siguientes campos se agregan ahora al esquema de los indicadores de riesgo:

  • indicator_vector_name- Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en la ubicación, indicadores de riesgo basados en fallos de inicio de sesión, indicadores de riesgo basados en IP, indicadores de riesgo basados en datos, indicadores de riesgo basados en archivos y otros indicadores de riesgo.

  • indicator_vector_id- Identificación asociada a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en fallos de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en IP, ID 6 = Indicadores de riesgo basados en datos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible.

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

07 de junio de 2021

Novedades

Mejoras en la acción notificar a los administradores

Al aplicar la acción Notificar a los administradores a un indicador de riesgo o crear una directiva con la acción, ahora puede seleccionar los administradores que reciben una notificación sobre el comportamiento de riesgo del usuario. Para obtener más información sobre la acción, consulte Directivas y acciones.

Se agregó compatibilidad con la acción de compartir de solo lectura

Si un usuario comparte archivos de forma excesiva, Citrix Analytics activa el indicador de riesgo de uso compartido excesivo de archivos . Desde el cronograma de riesgo del usuario, ahora puede aplicar la acción Cambiar vínculos al uso compartido de solo lectura al indicador Riesgo excesivo de uso compartido de archivos . También puede aplicar la acción en un enlace de recurso compartido concreto en el cronograma de riesgo del enlace de compartir. Esta acción impide que otros usuarios descarguen, copien o impriman los archivos asociados a los vínculos compartidos. Para obtener más información sobre la acción, consulte Directivas y acciones.

18 de mayo de 2021

Novedades

Migración de los indicadores de riesgo de incumplimiento a indicadores de riesgo personalizados

Los siguientes indicadores de riesgo por defecto se migran a indicadores de riesgo personalizados preconfigurados.

Indicador de riesgo de impago Origen de datos Indicador de riesgo personalizado preconfigurado
Acceso por primera vez desde un dispositivo nuevo Citrix Virtual Apps and Desktops y Citrix DaaS Acceso por primera vez al CVAD desde un nuevo dispositivo
Acceso por primera vez desde una nueva IP Citrix Gateway Acceso por primera vez a la puerta de enlace desde una nueva IP

Con esta migración a los indicadores de riesgo personalizados, los indicadores de riesgo predeterminados y los algoritmos de aprendizaje automático asociados quedan obsoletos.

Los indicadores de riesgo personalizados correspondientes se activan en función de las siguientes condiciones preconfiguradas:

  • Cuando un usuario accede desde un dispositivo nuevo por primera vez o desde un dispositivo existente que no se ha utilizado durante un mínimo de 90 días.

  • Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez o desde una dirección IP existente que no se ha utilizado durante un mínimo de 90 días.

Junto con las condiciones preconfiguradas, ahora puede agregar sus propias condiciones para estos indicadores de riesgo personalizados para identificar las amenazas en su entorno Citrix. Esta opción le da flexibilidad para configurar el indicador de riesgo personalizado en función de sus necesidades de seguridad. También puede crear directivas para aplicar acciones en los eventos de riesgo detectados por estos indicadores de riesgo personalizados.

Sin embargo, en la línea temporal del usuario, todavía se pueden ver los indicadores de riesgo predeterminados activados anteriormente y sus eventos.

Las directivas asociadas a estos indicadores de riesgo de incumplimiento se vinculan automáticamente a los indicadores de riesgo personalizados preconfigurados correspondientes.

Para obtener más información, consulte Directivas e indicadores de riesgo personalizados preconfigurados.

Mejoras en la búsqueda de autoservicio para Gateway

  • El filtro Tipo de evento se renombró ahora a Tipo de registro. Seleccione uno de los siguientes tipos de registro para filtrar sus eventos: VPN_AI, VPN_IF y VPN_ST.

  • En la tabla DATOS, expanda una fila de un evento de usuario para ver el tipo de evento correspondiente. Los tipos de eventos pueden ser uno de los siguientes: autenticación, archivo ICA o cierre de sesión.

En la tabla siguiente se describe la correlación entre los tipos de registro y los tipos de sucesos.

Tipo de registro Tipo de evento
VPN_AI Autenticación
VPN_IF Archivo ICA
VN_ST Cerrar sesión

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

Problema resuelto

  • El indicador de riesgo personalizado se activa en función de la sensibilidad entre mayúsculas y minúsculas de los valores condicionales. Por ejemplo, en los eventos de usuario que contienen ID de dispositivo de la lista de permitidos, se observa el siguiente comportamiento:

    • Si introduce el valor de la dimensión Device-ID en minúsculas, se activa el indicador personalizado.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • Si introduce el valor de la dimensión Device-ID en mayúsculas para el mismo dispositivo, el indicador personalizado no se activa.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    Este problema ya se ha solucionado y el indicador de riesgo personalizado se activa independientemente de la sensibilidad entre mayúsculas y minúsculas de los valores condicionales.

    [CAS-50153]

29 de abril de 2021

Novedades

Detalles de eventos para un indicador de riesgo personalizado

En la página del cronograma de riesgo del usuario, ahora puede ver los eventos que han desencadenado un indicador de riesgo personalizado. Anteriormente, solo podía ver las condiciones definidas, la descripción y la frecuencia de activación de un indicador de riesgo personalizado. Haga clic en Búsqueda de eventos para ver los detalles de los eventos asociados al usuario y el indicador de riesgo. Para obtener más información, consulte Indicadores de riesgo personalizados.

Problema resuelto

  • Un administrador no puede crear indicadores de riesgo personalizados incluso después de cambiar su permiso de acceso de administrador de solo lectura a administrador completo. [CAS-49628]

16 de abril de 2021

Novedades

Mejoras en los mensajes SIEM

Puede ver las siguientes mejoras en el formato del esquema del indicador de riesgo:

  • La dirección IP del cliente ya está disponible en el esquema de todos los indicadores de riesgo por lotes. Anteriormente, la dirección IP del cliente solo estaba disponible para unos pocos indicadores de riesgo por lotes:

    • Error en la exploración de la EPA
    • Fallos de autenticación excesivos
    • Inicio de sesión desde IP sospechosa
    • Acceso desde una ubicación inusual
    • Error de autenticación inusual
    • Descarga compartida confidencial anónima
    • Exfiltración potencial de datos
  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo, "latitide" = -999.

  • Si un valor de campo de tipo de datos de cadena de caracteres no está disponible, el valor asignado es NA. Por ejemplo, "city"= "NA".

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

26 de marzo de 2021

Novedades

Restricción de los mensajes SIEM

Citrix Analytics envía un máximo de 1000 detalles de eventos por cada aparición de indicador de riesgo a su servicio SIEM. Estos eventos se envían en orden cronológico de ocurrencia. Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

Agregados los campos ID de origen de datos y ID de categoría de indicador en los mensajes SIEM

Los campos siguientes se agregan en el esquema de resumen del indicador y en el esquema de detalles de eventos del indicador.

Campo Descripción
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos

Para obtener más información, consulte Formato de datos de Citrix Analytics para SIEM.

18 de marzo de 2021

Novedades

Panel de control de ubicación de control de acceso

Nota

La función se halla en Tech Preview.

El panel de control Ubicación de control de acceso proporciona una descripción general de las ubicaciones desde las que los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS han iniciado sesión durante un período seleccionado. Citrix Analytics recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios.

Para ver el panel de control, haga clic en Seguridad > Garantía de acceso.

Puede ver la siguiente información de un período seleccionado:

  • Número total de inicios de sesión de usuarios desde una ubicación concreta y en todas las ubicaciones.

  • Número total de inicios de sesión de usuario únicos en todas las ubicaciones.

  • Número total de países desde los que los usuarios han iniciado sesión.

  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos.

Para obtener más información, consulte Ubicación de Access Assurance.

Página de resumen de inicio de sesión de usuario

Compatibilidad con el operador NOT LIKE (!~)

Para la consulta de búsqueda de autoservicio y la condición del indicador de riesgo personalizado, ahora puede usar el comando NOT LIKE (!~) operador. El operador comprueba los eventos de usuario para el patrón coincidente que ha especificado. Devuelve los eventos que no contienen el patrón especificado en ninguna parte de la cadena de eventos.

Por ejemplo, la consulta User-Name !~ “John” muestra los eventos de los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.

Para obtener más información, consulte Búsqueda de autoservicio.

Versión traducida del sistema operativo

Para el origen de datos Citrix Virtual Apps and Desktops y Citrix DaaS, la dimensión Platform ahora se traduce como las dimensiones OS-Major-Version, OS-Minor-Versiony OS-Extra-Details. Según los detalles del sistema operativo de un usuario, Citrix Analytics muestra estas dimensiones en la página de búsqueda de autoservicio.

Puede utilizar estas dimensiones para definir las condiciones de un indicador de riesgo personalizado.

Para los indicadores de riesgo personalizados creados anteriormente, si ha utilizado la dimensión Plataforma como condición, Citrix Analytics sustituye automáticamente la dimensión de plataforma por la versión principal del sistema operativo, la versiónmenordel sistema operativo y los detalles adicionales del sistema operativo. Esta actualización no afecta a la integridad de la condición definida.

Para obtener más información sobre las nuevas dimensiones, consulte Búsqueda de autoservicio de Virtual Apps and Desktops.

Se actualizaron los campos de datos para aplicaciones y escritorios

En la búsqueda de autoservicio de aplicaciones y escritorios, vea los campos de datos actualizados en función de la plantilla contextual.

Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Función obsoleta

Se han eliminado los eventos VPN_AF y VPN_SU de la página de búsqueda de autoservicio

En la página de búsqueda de autoservicio del origen de datos de Citrix Gateway, se quitan los siguientes tipos de registro.

Tipo de registro Nombre del registro
VPN_SU Registro de actualización de sesión
VPN_AF Registro de error de inicio de la aplicación

Por lo tanto, no puede filtrar ni ver sus eventos en función de estos tipos de registro. Cualquier indicador de riesgo personalizado basado en estos tipos de registro deja de funcionar.

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

11 de marzo de 2021

Novedades

Marca de tiempo actual del esquema de puntuación de riesgo del usuario

last_update_timestamp Se agrega un nuevo campo en el formato de esquema de puntuación de riesgo del usuario. Este campo indica el momento en que se actualizó por última vez la puntuación de riesgo. Para obtener más información sobre el formato del esquema, consulte Esquema de puntuación de riesgo del usuario.

Marzo 03, 2021

Novedades

Mejoras en el indicador de riesgo de inicio de sesión desde IP sospechosa

En la página de cronograma de riesgo del usuario, se muestra una nueva sección IP sospechosa para el indicador de riesgo de inicio de sesión desde IP sospechosa . En esta sección se proporciona la siguiente información:

Sección IP sospechosa

  • Dirección IP desde la que se detecta una actividad de inicio de sesión sospechosa.
  • Ubicación del usuario.
  • Cualquier patrón de actividad IP sospechosa que Citrix Analytics haya detectado recientemente en su organización.
  • Fuente de inteligencia a nivel comunitario sobre la dirección IP.

Para obtener más información, consulte el indicador de riesgo de inicio de sesión desde IP sospechosa .

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

  • En el indicador de riesgo de acceso desde una ubicación inusual de Citrix Content Collaboration, se agregó la columna NOMBRE DE HERRAMIENTA en la tabla de eventos. Se ha eliminado la columna EXPLORADOR DE DISPOSITIVOS de la tabla de eventos. Para obtener más información, consulte Indicadores de riesgo de Citrix Content Collaboration.

  • En el indicador de riesgo Acceso desde una ubicación inusual para Citrix Virtual Apps and Desktops y Citrix DaaS, se agregaron las columnas DEVICE ID y RECEIVER TYPE en la tabla de eventos. Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops.

Formato de datos de Citrix Analytics para SIEM

En este artículo se describe el esquema de los datos procesados generados por Citrix Analytics para su servicio SIEM.

Problema resuelto

  • Para un usuario de Content Collaboration, si el valor de Is Employee<!--NeedCopy--> es nulo, el usuario no se muestra en la lista de usuarios detectados. [CAS-478-15]

18 de febrero de 2021

Novedades

Compatibilidad con el acceso por primera vez desde una nueva entidad en el indicador de riesgo personalizado

Ahora puede crear un indicador de riesgo que se active cuando Citrix Analytics recibe eventos de una nueva entidad por primera vez. Algunos ejemplos de entidades son IP del cliente, ciudad y país.

En la página Crear indicador, haga clic en la opción Primera vez . Active el botón Primera vez para un nuevo y seleccione una entidad válida de la lista en función de la fuente de datos. No es necesario asignar ningún valor específico a la entidad. Por ejemplo, si selecciona Ciudad de la lista, Citrix Analytics activa un indicador de riesgo cada vez que los usuarios inician sesión desde una nueva ciudad por primera vez.

Para obtener más información, consulte Creación de un indicador de riesgo personalizado.

Primera vez para una nueva opción

Límite máximo para crear un indicador de riesgo personalizado

Ahora puede crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanza este límite máximo, debe eliminar o modificar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Datos de ubicación de usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS

En la página Información del usuario, Citrix Analytics ahora muestra la ubicación del usuario desde el origen de datos Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información sobre la ubicación del usuario, consulte Perfil de usuario.

Clasificación de varias columnas

En la página de búsqueda de autoservicio, ahora puede ordenar los eventos de usuario por más de una columna. Haga clic en Ordenar por, agregue las columnas y el orden de clasificación. Haga clic en Aplicar para ordenar los eventos de usuario. Puede agregar hasta seis columnas para ordenar varias columnas.

Ordenación de varias columnas

Para obtener más información, consulte Búsqueda de autoservicio.

Funciones retiradas

Indicador de riesgo de fallo de autorización excesivo obsoleto

El indicador de riesgo de Citrix Gateway: error de autorización excesivo ha quedado obsoleto. Solo se pueden ver los datos históricos relacionados con este indicador.

Los siguientes cambios se aplican como parte de esta desuso:

  • Citrix Analytics ya no genera estos indicadores de riesgo.

  • Citrix Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.

  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

27 de enero de 2021

Novedades

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

En Citrix Content Collaboration, Citrix Gateway y Citrix Virtual Apps and Desktops, el indicador de riesgo de acceso desde una ubicación inusual ahora se activa cuando el usuario inicia sesión desde una dirección IP asociada a un nuevo país o una nueva ciudad que se encuentre anómalamente lejos de cualquier inicio de sesión anterior ubicación. Otros factores incluyen el nivel general de movilidad del usuario y la frecuencia relativa de los inicios de sesión desde la ciudad en todos los usuarios de la organización. En todos los casos, el historial de ubicaciones de usuario se basa en los 30 días anteriores de actividad de inicio de sesión.

Para obtener más información sobre el indicador de riesgo, consulte los temas siguientes:

20 de enero de 2021

Problema resuelto

  • Para la fuente de datos de Apps and Desktops con StoreFront local, el procesamiento de datos falla aunque la implementación de StoreFront se haya conectado correctamente.

    [CAS-46656]

19 de enero de 2021

Problema resuelto

  • En la página del indicador de riesgo personalizado, después de corregir una condición no válida en el campo de búsqueda, el enlace Activador de estimación no responde.

    Por ejemplo, escribe una condición no válida Client-IP = 10.10.10.10. Después de corregir esta condición y escribir como IP de cliente = “10.10.10.10”, el enlace Desencadenador de estimación no responde.

    Solución alternativa: actualice la página del indicador personalizado y, a continuación, cree el indicador personalizado con una condición válida.

    [CAS-46316]

13 de enero de 2021

Novedades

Ya está disponible una nueva versión del complemento Citrix Analytics para Splunk

El complemento Citrix Analytics versión 2.1.0 para Splunk ya está disponible. Vaya a la página de descargas para descargar el archivo.

Se agregó compatibilidad con Splunk Cloud Inputs Data Manager (IDM) y Splunk 8.1 de 64 bits

Ahora puede integrar Citrix Analytics for Security con Splunk Cloud IDM y Splunk 8.1 de 64 bits. Para obtener más información, consulte Integración de Splunk.

Compatibilidad retirada

Se ha eliminado la compatibilidad con Splunk 7.1 de 64 bits

Ya no puede integrar Citrix Analytics for Security con Splunk 7.1 de 64 bits. Para obtener información sobre las versiones de Splunk compatibles, consulte Integración de Splunk.

11 de enero de 2021

Problema resuelto

  • En la tarjeta de sitio Virtual Apps and Desktops, la etiqueta Usuarios cliente admitidos pasa a llamarse Eventos recibidos de los usuarios. La etiqueta Usuarios cliente no admitidos pasa a llamarse No se pueden recibir eventos de los usuarios.

    [CAS-44773]

17 de diciembre de 2020

Novedades

Utilice indicadores de riesgo personalizados preconfigurados y una directiva para bloquear el acceso desde ubicaciones inusuales (geocercas)

Citrix proporciona una lista de indicadores de riesgo personalizados preconfigurados y una directiva que le ayudan a supervisar la seguridad de su infraestructura Citrix. Con estos indicadores y una directiva, puede bloquear el acceso de usuario originario de países que están fuera de su país operativo habitual. De forma predeterminada, el país se establece en “Estados Unidos”. Puede establecer el país requerido para el geocercado.

A continuación se indican los indicadores de riesgo personalizados preconfigurados y una directiva:

  • Sesión CVAD iniciada fuera de la geocerca

  • Cruce de geocercas GW

  • Cruce de geocerca CCC

  • Inicio de sesión fuera de la geocerca

Para obtener más información, consulte Directivas e indicadores de riesgo personalizados preconfigurados.

Ver ubicaciones accedidas en el correo electrónico de respuesta del usuario

En lugar de la dirección IP de un dispositivo de usuario, el correo electrónico de respuesta del usuario muestra ahora todas las ubicaciones a las que ha accedido el usuario en los últimos 15 minutos. La ubicación se muestra en el formato <City>,<Country><!--NeedCopy--> . Si la ciudad o el país no están disponibles, el valor correspondiente se muestra como “Desconocido”.

Para obtener más información, consulte Solicitar respuesta del usuario.

Indicador de riesgo de Content Collaboration renombrado: acceso por primera vez desde una nueva ubicación

El indicador de riesgo de Citrix Content Collaboration cambia el nombre del primer acceso desde una nueva ubicación como Acceso desde una ubicación inusual.

Para obtener más información, consulte Acceso desde una ubicación inusual.

Funciones retiradas

Comentarios sobre los indicadores de riesgo

Se elimina el mecanismo de retroalimentación del indicador de riesgo. Si el indicador de riesgo de Content Collaboration (Acceso desde una ubicación inusual) se activa incorrectamente, ya no podrá denunciarlo como falso positivo ni proporcionar comentarios.

7 de diciembre de 2020

Novedades

Mejoras en el indicador de riesgo potencial de exfiltración de datos

Se han realizado las siguientes mejoras en el indicador de riesgo:

  • Se actualiza la información de la sección QUÉ PASÓ . El formato de hora se actualiza para mantener la coherencia.

  • La información de ubicación del dispositivo aparece en la lista de eventos.

Para obtener más información sobre el indicador de riesgo, consulte Exfiltración potencial de datos.

Mejoras en el indicador de riesgo de Content Collaboration: acceso por primera vez desde una nueva ubicación

En el cronograma de riesgo del usuario, seleccione Acceso por primera vez desde una nueva ubicación para ver la siguiente información:

  • Ubicaciones de inicio de sesión: muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales desde las que el usuario ha iniciado sesión.

  • Número de inicios de sesión desde ubicaciones habituales: últimos 30 días: muestra una vista de gráfico circular de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión en los últimos 30 días. También muestra el número de eventos de inicio de sesión de estas ubicaciones.

  • Detalles de sucesos para ubicaciones inusuales: proporciona la lista de los eventos de inicio de sesión de una ubicación inusual para el usuario.

Para obtener más información sobre el indicador de riesgo, consulte Acceso por primera vez desde una nueva ubicación.

30 de noviembre de 2020

Novedades

Mejoras en la página de búsqueda autoservicio

Se han realizado las siguientes mejoras para mejorar la usabilidad de la página de búsqueda de autoservicio:

  • El cuadro de búsqueda muestra un ejemplo de consulta para indicar cómo escribir su propia consulta.

    Consulta de cuadro de búsqueda

  • En macOS, la barra de desplazamiento de la lista de dimensiones aparece ahora de forma predeterminada.

    Barra de desplazamiento Mac

  • Los filtros aplicados aparecen ahora como fichas.

    Chips de filtro

  • La etiqueta Agregar o quitar columnas sustituye al icono + .

    Actualización de iconos

Para obtener más información, consulte Búsqueda de autoservicio.

Mejoras directivas

La página Directivas muestra ahora las directivas asociadas a los orígenes de datos que se han detectado correctamente y se han conectado a Citrix Analytics. En esta página no se muestran las directivas que tienen una condición definida para los orígenes de datos no detectadas. La desactivación del procesamiento de datos de un origen de datos ya conectada no afecta a las directivas existentes en la página Directivas .

Para obtener más información, consulte Configurar directivas y acciones.

04 de noviembre de 2020

Novedades

Error de autenticación inusual: indicador de riesgo de Citrix Gateway

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene errores de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo de errores de autenticación inusuales .

Este indicador de riesgo se activa cuando un usuario de su organización tiene errores de inicio de sesión desde una dirección IP inusual que es contraria a su comportamiento habitual.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Error de autenticación

20 de octubre de 2020

Problema resuelto

  • El indicador de riesgo Acceso por primera vez desde un dispositivo nuevo con la acción Cerrar sesión del usuario no funciona según lo esperado.

    [CAS-40743]

15 de octubre de 2020

Funciones nuevas

Acceso desde una ubicación inusual: indicador de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS

Citrix Analytics detecta las amenazas basadas en el acceso basándose en los accesos inusuales de Citrix Workspace y activa el indicador de riesgo correspondiente.

Ubicación inusual

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

  • La columna URL SHARE se sustituye ahora por la columna SHARE ID. Cada URL de recurso compartido se identifica ahora con un ID de recurso compartido.

  • Se elimina la selección de tiempo en el tablero de mandos. Ahora, este panel muestra todos los enlaces de recursos compartidos desde el estado activo hasta el estado caducado en lugar de un período seleccionado.

  • Todos los enlaces compartidos se ordenan primero según el orden de los enlaces activos y, a continuación, los enlaces caducados. De forma predeterminada, el enlace de compartir con el recuento de indicadores de riesgo más alto aparece en la parte superior de la lista.

  • Los vínculos de riesgo muestran ahora los vínculos activos que tienen un comportamiento de riesgo. No muestra los enlaces caducados. De forma predeterminada, el vínculo de riesgo con el recuento de indicadores de riesgo más alto aparece en la parte superior de la lista.

  • Se ha eliminado la vista de tendencias de la tarjeta Enlaces de recursos compartidos con riesgos y de la tarjeta Todos los vínculos a compartir.

Para obtener más información, consulte Panel de control Compartir vínculos.

El cronograma de riesgo ahora muestra el ID del recurso compartido en lugar de la URL del recurso compartido. Para obtener más información, consulte Cronología de riesgo de Share Link.

Funciones retiradas

El acceso desde un dispositivo con indicador de riesgo del sistema operativo (SO) no compatible está obsoleto

El indicador de riesgo de Citrix Virtual Apps and Desktops: El acceso desde un dispositivo con sistema operativo (SO) no compatible ha quedado obsoleto. Solo se pueden ver los datos históricos relacionados con este indicador.

Los siguientes cambios se aplican como parte de esta desuso:

  • La analítica ya no genera estos indicadores de riesgo.

  • Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.

  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

10 de septiembre de 2020

Funciones nuevas

Lista de comprobación para StoreFront

Citrix Analytics muestra ahora una lista de los requisitos previos que debe cumplir antes de descargar el archivo de configuración de StoreFront. Revise la lista de comprobación y asegúrese de que se han seleccionado todos los requisitos mínimos. Si no se seleccionan los requisitos mínimos, no podrá descargar el archivo de configuración. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops.

Lista de comprobación de StoreFront

Búsqueda de autoservicio: Compatibilidad con el operador NOT EQUAL (!=)

Ahora puede usar el valor NOT EQUAL (! =) en su consulta en las siguientes funciones:

  • Indicador de riesgo personalizado

  • Búsqueda de autoservicio

Puede utilizar este operador para las siguientes condiciones:

Origen de datos Dimensiones
Content Collaboration País, ciudad, SO cliente
Control de acceso País, Ciudad, Acción, URL, Categoría de URL, Reputación, Explorador, SO, Dispositivo
Aplicaciones y escritorios País, ciudad, nombre de la aplicación, operación del portapapeles, explorador, sistema operativo
Gateway Etapa de autenticación, IP de cliente

Con el operador, cree una expresión de indicador personalizada con un único valor como “¡País! = XYZ” y ver la lista de usuarios. A continuación, cree una directiva para aplicar acciones como Agregar a lista de seguimiento, Notificar al administrador o Inhabilitar usuario. También puede utilizar el operador en la búsqueda de autoservicio de los orígenes de datos especificadas para filtrar los eventos de usuario.

Al introducir los valores de las dimensiones de la consulta, utilice los valores exactos que se muestran en la página de búsqueda de autoservicio de un origen de datos. Los valores de cota distinguen entre mayúsculas y minúsculas

08 de septiembre de 2020

Funciones nuevas

Correlación de usuarios

Analytics ahora correlaciona a los usuarios descubiertos de varios orígenes de datos. Este mecanismo elimina la mayoría de los usuarios duplicados de la lista de usuarios descubiertos. Los usuarios descubiertos en Analytics ahora muestran la lista de usuarios únicos junto con sus orígenes de datos y los indicadores de riesgo.

Por ejemplo, el usuario “Joe Smith” puede tener varios identificadores de usuario: JosephSm, joe.smith@citrix.com y joe.smith según los orígenes de datos. Analytics ahora identifica a este usuario con un nombre de identificador único. Todos los demás identificadores de usuario están correlacionados y los eventos recibidos para Joe Smith de varios orígenes de datos están vinculados a este nombre único. Para obtener más información, consulte Usuarios descubiertos

Problema resuelto

En la lista Acciones, tras seleccionar las opciones de acción y hacer clic en Aplicar, aparece un mensaje de error.

[CAS-39914]

11 de agosto de 2020

Problemas resueltos

  • No puede integrar Microsoft Graph Security con Citrix Analytics. Este problema se produjo porque el portal de Microsoft no pudo redirigir a Citrix Analytics.

[CAS-38021]

31 de julio de 2020

Problemas resueltos

  • La opción Desencadenadores estimados del indicador de riesgo personalizado no predice las instancias del indicador de riesgo personalizado del último día.

[CAS-38129]

09 julio 2020

Funciones nuevas

La tarjeta de sitio de Virtual Apps and Desktops muestra a los usuarios clientes compatibles y no compatibles

En la tarjeta del sitio, ahora puede ver el número de usuarios que utilizan versiones compatibles y no compatibles de la aplicación Citrix Workspace o clientes de Citrix Receiver en sus dispositivos de punto final.

  • Haga clic en el recuento de usuarios de los clientes admitidos para ver la página Usuario que muestra todos los usuarios detectados.

  • Haga clic en el recuento de usuarios de los clientes no compatibles para descargar un archivo CSV. El archivo enumera los usuarios y sus versiones de cliente no compatibles. Analytics no recibe eventos de usuario de los clientes no admitidos y, por lo tanto, no agrega los usuarios como usuarios detectados. Con el archivo CSV, identifica a los usuarios que deben actualizar sus clientes a una versión compatible para que Analytics pueda proporcionar información de seguridad sobre su comportamiento.

Para ver la lista de clientes compatibles, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Estado del cliente

Acceso desde un indicador de riesgo de ubicación inusual

  • El indicador de riesgo de Citrix Gateway El primer acceso desde una nueva ubicación pasa a llamarse Acceso desde una ubicación inusual.

  • En la línea de tiempo de riesgo del usuario, se introducen un mapa geográfico y un gráfico circular en la sección de detalles del evento.

    • Ubicaciones de inicio de sesión: esta sección muestra una vista de mapa geográfico de las ubicaciones habituales e inusuales del usuario. Las ubicaciones habituales e inusuales se indican mediante un código de color en la sección superior derecha del mapa geográfico. Puede hacer zoom en el mapa geográfico para ver más de cerca la ubicación.

      Acceso desde una ubicación inusual

    • Ubicaciones habituales: últimos 30 días: esta sección muestra un gráfico circular que ofrece una vista de las 6 ubicaciones habituales principales desde las que el usuario ha iniciado sesión. Cada ubicación está marcada con un código de color diferente. Puede ordenar la sección por ubicación para obtener una vista detallada de la ubicación seleccionada.

      Acceso desde una ubicación inusual

Para obtener más información, consulte Acceso desde una ubicación inusual.

Datos del panel de usuarios

El número de usuarios de riesgo, usuarios descubiertos, usuarios privilegiados y usuarios de la lista de seguimiento se muestra durante los últimos 13 meses, independientemente del período de tiempo seleccionado en el panel de control Usuarios y en la página Usuarios . Al seleccionar el período de tiempo, las incidencias del indicador de riesgo cambian.

Para obtener más información, consulte Panel de control de usuarios.

Datos del panel de usuario

Página Usuarios rediseñada

La página Usuarios se ha mejorado para ofrecer una mejor experiencia de usuario. Proporciona un resumen consolidado de los eventos de usuario en función de las puntuaciones de riesgo del usuario, la fuente de datos y el tipo de usuario.

Para permitir una búsqueda más específica, la página Usuarios contiene la sección Filtros en el panel izquierdo y la barra de búsqueda en la parte superior. Puede buscar eventos de usuario para un tiempo preestablecido o un intervalo de tiempo personalizado.

Sección Usuarios descubiertos

Para ver la página Usuarios :

  • Vaya a Seguridad > Usuarios para ver el panel Usuarios y haga lo siguiente:

    • Haga clic en uno de los siguientes enlaces o en las tarjetas.

      Página Usuarios

    • En el panel Usuarios con riesgos, haga clic en Ver más.

    • En el panel Usuarios de lista de observación, haga clic en Ver más.

    • En el panel Usuarios con privilegios, haga clic en Ver más.

  • Vaya a Configuración > Orígenes de datos > Seguridad. Haga clic en el número de usuarios de cualquier tarjeta de sitio de origen de datos.

Para obtener más información, consulte Panel de control de usuarios.

Mejoras en el panel Usuarios con riesgos

La columna Cambio se sustituye por la columna Indicadores de riesgo . En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

Para obtener más información, consulte Usuarios con riesgos.

Panel de usuario con riesgos

Mejoras en el panel Lista de observación de usuarios

La columna Cambio se sustituye por la columna Indicadores de riesgo . En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

Para obtener más información, consulte Usuarios de la lista de seguimiento.

Panel Lista de seguimiento

Mejoras en el panel Usuarios privilegiados

  • La columna Cambio se sustituye por la columna Indicadores de riesgo . En la columna Indicadores de riesgo se muestran las incidencias totales del indicador de riesgo de un usuario durante un período de tiempo específico.

  • Haga clic en Ver más para ver la página Usuarios . La página Usuarios que muestra la lista de usuarios con privilegios de administrador y ejecutivo. En esta página, puede agregar o quitar un usuario como usuario privilegiado.

Para obtener más información, consulte Usuarios con privilegios.

Panel Usuarios privilegiados

Funciones retiradas

Alertas

La función Alertas está obsoleta y ya no está disponible en la interfaz de usuario de Analytics.

Alertas

Página Usuarios con riesgos y lista de seguimiento

Las páginas Usuarios con riesgos y Lista de observación están obsoletas. Se sustituyen por la página Usuarios que resume todos los eventos de usuario de riesgo y los usuarios de la lista de seguimiento.

Página de usuario arriesgada

Página de lista de seguimiento

Panel Usuarios con riesgos

Las fichas Cambio de puntuación más alta y Cambio del indicador de riesgo se eliminan del panel Usuarios con riesgos .

Panel de usuario con riesgos

Panel Indicador de riesgo

  • Se quitan la ficha Cambio de ocurrencia y la columna CHANGE .

    Panel indicador de riesgo

  • La página Detalles del indicador de riesgo está obsoleta. Anteriormente, esta página se mostraba cuando se seleccionaba un indicador de riesgo en el panel Indicadores de riesgo o en la página Visión general de indicadores de riesgo.

    Página de detalles del indicador de riesgo

Vista de tendencias

En el panel Usuarios, la vista de tendencias del recuento de usuarios se elimina de las tarjetas Usuarios de alto riesgo, Usuarios de riesgo medio, Usuarios de bajo riesgo y Usuarios de la lista de seguimiento.

Vista de tendencias

Página Grupos de usuarios

La página Grupos de usuarios de la opción Configuración está obsoleta. Ya no se puede agregar ni quitar un grupo de usuarios como grupo privilegiado. Sin embargo, puede agregar o quitar usuarios individuales como usuarios privilegiados. Para obtener más información, consulte Usuarios con privilegios.

Página de grupo de usuarios

26 de junio de 2020

Funciones retiradas

Indicadores de riesgo de tiempo inusual de acceso a las aplicaciones (virtual/SaaS) obsoletos

Los indicadores de riesgo de Citrix Virtual Apps and Desktops: tiempo inusual de acceso a las aplicaciones (virtual) y tiempo inusual de acceso a las aplicaciones (SaaS) han quedado obsoletos. Solo se pueden ver los datos históricos relacionados con estos indicadores.

Los siguientes cambios se aplican como parte de esta desuso:

  • La analítica ya no genera estos indicadores de riesgo.
  • Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.
  • Directivas de impago con estos indicadores de riesgo, ya que las condiciones ya no surten efecto.

Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

02 de junio de 2020

Problemas resueltos

  • En el cronograma de riesgo del usuario, el estado de las acciones de Virtual Apps and Desktops (basadas en directivas o aplicadas manualmente) aparece como “Error” aunque las acciones se hayan aplicado correctamente en la cuenta de usuario. Por ejemplo, la acción Iniciar grabación de sesiones se aplica correctamente en la cuenta de usuario, pero el resultado se muestra como “Error”. [CAS-32773]

    Estado de error de acción

11 de mayo de 2020

Problemas resueltos

  • Para algunos usuarios, las acciones basadas en directivas no se desencadenan y no se puede aplicar el modo de aplicación de directivas. Este problema se produce cuando los ID de cliente no están en minúsculas.

    [CAS-34209], [CAS-34141]

  • No se pueden crear indicadores de riesgo personalizados para algunos usuarios. Este problema se produce cuando los ID de cliente no están en minúsculas.

    [CAS-34139]

29 de abril de 2020

Problemas resueltos

  • Las acciones aplicadas en los indicadores de riesgo de Citrix Virtual Apps and Desktops no surten efecto, aunque Analytics muestra un mensaje indicando que las acciones se han aplicado correctamente. Este problema se observa en la versión 7 1912 de Citrix Virtual Apps and Desktops.

    [CAS-31544]

02 de abril de 2020

Funciones nuevas

Inhabilitar el procesamiento de datos cuando no se agrega StoreFront

En la tarjeta del sitio de origen de datos Configuración > Orígenes de datos > Seguridad > Virtual Apps and Desktops, el botón Activar procesamiento de datos no se activa si no ha integrado StoreFront. Aparece el mensaje de advertencia de StoreFront no conectado en la tarjeta del sitio. Si tiene un sitio local activo desde el que desea que Analytics reciba datos, debe comprobar que ha incorporado StoreFront en Citrix Analytics. Garantiza que sus cuentas de usuario estén protegidas.

En la tarjeta del sitio Virtual Apps and Desktops, seleccione los puntos suspensivos verticales () y haga clic en Conectar implementación de StoreFront. En la pantalla que se muestra, siga las instrucciones y complete la configuración de StoreFront.

Para obtener más información, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

Aviso de StoreFront

Problemas resueltos

  • Para los usuarios de Citrix Content Collaboration, las acciones basadas en directivas no surten efecto en las siguientes condiciones:

    • Cuando se definen las condiciones del indicador de riesgo personalizado

    • Hasta que se genere un indicador de riesgo para un usuario

    [CAS-29226]

04 de marzo de 2020

Problemas resueltos

  • Cuando los usuarios de Gateway se incorporan a Analytics por primera vez, ven el error Citrix ADC no responde o las credenciales son incorrectas. Al volver a intentarlo, ven el error El dispositivo con esta dirección IP ya existe.

[CAS-31180]

20 de febrero de 2020

Funciones nuevas

Oferta de Citrix Analytics para seguridad

Citrix Analytics for Security ya está disponible para suscripciones individuales. Puede suscribirse a Citrix Analytics for Security y obtener información específica de esta oferta. Para obtener más información, consulte Introducción.

Panel de control Categorías de riesgo

Citrix Analytics introduce la categorización de los indicadores de riesgo en función de los riesgos que tienen un impacto similar en el aspecto de seguridad de la organización. Este panel proporciona una visión completa de las exposiciones al riesgo y los riesgos críticos que requieren atención inmediata. Para los indicadores de riesgo de impago, Analytics asigna automáticamente una categoría de riesgo en función de la exposición al riesgo. Para los indicadores de riesgo personalizados, debe seleccionar una categoría de riesgo adecuada en función de la exposición al riesgo.

Analytics admite las siguientes categorías de riesgo:

  • Exfiltración de datos
  • Amenazas internas
  • Usuarios comprometidos
  • Endpoints comprometidos

Para obtener más información, consulte Categorías de riesgo.

Panel de categorías de riesgo

Columna Categoría de riesgo de la página Indicadores personalizados

La columna Categoría de riesgo se introduce en la página Indicador de riesgo personalizado. Según el tipo de exposición al riesgo, puede seleccionar una categoría de riesgo para su indicador de riesgo personalizado. Los indicadores de riesgo personalizados creados anteriormente se muestran en el panel de control Categorías de riesgo si los modifica seleccionando una categoría de riesgo.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Lista desplegable de categorías de riesgo

Cambio en los nombres de los indicadores de riesgo

Se han cambiado los nombres de los indicadores de riesgo siguientes:

Origen de datos Nombre antiguo Nuevo nombre
Citrix Virtual Apps and Desktops y Citrix DaaS Uso inusual de aplicaciones (virtual) Tiempo inusual de acceso a las aplicaciones (virtual)
Citrix Virtual Apps and Desktops y Citrix DaaS Uso inusual de aplicaciones (SaaS) Tiempo inusual de acceso a las aplicaciones (SaaS)
Citrix Content Collaboration Errores de inicio de sesión excesivos Fallos de autenticación excesivos
Citrix Content Collaboration Acceso de inicio de sesión inusual Acceso por primera vez desde una nueva ubicación
Citrix Access Control Volumen de descarga inusual Descarga excesiva de datos
Citrix Gateway Errores de inicio de sesión Fallos de autenticación excesivos
Citrix Gateway Errores de autorización Fallos excesivos de autorización
Citrix Gateway Acceso de inicio de sesión inusual Acceso por primera vez desde una nueva ubicación

Para obtener más información, consulte Indicadores de riesgo.

Problemas resueltos

  • Para algunos usuarios, Citrix Analytics no puede recibir datos de Virtual Apps and Desktops aunque el origen de datos se haya integrado correctamente y StoreFront esté habilitado. [CAS-24134]

  • Citrix Analytics no puede recibir eventos de descarga de Citrix Content Collaboration. Por lo tanto, no se activan los siguientes indicadores de riesgo:

    • Descarga compartida confidencial anónima

    • Descargas excesivas de enlaces compartidos

    • Acceso excesivo a archivos confidenciales

    • Descargas excesivas de archivos

    [CAS-29207]

  • Para los usuarios recién incorporados, las acciones manuales y basadas en directivas aplicadas en los indicadores de riesgo de Citrix Gateway no surten efecto alguno. [CAS-29029]

  • Algunos usuarios no pueden ver las tarjetas de sitio en la página Orígenes de datos. Este problema se resuelve rellenando de nuevo la caché. [CAS-28781]

09 de enero de 2020

Funciones nuevas

Evaluación continua del riesgo

Algunos desafíos a los que se enfrentan los usuarios de Citrix Workspace son que el acceso remoto expone los datos confidenciales a riesgos de seguridad a través de actividades cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas de abordar estos riesgos son implementar la autenticación multifactor, aplicar tiempos de espera de inicio de sesión cortos, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa tras la validación inicial.

Para mejorar el aspecto de la seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics presenta la solución de evaluación continua de riesgos. Esta solución le ayuda a supervisar continuamente los perfiles de usuario y a realizar diversas acciones cuando se detectan eventos de riesgo.

Para obtener más información, consulte Evaluación continua de riesgos.

Evaluación continua del riesgo

Configuración de directivas

Citrix Analytics le ayuda a administrar las configuraciones de directivas de forma más eficaz. Puede proteger las cuentas de usuario de ataques maliciosos con la ayuda de las siguientes capacidades:

  • Directivas predeterminadas: Citrix Analytics admite las siguientes directivas predeterminadas:

    • Explotación de credenciales correcta
    • Exfiltración potencial de datos
    • Acceso inusual desde una IP sospechosa
    • Acceso inusual a aplicaciones desde una ubicación inusual
    • Usuario de bajo riesgo: acceso por primera vez desde una nueva IP
    • Acceso por primera vez desde el dispositivo

    Puede modificar las directivas predeterminadas según sus requisitos.

    Directivas predeterminadas

  • Múltiples condiciones: una directiva puede contener hasta cuatro condiciones. Las condiciones se pueden establecer con combinaciones de puntuaciones de riesgo e indicadores de riesgo, o ambos.

    Agregar y quitar condición

  • Indicadores de riesgo predeterminados y personalizados: El menú de condiciones de la página Crear Directiva ahora está segregado en función de los indicadores de riesgo predeterminados y personalizados. Al crear una directiva, puede cambiar entre las fichas de indicadores de riesgo predeterminados y personalizados, y establecer las condiciones del indicador de riesgo.

    Agregar y quitar condición

  • Solicitar respuesta del usuario final: Citrix Analytics presenta la acción Solicitar respuesta del usuario final . Con esta acción, puede enviar una notificación por correo electrónico al usuario sobre la actividad de riesgo detectada. Una vez que el usuario responda sobre la actividad, puede determinar el siguiente curso de acción que se tomará en su cuenta. También puede configurar el tiempo de respuesta del usuario. Si no se recibe ninguna respuesta, Citrix Analytics considera el estado Sin respuesta .

    Solicitud de respuesta del usuario final

  • Aplicar acciones disruptivas: puede notificar a los usuarios cuando se aplica una acción disruptiva, como Cerrar sesión o Bloquear usuario. Se envía una notificación al usuario con detalles de la actividad y la acción aplicada. Esta acción interrumpe temporalmente los servicios de la cuenta del usuario para evitar un uso indebido posterior. Para continuar accediendo a la cuenta, el usuario debe ponerse en contacto con el administrador para obtener ayuda.

    Aplicar acción disruptiva

  • Modos de cumplimiento y supervisión: Puede establecer modos de cumplimiento o supervisión para sus directivas.

    Modos de directiva

Para obtener más información sobre las mejoras de directivas, consulte Directivas y acciones.

Bloquear acciones de usuario y desbloquear usuario

Citrix Analytics presenta las siguientes acciones de puerta de enlace:

  • Bloquear usuario
  • Desbloquear usuario

Puede aplicar estas acciones de forma manual o al configurar directivas.

Para obtener más información, consulte Qué son las acciones.

Luego haga lo siguiente

Panel de resumen de acceso

Citrix Analytics presenta el panel Resumen de acceso en el panel Usuarios . Resume el número total de intentos que han realizado los usuarios para acceder a los recursos de una organización.

Para obtener más información, consulte Resumen de Access.

Panel de resumen de acceso

Panel de directivas y acciones

Citrix Analytics presenta el panel Directivas y acciones en el panel Usuarios . Muestra las cinco directivas y acciones principales aplicadas en los perfiles de usuario. Puede ordenar los datos según las directivas principales y las acciones principales durante un período de tiempo seleccionado.

Para obtener más información, consulte Directivas y acciones.

Panel de directivas y acciones

Búsqueda de directivas de autoservicio

Utilice la búsqueda de autoservicio para ver los eventos de usuario que cumplen las directivas definidas. También puede ver las acciones que Analytics ha aplicado para estos eventos anómalos. Utilice las facetas y el cuadro de búsqueda para buscar los eventos necesarios.

Para ver los eventos, en el cuadro de búsqueda, seleccione Directivas de la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de directivas.

Funciones retiradas

Se eliminó la condición basada en directivas de cambio de puntuación de riesgo

Al configurar directivas, ya no puede utilizar la condición basada en directivas de cambio de puntuación de riesgo . Citrix Analytics no admite esta condición.

Para obtener más información, consulte Directivas y acciones.

Se han eliminado varias acciones basadas en directivas

Al configurar directivas, ya no se pueden aplicar varias acciones. Citrix Analytics admite solo una acción para cada directiva.

Para obtener más información, consulte Directivas y acciones.

Problemas resueltos

  • Los administradores delegados de solo lectura encuentran un error al acceder a los paneles de control Acceso de usuario y Acceso a aplicaciones . [CAS-16297]

12 de diciembre de 2019

Funciones nuevas

Compatibilidad con la versión de Splunk

Citrix Analytics admite las siguientes versiones de Splunk:

  • Splunk 8.0 de 64 bits
  • Splunk 7.3 de 64 bits

Para obtener los máximos beneficios de seguridad de la integración de Splunk, actualice a la última versión de la aplicación complementaria de Splunk desde la página de descargas .

Para obtener más información sobre las versiones de Splunk compatibles, consulte Versiones compatibles.

04 diciembre 2019

Funciones nuevas

Indicador de riesgo personalizado para Citrix Gateway

Con los indicadores de riesgo personalizados, ahora puede definir las condiciones y la frecuencia de activación de los indicadores de riesgo de los eventos de Citrix Gateway. Cuando un evento de usuario cumple las condiciones, Analytics activa los indicadores de riesgo. Para obtener más información sobre cómo crear un indicador de riesgo personalizado, consulte Indicadores de riesgo personalizados.

Indicador personalizado de puerta de enlace

22 noviembre 2019

Funciones nuevas

Acceso por primera vez desde un dispositivo nuevo: indicador de riesgo de Citrix Virtual Apps and Desktops

Citrix Analytics detecta las amenazas de acceso en función del acceso desde un nuevo dispositivo y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso por primera vez desde un dispositivo nuevo se activa cuando un usuario inicia sesión desde un dispositivo después de 90 días. Este evento se desencadena porque Citrix Receiver no tiene registros de inicio de sesión de este dispositivo nuevo o desconocido durante los últimos 90 días. Para obtener más información, consulte Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

Acceso por primera vez desde un dispositivo nuevo

Acceso por primera vez desde una nueva IP - Indicador de riesgo de Citrix Gateway

Citrix Analytics detecta las amenazas de acceso en función del acceso desde una nueva dirección IP y activa el indicador de riesgo correspondiente.

El indicador de riesgo de acceso por primera vez desde una nueva IP se activa cuando un usuario inicia sesión desde una dirección IP después de 90 días. Este evento se desencadena porque Citrix Receiver no tiene registros de inicio de sesión de la dirección IP nueva o desconocida durante los últimos 90 días.

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Acceso por primera vez desde una nueva IP

Inicio de sesión desde una IP sospechosa: indicador de riesgo de Citrix Gateway

Citrix Analytics detecta las amenazas de acceso de los usuarios en función de la actividad de inicio de sesión de IP sospechosa y activa el indicador de riesgo de inicio de sesión desde IP sospechosa .

Este indicador de riesgo se activa cuando un usuario intenta acceder a la red desde una dirección IP sospechosa. Analytics considera que una dirección IP es sospechosa en función de cualquiera de las siguientes condiciones:

  • Aparece en la fuente externa de inteligencia de amenazas IP

  • Tiene varios registros de inicio de sesión de usuarios desde una ubicación inusual

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta

Para obtener más información, consulte Indicadores de riesgo de Citrix Gateway.

Iniciar sesión desde una IP sospechosa

Búsqueda de autoservicio de eventos de Citrix Gateway

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Citrix Gateway. Citrix Analytics recibe eventos como la etapa de autenticación, el tipo de autorización, el código de sesión VPN y el estado de la sesión VPN para los usuarios de Citrix Gateway. Utilice las facetas y el cuadro de búsqueda para buscar los eventos necesarios y explorar los datos subyacentes.

Para ver los eventos, en el cuadro de búsqueda, seleccione Puerta de enlace en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de Gateway.

Búsqueda de autoservicio para eventos de Citrix Secure Browser

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de exploración recibidos de Citrix Secure Browser Service. Citrix Analytics recibe eventos como conexión de sesión, inicio de sesión, aplicaciones publicadas y aplicaciones eliminadas para cada conexión de usuario. Utilice el cuadro de búsqueda para buscar los eventos necesarios y explorar los datos subyacentes.

Para ver los eventos, en el cuadro de búsqueda, seleccione Secure Browser en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de Secure Browser.

Acción Eliminar de la lista de observación

Puede quitar a un usuario de la lista de seguimiento aplicando el método manual o aplicando un método basado en directivas. Para obtener más información, consulte Lista de seguimiento.

Mensajes de incorporación mejorados al configurar una implementación de StoreFront

Citrix Analytics ahora proporciona los siguientes mensajes para ayudarle a configurar las implementaciones de StoreFront:

  • Tras descargar el archivo de configuración, puede ver un mensaje que indica la fecha y hora de la descarga y el nombre de usuario. Al actualizar esta página, el botón Descargar archivo cambia de nuevo a Descargar archivo.

    Descargar archivo de StoreFront

  • Si la configuración de StoreFront está incompleta, aparece un mensaje de advertencia en el que se le indica que debe seguir los pasos de configuración y conectar la implementación de StoreFront con Analytics.

    Advertencia de configuración incompleta de StoreFront

Para obtener más información sobre cómo configurar la implementación de StoreFront, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

Funciones retiradas

Indicador de riesgo: eliminar el acceso desde un dispositivo nuevo

Citrix Analytics ya no activa el indicador de riesgo Access from new device . Sin embargo, en el panel de control del usuario, el cronograma del usuario y el panel de directivas, puede ver los datos históricos relacionados con este indicador de riesgo.

Para las directivas creadas anteriormente basadas en Acceso desde un nuevo dispositivo, debe modificar la directiva o crear una directiva con el nuevo indicador de riesgo Acceso por primera vez desde un dispositivo nuevo.

Problemas resueltos

  • La búsqueda autoservicio de autenticación no muestra los eventos. [CAS-24959]

08 noviembre 2019

Problemas resueltos

  • Para los indicadores de riesgo de Citrix Content Collaboration, los usuarios no pueden aplicar acciones en el cronograma de riesgos. [CAS-24844]

  • La aplicación Citrix Workspace para Chrome anterior a la versión 1911 no envía los detalles del evento a Citrix Analytics. [CAS-24938]

21 de octubre de 2019

Funciones nuevas

Nombre modificado del agente de análisis

El nombre del agente se menciona ahora como agente de directivas de Analytics en las interfaces de usuario para indicar su función. Al incorporar los orígenes de datos de Citrix Virtual Apps and Desktops locales, Citrix Analytics notifica claramente que solo se necesita un agente de directivas para configurar directivas y acciones para su sitio. Este agente no tiene ninguna función en la transmisión de datos desde el origen de datos. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Agente de directivas

Compatibilidad con la dimensión temporal para informes personalizados

Ahora puede agrupar los eventos en función del tiempo seleccionando la dimensión de tiempo para el eje x. El informe muestra el total de eventos recibidos en función de los intervalos de tiempo del período seleccionado. Para obtener más información sobre cómo crear informes, consulte Informes personalizados.

Dimensión de tiempo de informe personalizada

Mejoras en los registros de auditoría

Se ha mejorado la experiencia del usuario de la página Registro de auditoría .

  • Puede ver los detalles de fecha y hora de la última actualización de la página Registro de auditoría y actualizar la página para ver los registros de auditoría más recientes.

  • Puede borrar todos los filtros aplicados en los registros de auditoría.

Para obtener más información sobre los datos de auditoría, consulte Registros de auditoría.

Actualizar registros de auditoría

Problemas resueltos

  • Citrix Analytics no puede generar el indicador de riesgo de direcciones IP anónimas aunque Microsoft Graph Security se haya incorporado correctamente. [CAS-21329]

  • La aplicación Citrix Workspace para HTML5 anterior a la versión 1910 no envía los detalles del evento a Citrix Analytics. [CAS-24938]

23 de septiembre de 2019

Problemas resueltos

  • En las tarjetas de sitio de orígenes de datos, el campo Último evento muestra información de fecha y hora incorrecta. [CAS-24087]

30 de agosto de 2019

Funciones nuevas

Cambio en el período de tiempo predeterminado en todos los paneles

El período de tiempo predeterminado de los paneles siguientes cambia de Última hora a Último mes:

  • Usuarios

  • Cronología del riesgo

  • Acceso de usuarios

  • Acceso a aplicaciones

  • Compartir enlaces

  • Historial de alertas

Ahora los paneles muestran los eventos del último mes de forma predeterminada. Obtendrá una experiencia más atractiva al utilizar estos paneles. Por ejemplo, al abrir el panel de control Acceso a aplicaciones, el panel muestra los eventos de acceso a aplicaciones del último mes de forma predeterminada.

Selección de período de tiempo predeterminado

Problemas resueltos

  • Para los indicadores de riesgo de Content Collaboration, la acción Inhabilitar basada en directivas de usuario no se puede aplicar correctamente. [CAS-17304]

  • Citrix Analytics no puede procesar eventos de Citrix Gateway 13.0. Este problema se produce porque Citrix Gateway 13.0 no proporciona nombres de usuario en los eventos de inicio de sesión enviados a Citrix Analytics. [CAS-21339]

20 de agosto de 2019

Funciones nuevas

Mejoras en la búsqueda de autoservicio

  • Se ha mejorado la experiencia del usuario de la página de autoservicio. Ahora puede cambiar sin problemas entre el cronograma de riesgo del usuario y la página de búsqueda de autoservicio.

  • Ahora puede ordenar sus eventos por tiempo. De forma predeterminada, los últimos eventos aparecen en primer lugar en la tabla de eventos. Haga clic en el icono de ordenación de la columna TIEMPO para ordenar los eventos según la última hora o la hora más temprana.

Para obtener más información sobre cómo utilizar la búsqueda de autoservicio, consulte Búsqueda de autoservicio.

Mejoras en los informes personalizados

  • Se agregan nuevas dimensiones para los orígenes de datos de Control de acceso, Content Collaboration y Apps and Desktops. Puede elegir estas dimensiones para crear informes. Se agregan las siguientes dimensiones para los orígenes de datos:

    • Access Control: Agente de usuario, nombre de usuario

    • Content Collaboration contenido: Correo electrónico de usuario, nombre de usuario, creado por, ID de cuenta, ID de cliente de OAuth, ID de evento, ID de carpeta, nombre de carpeta, ID de recurso, ID de formulario, IP de cliente

    • Aplicaciones y escritorios: nombre de usuario, dirección IP, identificador de dispositivo, jaula rota, tipo de inicio de sesión, nombre del servidor de sesión, nombre de usuario de la sesión, nombre del archivo de descarga, ruta del archivo de descarga, nombre de la impresora de impresión, nombre de archivo de detalles del trabajo de impresión, dirección URL de inicio de la aplicación SaaS, operación del portapapeles, resultado de detalles

  • La interfaz de usuario de informes personalizados se ha mejorado con la compatibilidad con la paginación y la opción Borrar todo para los filtros.

Para obtener más información sobre cómo crear un informe personalizado con estas dimensiones, consulte Informes personalizados.

Panel de indicadores de riesgo

El panel de indicadores de riesgo se introduce en la página Usuarios . Resume los cinco principales indicadores de riesgo por defecto y personalizados para un usuario. Un enlace Ver más le redirige a la página Visión general del indicador de riesgo . Esta página proporciona información detallada sobre los indicadores de riesgo generados durante un período de tiempo seleccionado.

Para obtener más información, consulte Panel de control de usuarios.

Panel de indicadores de riesgo

Mejoras en el panel de usuarios con riesgos

Citrix Analytics presenta las fichas Cambio de indicadores de riesgo e Indicadores de riesgo en el panel Usuarios con riesgos. Puede ver los cinco usuarios más con riesgos basándose en estas fichas. El panel también introduce la columna Indicadores de riesgo . Muestra el número de indicadores de riesgo de un usuario.

La página Usuarios con riesgos introduce las columnas Cambio de ocurrencias y ocurrencias. En estas columnas se resumen el total de ocurrencias y el cambio en las apariciones de los indicadores de riesgo personalizados y predeterminados.

Para obtener más información, consulte Panel de control de usuarios.

Usuarios con riesgos

Indicador de riesgo de enlace compartido - Descargas excesivas

Citrix Analytics detecta amenazas de acceso en función de descargas excesivas en un enlace compartido y activa el indicador de riesgo de descargas excesivas. Al identificar los enlaces compartidos con descargas excesivas, en función del comportamiento anterior, puede supervisar el enlace para compartir en busca de posibles ataques. Este indicador de riesgo ayuda a identificar una actividad excesiva de descarga de archivos.

Para obtener más información, consulte Descargas excesivas.

Búsqueda de autoservicio de los datos de autenticación

Utilice la búsqueda de autoservicio para obtener información sobre los eventos de autenticación. Citrix Analytics recibe los eventos de autenticación como inicio de sesión de usuario, cierre de sesión de usuario y actualización de clientes del servicio de administración de identidades y accesos de Citrix Cloud. La búsqueda proporciona un informe detallado sobre los eventos de autenticación, ayuda a identificar cualquier problema de autenticación y a solucionarlo. También puede definir una consulta de búsqueda para recuperar eventos que coincidan con los criterios definidos.

Para ver los eventos, seleccione Autenticación en la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Para obtener más información, consulte Búsqueda de autoservicio de autenticación.

11 de julio de 2019

Funciones nuevas

Indicadores de riesgo personalizados

Los indicadores de riesgo predeterminados que genera Citrix Analytics se basan en algoritmos de aprendizaje automático. Citrix Analytics ahora permite crear indicadores de riesgo personalizados. En función de los eventos de usuario, puede definir las condiciones y crear indicadores de riesgo personalizados.

Cuando se cumplen las condiciones definidas, Citrix Analytics genera indicadores de riesgo personalizados similares a los indicadores de riesgo predeterminados y los muestra en el cronograma de riesgo del usuario. Los indicadores de riesgo personalizados se indican con una etiqueta en la línea de tiempo de riesgo del usuario.

Para obtener más información, consulte Indicadores de riesgo personalizados.

Estado privilegiado en el cronograma de riesgo

El cronograma de riesgo del usuario muestra los siguientes eventos siempre que se produzca un cambio en el estado de privilegios de administrador o ejecutivo de un usuario:

  • Agregado al grupo ejecutivo

  • Eliminado del grupo ejecutivo

  • Privilegio elevado a administrador

  • Privilegio de administrador eliminado

Cuando se activa un indicador de riesgo para un usuario, puede correlacionarlo con el evento de cambio de estado de privilegios especificado. Si es necesario, puede aplicar las acciones apropiadas en el perfil de usuario.

Para obtener más información, consulte Cronología de riesgos del usuario.

Acción de enlace de recurso compartido caducar

Citrix Analytics le permite aplicar acciones en indicadores de riesgo de vínculos compartidos. En la actualidad, la acción admitida es Vencimiento del enlace de recurso compartido.

Para obtener más información, consulte Indicadores de riesgo de vínculos compartidos de Citrix.

Mejoras en la búsqueda de autoservicio

  • Compatibilidad con el carácter comodín * en la consulta de búsqueda: Utilice el carácter asterisco (*) en su consulta de búsqueda para que coincida con cualquier carácter cero o más veces. Por ejemplo, la consulta de búsqueda Nombre de usuario = “John*” muestra los eventos de todos los nombres de usuario que comienzan por John.

  • Se ha agregado la opción Borrar todo para las facetas: haga clic en Borrar todopara eliminar todas las facetas seleccionadas a la vez.

  • Ver datos de columnas ocultas en la lista de eventos: tras quitar una columna de la tabla de eventos, puede ver los datos correspondientes en la lista de eventos de usuario. Expanda la fila de eventos de un usuario y visualice los datos.

Para obtener más información, consulte Búsqueda de autoservicio.

Estado de error de datos en las tarjetas de sitio

Las tarjetas de sitio muestran la etiqueta No se han recibido datos en rojo cuando Citrix Analytics no recibe eventos durante la última hora del origen de datos. También muestra el número de eventos recibidos y está vinculado a la página de búsqueda de autoservicio correspondiente. Esta función le ayuda a ver los eventos correspondientes en la página de búsqueda de autoservicio y a comprobar si hay problemas de transmisión de datos.

Nota

Actualmente, la búsqueda de autoservicio solo está disponible para los orígenes de datos de Access, Content Collaboration y Apps and Desktop.

Para obtener más información, consulte Habilitar Analytics en orígenes de datos de Citrix.

Problemas resueltos

  • En el origen de datos de Control de acceso, el número de eventos de la tarjeta del sitio no coincide con los resultados de la búsqueda de autoservicio. [CAS-18286]

19 de junio de 2019

Problemas resueltos

  • La página Registro de auditoría muestra el estado activado o desactivado de la transmisión de datos cada vez que se detecta el origen de datos de Active Directory. [CAS-17575]

  • El menú de períodos de tiempo del panel Usuarios no se carga correctamente. Muestra un mensaje de error de tiempo de espera. [CAS-19467]

  • Los usuarios reciben un mensaje de error en Citrix Analytics mientras se conectan a un arrendatario desde Splunk. En ocasiones, se produce un error en la incorporación de nuevos orígenes de datos. [CAS-19429]

17 de junio de 2019

Funciones nuevas

Configurar StoreFront

Si su organización utiliza StoreFront local, ahora puede configurar StoreFront para que se conecte a Citrix Analytics. La configuración se realiza mediante un archivo de configuración importado de Citrix Analytics. Una vez que la configuración se ha realizado correctamente, la aplicación Citrix Workspace envía eventos de usuario a Citrix Analytics para generar información útil sobre los comportamientos de los usuarios. La información le ayuda a detectar cualquier comportamiento anómalo de los usuarios y a gestionar de forma proactiva las amenazas a la seguridad de su organización. Para obtener más información, consulte Incorporar sitios locales de Citrix Virtual Apps and Desktops mediante StoreFront.

30 de mayo de 2019

Funciones nuevas

Errores de inicio de sesión excesivos

Citrix Analytics detecta las amenazas de acceso en función de una actividad de inicio de sesión excesiva y activa el indicador de riesgo de errores de inicio de sesión excesivos. Este indicador de riesgo se activa cuando un usuario experimenta varios intentos fallidos de inicio de sesión para acceder a Content Collaboration. Al identificar a los usuarios con errores de inicio de sesión excesivos, según el comportamiento anterior, los administradores pueden supervisar la cuenta del usuario en busca de ataques de fuerza bruta.

Nota

Loserrores de inicio de sesión excesivos ahora se denominan Errores de autenticación excesivos.

Problemas resueltos

  • En el caso de algunos eventos de usuario transmitidos por las aplicaciones Citrix Workspace, el origen de datos se identifica incorrectamente como Endpoint Management en lugar de Citrix Virtual Apps and Desktops.

    [CAS-17323]

  • El panel Usuarios tarda mucho en cargarse durante el período de Último mes . Este problema se produce cuando el número de usuarios es elevado. En algunos casos, es posible que incluso se produzcan errores 601.

    [CAS-16300]

  • Citrix Content Collaboration no se descubre como origen de datos, aunque algunos usuarios se suscriben al servicio en Citrix Cloud.

    [CAS-16299]

09 de mayo de 2019

Funciones nuevas

Creación de informes personalizados

Ahora puede crear informes personalizados en función de sus requisitos operativos. Citrix Analytics proporciona una lista de dimensiones y métricas según el origen de datos seleccionado. Elija los parámetros necesarios y los tipos de visualización, como gráfico de barras, gráfico de eventos, gráfico de líneas o tabla, para crear sus informes. La creación de informes le ayuda a organizar y analizar sus datos de forma gráfica.

Para crear un informe personalizado, en la ficha Seguridad, haga clic en Informes > Crear informe. Para ver los informes creados anteriormente, en la ficha Seguridad, haga clic en Informes. Para obtener más información, consulte Informes personalizados.

Supervisión de usuarios privilegiados

Citrix Analytics le permite supervisar de cerca las anomalías de comportamiento de los usuarios con privilegios de una organización. Dado que los usuarios privilegiados son muy vulnerables a las amenazas de seguridad, resulta difícil distinguir sus actividades diarias de las maliciosas. Por lo tanto, las actividades maliciosas de los usuarios privilegiados permanecen desapercibidas durante mucho tiempo. Esta función le permite supervisar de forma proactiva dichas actividades y tomar las medidas adecuadas en las cuentas de usuario adecuadas. Los usuarios con privilegios se representan con un icono en el panel Usuarios .

Citrix Analytics admite la supervisión de los siguientes tipos de usuarios con privilegios:

  • Administradores: Usuarios a los que el servicio Citrix respectivo asigna privilegios de administrador. En la actualidad, Citrix Analytics admite la supervisión de usuarios con privilegios de usuario con privilegios de administrador en el servicio Content Collaboration.

  • Ejecutivos: En Citrix Analytics, puede marcar un grupo de AD como grupo de ejecutivos. Marcar un grupo de AD como grupo ejecutivo convierte a todos los usuarios del grupo en usuarios privilegiados. Si no es necesario seguir atendiendo las anomalías de comportamiento de los usuarios de un grupo de AD, puede quitar el grupo como grupo ejecutivo.

Para obtener más información, consulte Usuarios con privilegios.

Resumen semanal del correo electrónico

Citrix Analytics envía un correo electrónico semanal a los administradores en el que se resumen los riesgos de seguridad en el entorno de TI de su organización. La notificación por correo electrónico se envía todos los martes a los administradores y resalta los eventos de seguridad que se han producido en la semana anterior. Este correo electrónico garantiza que los administradores estén informados sobre los riesgos de seguridad sin iniciar sesión en Citrix Analytics. Para obtener más información, consulte Resumen semanal por correo electrónico.

26 de abril de 2019

Funciones nuevas

Administradores delegados

Citrix Analytics ahora admite funciones de administrador delegadas. Esta funcionalidad le permite invitar a otros administradores a su cuenta de Citrix Cloud para administrar Citrix Analytics para su organización. Si es administrador de Citrix Analytics con permiso de acceso completo, puede agregar otros administradores a su cuenta de Citrix Cloud. Estos administradores adicionales se denominan administradores delegados. En este momento, puede asignar acceso de solo lectura a los administradores delegados. Para obtener más información, consulte Administradores delegados.

Problemas resueltos

Pocos indicadores de riesgo para los orígenes de datos que utilizan la transmisión de datos no generan alertas. No recibe ninguna notificación de alerta y las acciones basadas en directivas no se aplican automáticamente si se activa alguno de los siguientes indicadores de riesgo:

  • Indicadores de riesgo de Citrix Endpoint Management: Dispositivo no administrado, dispositivo con jailbreak o rooteado y dispositivo con aplicaciones incluidas en la lista de bloqueados.

  • Indicador de riesgo de Citrix Virtual Apps and Desktops: Acceso desde un dispositivo con sistema operativo (SO) no compatible.

  • Indicador de riesgo de Citrix Content Collaboration: Acceso excesivo a archivos confidenciales.

[CAS-14590]

19 febrero 2019

Funciones nuevas

Integración con Splunk

Citrix Analytics se integra con Splunk para mejorar sus experiencias de supervisión de incidentes de seguridad y solución de problemas. Esta integración aumenta los orígenes de datos existentes con las capacidades de análisis de riesgos y la inteligencia de Citrix Analytics for Security, como indicadores de riesgo, puntuaciones de riesgo y perfiles de usuario. Citrix Analytics exporta información de análisis de riesgos a un canal. Splunk saca lo mismo de este canal.

La integración de Splunk implica la configuración en Citrix Analytics, la instalación del complemento Citrix Analytics para la aplicación Splunk y la configuración de la aplicación. Asegúrese de activar el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics a iniciar el proceso de integración de Splunk.

Para obtener más información, consulte Integración de Splunk.

Grabación dinámica de sesiones

Citrix Analytics introduce la capacidad de activar la grabación de sesiones de forma dinámica en las sesiones actuales de Virtual Apps and Desktops de los usuarios. Ayuda a capturar las evidencias necesarias para el análisis de riesgos y tomar las acciones adecuadas de respuesta a incidentes, como sesiones de desconexión y bloquear usuarios.

Para obtener más información, consulte Directivas y acciones.

Citrix Analytics introduce la visibilidad del riesgo de Share Links en función de los datos recopilados de Citrix Content Collaboration. Le ayuda a comprender la exposición al riesgo de los enlaces de acciones a través de los indicadores de riesgo que activan los enlaces de acciones.

Para obtener más información, consulte Panel de control Compartir vínculos.

Tablero de vínculos compartidos

Actualmente, el indicador de riesgo de descarga de acciones confidenciales anónimas se activa para un enlace para compartir. Cuando Content Collaboration detecta este comportamiento de riesgo, Citrix Analytics recibe los eventos. Se le notifica en el panel Alertas y el indicador de riesgo de descarga de acciones confidenciales anónimas se agrega a la línea de tiempo de riesgo del enlace compartido.

Para obtener más información, consulte Cronología de riesgo de Share Link e indicadores de riesgo de Citrix Share Link.

Cronología del riesgo

Integración Microsoft Active Directory

Ahora puede integrar Microsoft Active Directory con Citrix Analytics. Esta integración mejora el contexto de los usuarios de riesgo con información adicional, como el cargo, la organización, la ubicación de la oficina, el correo electrónico y los datos de contacto. Puede obtener una mejor visibilidad de un usuario en la página de perfil de usuario de Citrix Analytics.

Para obtener más información, consulte Integración de Analytics con Microsoft Active Directory.

Usuario de Active Directory

04 de enero de 2019

Funciones nuevas

Adición de la columna SOURCE para los indicadores de riesgo existentes

La columna ORIGEN se ha introducido en la sección DETALLES DEL EVENTO para los siguientes indicadores de riesgo:

  • Subidas excesivas de archivos

  • Descargas excesivas de archivos

  • Uso compartido excesivo de archivos

  • Eliminación excesiva de archivos o carpetas

Para obtener más información, consulte Indicadores de riesgo de Citrix Content Collaboration.

Perfil de usuario avanzado

Se ha mejorado la vista Información del usuario en el perfil de usuario. El enlace Trend View se ha introducido en la esquina superior derecha de las secciones Aplicación, Dispositivosy Uso de datos . El vínculo Vista de mapa se ha introducido en la esquina superior derecha de la sección Ubicaciones. Estos enlaces proporcionan una representación gráfica del comportamiento histórico del usuario durante un período de tiempo específico. Puede navegar a Información de usuario desde la línea de tiempo de riesgo del usuario o desde la página Orígenes de datos.

Nota

Los datos Autenticación y Dominios no están disponibles actualmente en el perfil Información de usuario.

Para obtener más información, consulte Cronología y perfil de riesgos del usuario.

Perfil de usuario avanzado

Indicadores de riesgo para Microsoft Graph Security

Microsoft Graph Security incorporada puede recibir detalles del indicador de riesgo de uno de los siguientes proveedores de seguridad y reenviarlos a Citrix Analytics:

  • Protección de identidad de Azure AD

  • Microsoft Defender para dispositivos de punto final

Para obtener más información, consulte Indicadores de riesgo para Microsoft Graph Security.

Formas de entrar en la página de búsqueda de autoservicio

Ahora puede acceder a la página de búsqueda de autoservicio mediante las siguientes opciones:

  • Barra superior: haga clic en Buscar en la barra superior para acceder directamente a la página de búsqueda.

    Búsqueda en la barra superior

  • Cronología de riesgos en la página de perfil del usuario: haga clic en Búsqueda de eventos para acceder a la página de búsqueda y ver los eventos correspondientes al indicador de riesgo de un usuario específico y a la fuente de datos. Para obtener más información, consulte Búsqueda de autoservicio.

    Cronología del riesgo

Búsqueda de autoservicio de Content Collaboration

Utilice la búsqueda de autoservicio para obtener información sobre los eventos asociados a la fuente de datos de Content Collaboration. Para ver los eventos, seleccione Content Collaboration de la lista, seleccione el período de tiempo y, a continuación, haga clic en Buscar. Para obtener más información, consulte Búsqueda de autoservicio de Content Collaboration.

Búsqueda de autoservicio de aplicaciones y escritorios

Use la búsqueda de autoservicio para obtener información sobre los eventos asociados con la fuente de datos de Apps and Desktops. Para ver los eventos, selecciona Aplicaciones y escritorios en la lista, selecciona el período de tiempo y, a continuación, haga clic en Buscar. Para obtener más información, consulte Búsqueda de autoservicio de aplicaciones y escritorios.

Exportar eventos de búsqueda de autoservicio a un archivo CSV

Ahora puede exportar los eventos de búsqueda de autoservicio a un archivo CSV y descargarlo para utilizarlo en el futuro. Para obtener más información, consulte Búsqueda de autoservicio.

Integración mejorada para Citrix Virtual Apps and Desktops

El proceso de incorporación de la fuente de datos de Citrix Virtual Apps and Desktop ahora se ha mejorado para ofrecer una mejor experiencia de usuario. Se han modificado las fichas del sitio y los pasos de embarque. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

29 de noviembre de 2018

Funciones nuevas

Origen de datos Microsoft Security Graph

Microsoft Graph Security es un origen de datos externa que agrega datos de varios proveedores de seguridad. También proporciona acceso a los datos del inventario de usuarios.

Actualmente, Citrix Analytics admite los proveedores de seguridad de protección de identidad de Azure AD y Microsoft Defender for Endpoint asociados a este origen de datos.

Para integrar este origen de datos, debe obtener permisos de la plataforma de identidad de Microsoft. Para obtener más información, consulte Microsoft Graph Security.

Incorporación de MSG

Ver detalles de eventos y usuarios detectados en las tarjetas de sitio para orígenes de datos

Las tarjetas de sitio de los orígenes de datos muestran ahora los detalles de los eventos y el número de usuarios. Por ejemplo, puede ver los detalles del evento y los usuarios de Control de acceso en la tarjeta del sitio. Para obtener más información, consulte Habilitar análisis en orígenes de datos.

Imagen de control de acceso

16 de noviembre de 2018

Funciones nuevas

Búsqueda de autoservicio de datos de acceso

Puede utilizar la búsqueda de autoservicio para obtener información sobre los detalles de acceso de los usuarios de su empresa. Citrix Analytics recopila los detalles de acceso de los usuarios del servicio Citrix Access Control. Utilice las facetas y la consulta de búsqueda para reducir los resultados de búsqueda.

Para utilizar la página de búsqueda de autoservicio, en la ficha Seguridad, haga clic en Búsqueda de eventos.

Para obtener más información, consulte Búsqueda de autoservicio de Access.

Buscar imagen

Comentarios sobre los indicadores de riesgo

Con la función de comentarios sobre indicadores de riesgo de Citrix Analytics, puede proporcionar comentarios sobre un indicador de riesgo. Sus comentarios ayudan a confirmar si el incidente de seguridad denunciado es correcto o no.

Actualmente, esta función se admite en el indicador Riesgo de acceso de inicio de sesión inusual activado por el origen de datos de Content Collaboration. Si este indicador de riesgo activado es incorrecto, puede denunciarlo como un falso positivo y proporcionar comentarios. También puede modificar los comentarios que haya enviado anteriormente. Citrix Analytics captura sus comentarios y valida la información prevista para optimizar la detección de comportamientos anómalos.

Imagen falsa positiva

Problemas resueltos

  • No puede modificar ni guardar una directiva si accede a Citrix Analytics mediante Internet Explorer 11.0.
Novedades

En este artículo