Uno de los objetivos de Citrix es ofrecer nuevas funciones y actualizaciones de productos a los clientes de Citrix Analytics tan pronto como estén disponibles. Las nuevas versiones aportan más valor, por lo que no hay razón para retrasar las actualizaciones.

Para ti, como cliente, este proceso es transparente. Las actualizaciones iniciales se aplican solo a los sitios internos de Citrix y, a continuación, se aplican gradualmente a los entornos de los clientes. La entrega incremental de actualizaciones por fases ayuda a garantizar la calidad del producto y a maximizar la disponibilidad.

15 de abril de 2024

Nuevo informe de resumen ejecutivo

Ahora tienes la opción de consolidar varios informes en un único informe ejecutivo que se puede programar para el período de tiempo requerido. Con esta nueva función, solo proporcionas a tu audiencia la información gráfica necesaria. Para obtener más información, consulta Informe de resumen ejecutivo.

29 de enero de 2024

Actualizaciones del campo Estado de la aplicación Workspace

• Búsqueda de autoservicio: Ahora puedes realizar consultas para averiguar el estado de soporte de una versión de la aplicación Workspace utilizando el campo Estado de la aplicación Workspace recién introducido para la fuente de datos Citrix Apps and Desktops.
• Usuarios: Se ha eliminado la columna Estado de la aplicación Workspace.

Para obtener más información, consulta búsqueda de autoservicio para aplicaciones y escritorios.

25 de enero de 2024

Se han optimizado las inconsistencias en la interfaz de usuario de CAS

Se han resuelto los siguientes problemas en la función Búsqueda de autoservicio para la fuente de datos Aplicaciones y escritorios:

• Los eventos que antes se mostraban desordenados dentro de una sesión ahora aparecen correctamente.
• Se han actualizado las columnas predeterminadas.

24 de enero de 2024

Eventos de perfil de usuario mejorados en entornos SIEM

Los eventos de perfil de usuario exportados a tus entornos SIEM ahora incluyen:

• Información sobre direcciones IP
• Información de ubicación de Citrix Virtual Apps and Desktops™ y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops)

Estas nuevas mejoras te permiten identificar la dirección IP del cliente utilizada para acceder a los datos de tu organización y recopilar información de ubicación del usuario tanto de Citrix Virtual Apps™ y Desktops como de Citrix DaaS.

Para obtener más información, consulta Datos de información de riesgo para SIEM.

1 de diciembre de 2023

Página de configuración de correo electrónico de administrador para correo electrónico semanal y alertas SIEM

La nueva función Configuración de correo electrónico de administrador te permite configurar destinatarios de listas de distribución personalizadas para las alertas del sistema. Esta mejora garantiza que los administradores reciban solo las alertas del sistema que sean relevantes para ellos.

Para obtener más información, consulta Configuración de correo electrónico de administrador.

Panel de usuarios: Nuevo filtro de tiempo de recuento de usuarios activos y sección de información general actualizada

El nuevo filtro de tiempo en el panel Usuarios te permite ver y modificar el número total de usuarios activos en tu organización durante un período de tiempo específico, teniendo en cuenta las fuentes de datos para las que has habilitado Citrix Analytics.

La sección Información general mejorada en el panel Usuarios muestra el número total de usuarios en tu organización, así como el número de usuarios activos e inactivos que han iniciado sesión actualmente.

Para obtener más información, consulta Panel de usuarios.

Informes personalizados mejorados

• Ahora puedes crear y programar informes personalizados utilizando los eventos y la información disponibles en Citrix Analytics for Security. Los informes personalizados te ayudan a extraer información de interés específico y a organizar los datos gráficamente.
• Ahora puedes usar las capacidades mejoradas de la plataforma de informes personalizados que incluyen informes basados en consultas de búsqueda de autoservicio, plantillas, mejores visualizaciones, cobertura de todas las fuentes de datos y métricas, programación de informes y exportación de PDF.

Para obtener más información, consulta Informes personalizados.

30 de noviembre de 2023

Eliminación de todas las capacidades de ShareFile en Citrix Analytics

Se eliminan las siguientes capacidades de detección de ShareFile:

• Enlaces compartidos
• Indicadores de riesgo asociados
• Directivas con sus ocurrencias
• Configuraciones de exportación de datos de Content Collaboration
• Informes de Content Collaboration
• Fuente de datos de Content Collaboration en la búsqueda
• Búsquedas guardadas de Content Collaboration
• Fuente de datos de Content Collaboration.

La eliminación de estas capacidades podría resultar en una inconsistencia temporal en la puntuación de riesgo y las líneas de tiempo de los usuarios. Todas las demás capacidades de Citrix Analytics permanecen igual.

Aprende cómo ShareFile simplifica el acceso a los controles de seguridad directamente desde ShareFile.com.

22 de septiembre de 2023

Fuente de datos de Citrix Secure Browser en el indicador personalizado

Ahora puedes crear indicadores de riesgo para la fuente de datos de Citrix Secure Browser para rastrear la actividad de un usuario en el navegador seguro. Para obtener más información, consulta Indicadores personalizados.

Mejora del correo electrónico semanal con exportación de datos SIEM

El correo electrónico semanal se ha mejorado para proporcionar una visión más profunda de la postura de seguridad de tu organización al habilitar la exportación de datos SIEM. Ahora puedes incorporar y activar más fuentes de datos para descubrir una amplia gama de eventos relacionados con tus usuarios. El correo electrónico semanal incluye las siguientes novedades:

• La sección de resumen de datos muestra el estado del consumo de datos en el entorno SIEM.
• Recomendaciones para la exportación de datos basadas en el estado de consumo de la exportación de datos.

Para obtener más información, consulta Notificación por correo electrónico semanal.

Consumo de las preferencias de notificación de los administradores personalizados en los correos electrónicos

Citrix Analytics for Security ahora respeta las preferencias de notificación establecidas por los administradores personalizados en Citrix Cloud. Esta mejora proporciona a los administradores personalizados una mayor flexibilidad en la gestión de sus preferencias de notificación. Esta preferencia también se utiliza al enviar correos electrónicos de notificación, como correos electrónicos semanales, correos electrónicos de acción de notificar a los administradores y alertas para la exportación de datos.

Para obtener más información, consulta Administrar roles de administrador para Security Analytics.

4 de julio de 2023

Compatibilidad con el operador OR en la búsqueda de autoservicio y el indicador personalizado

El operador OR ahora está disponible en las funciones Búsqueda de autoservicio e Indicador de riesgo personalizado. Puedes usar el operador OR en vistas de búsqueda como las consultas de búsqueda de autoservicio y de indicador personalizado.

Para obtener más información, consulta Operadores admitidos en la consulta de búsqueda.

15 de junio de 2023

Habilitar la telemetría del portapapeles de VDA

Un evento llamado VDA.Clipboard se activa cuando inicias cualquier operación de portapapeles en Citrix Apps and Desktops. Estos registros del portapapeles proporcionan información vital como el nombre del VDA, el tamaño del portapapeles, el tipo de formato del portapapeles, la IP del cliente, la operación del portapapeles, la dirección de la operación del portapapeles y si la operación del portapapeles estaba permitida. Los atributos del evento VDA Clipboard también están disponibles en los flujos de trabajo de búsqueda de autoservicio y de indicadores de riesgo personalizados.

• Búsqueda de autoservicio: Puedes generar informes, guardar consultas y revisar los eventos VDA.Clipboard junto con todos sus detalles de atributos.
• Indicadores de riesgo personalizados: Los atributos para los eventos del portapapeles de VDA están disponibles con el flujo de trabajo de indicadores personalizados. Puedes usar estos pares clave/valor de evento para configurar activadores de indicadores personalizados y configurar directivas automatizadas con acciones.

Puedes usar la directiva Recopilación de metadatos del portapapeles para la supervisión de seguridad para habilitar la telemetría del portapapeles y la transmisión de registros del portapapeles a Citrix Analytics for Security. De forma predeterminada, esta directiva está habilitada. Para deshabilitarla, navega a la página de directivas y desactívala para detener la recopilación de datos de los VDA.

Para obtener más información, consulta Habilitar la telemetría del portapapeles para Citrix DaaS.

14 de junio de 2023

Disponibilidad de eventos de ciclo de vida de la aplicación y de registro de grabación de sesiones en Citrix Analytics for Security

Los siguientes eventos de Ciclo de vida de la aplicación y Registro de Grabación de sesiones ahora están disponibles en Citrix Analytics for Security:

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

Puedes ver estos eventos, crear indicadores personalizados y exportar estos eventos a tus entornos SIEM.

Para obtener más información, consulta Tipos de eventos y campos admitidos.

8 de junio de 2023

Problemas resueltos

• Algunos eventos de inicio de sesión de sesión que se envían a Citrix Analytics for Security no tienen un nombre de usuario. Esto hace que la columna de nombre de usuario se muestre como NA para algunos eventos en la página de inicio de sesión de usuario de búsqueda de autoservicio y de garantía de acceso. A veces, también resulta en un recuento de usuarios únicos de cero, aunque el recuento total de inicios de sesión no sea cero en el gráfico de organizaciones de registro de IP de garantía de acceso al ver los datos para un rango de tiempo pequeño, como Última 1 hora o Último 1 día. Este problema ya está solucionado. [CAS-70954]

• En la búsqueda de autoservicio para aplicaciones y escritorios, para los eventos de usuario Session.Logon y Session.end, la dimensión App-Name en las consultas de búsqueda se rellena con los nombres de los grupos de entrega en lugar del nombre de la aplicación o el escritorio iniciados, lo que puede inducir a error a los administradores. La dimensión App-Name es más útil para las consultas sobre los eventos App.Start/App.End, ya que apunta a las aplicaciones que se están iniciando. Para obtener más detalles, consulta Búsqueda de autoservicio para aplicaciones y escritorios. Este problema ya está solucionado. [CAS-67968]

• Si tu organización está incorporada a Citrix Cloud en la región de origen Asia Pacífico Sur, los eventos de Content Collaboration no son visibles en tus inquilinos de Citrix Analytics. Este problema ya está solucionado. [CAS-62317]

• Algunas versiones de la aplicación Citrix Workspace y del cliente Citrix Receiver no envían eventos específicos a Citrix Analytics. Por lo tanto, Citrix Analytics no puede proporcionar información ni generar indicadores de riesgo para estos eventos. Este problema ya está solucionado. Para obtener más información, consulta Comprobación 6: ¿Se transmiten los eventos de aplicaciones y escritorios virtuales a Analytics?. [CAS-16151]

29 de mayo de 2023

Complemento de Citrix Analytics para Splunk ahora disponible en la plataforma Splunk Cloud

La integración de Splunk para Citrix Analytics utiliza el complemento de Citrix Analytics para Splunk para conectarse al entorno de análisis e incorporar datos críticos para el negocio en tu entorno de Splunk.

Anteriormente, el complemento era verificado por Splunk solo para su instalación en la capa de Splunk Enterprise y los clientes eran responsables de configurar el complemento dentro de su entorno de Splunk local. Con la última versión 2.1.2, el complemento ha añadido compatibilidad con la plataforma Splunk Cloud. Los clientes que utilizan instancias Classic con IDM o instancias Victoria pueden utilizar esta mejora de compatibilidad de plataforma. Ahora, los clientes tienen la flexibilidad de elegir entre Splunk Enterprise o Splunk Cloud al considerar la implementación de nuestro complemento para facilitar la integración de Splunk.

Para obtener más información, consulta Integración de Splunk.

Eventos de grabación de sesiones en SIEM

Los eventos de Grabación de sesiones ahora se pueden exportar a SIEM en forma de eventos de Información de riesgo y eventos de Fuente de datos para aplicaciones y escritorios. Los tipos de eventos recién agregados se pueden encontrar en la etapa de eventos de datos para exportación en la página Exportaciones de datos.

Para obtener más información, consulta Directivas y acciones.

24 de mayo de 2023

Acción global de notificar al usuario final

La función Directivas y acciones de Citrix Analytics ahora admite la acción global Notificar al usuario final, que se puede combinar con activadores de indicadores de riesgo integrados o personalizados. Los administradores pueden crear directivas con la acción Notificar al usuario final que genera notificaciones por correo electrónico solo para los usuarios finales. Esta acción se puede utilizar para varios casos de uso de cumplimiento, como notificar a los usuarios sobre el uso no autorizado de aplicaciones o alertar sobre comportamientos sospechosos en sus cuentas de Citrix sin tomar ninguna acción disruptiva. Los administradores pueden personalizar el cuerpo del mensaje de correo electrónico y la línea de asunto según el escenario específico.

Para obtener más información, consulta Notificar al usuario final.

4 de mayo de 2023

Generación de eventos de prueba

La función Generación de eventos de prueba se creó para ayudar a los clientes a probar rápidamente su canalización de Citrix Analytics - SIEM. Anteriormente, si el administrador tenía que probar esta integración, tendría que esperar a la incorporación de la fuente de datos y la actividad del usuario para verificar si Citrix Analytics estaba generando los eventos y, por lo tanto, si su entorno SIEM los recibía. Esto ya no es una necesidad. Simplemente puedes hacer clic en el botón Enviar datos de prueba para enviar un evento ficticio al entorno SIEM y usar la consulta proporcionada para verificar si la integración de Citrix Analytics SIEM está configurada como se esperaba. Esto también puede funcionar para el administrador que intenta depurar un flujo de datos interrumpido, ya que puede ayudar a aislar el punto de falla.

Para obtener más información, consulta Generación de eventos de prueba.

Generación de alertas por correo electrónico de SIEM

La capacidad de generación de alertas por correo electrónico de SIEM lleva el proceso de solución de problemas de las exportaciones de datos a un nuevo nivel de facilidad. Citrix Analytics envía alertas del sistema para actividades que pueden provocar o indicar una interrupción del flujo de datos de SIEM. El correo electrónico se distribuye entre los administradores de Citrix Cloud, los administradores de seguridad completos, los administradores de seguridad de solo lectura y los administradores de seguridad y rendimiento de solo lectura. Los siguientes son los diferentes tipos de alertas que se envían:

1. Alerta de exportación de datos de SIEM: la contraseña se restableció

   Este correo electrónico se activa cada vez que se restablece la contraseña de la cuenta desde la página Exportaciones de datos. Si solo se hace en la GUI de Citrix Analytics for Security, puede provocar una interrupción en el flujo de datos. Esta alerta contiene la hora en que se realizó el restablecimiento de la contraseña y, por lo tanto, facilita mucho la recuperación del flujo de datos exitoso.

2. Alerta de exportación de datos de SIEM: el flujo de datos se detuvo

Este correo electrónico se activa cada vez que el cliente ha experimentado una interrupción del flujo de datos desde

• Más de 24 horas: Tiempo crítico para volver rápidamente a un flujo de datos exitoso utilizando los útiles consejos de solución de problemas dentro de la alerta o utilizando la pestaña Resumen de exportación de datos con la Guía rápida.

• Más de 7 días: La directiva de retención de Kafka para el tema de cada cliente es de siete días, lo que significa que existe la posibilidad de que algunos datos de postura de seguridad hayan caducado. Es imperativo utilizar las herramientas de solución de problemas para restablecer el flujo de datos a SIEM.

• Más de 30 días: Esto significa que el cliente ha sufrido datos con inclinación a la seguridad y necesita prestar atención inmediata a la restauración del flujo de datos de Citrix Analytics al entorno SIEM.

Para obtener más información, consulta Generación de alertas por correo electrónico de SIEM.

13 de abril de 2023

Problema resuelto

La aplicación Citrix Workspace™ para Windows envía un nombre de archivo, ruta y propiedad de formato vacíos desde la versión 2203 de la aplicación Citrix Workspace y versiones posteriores. Como resultado, la GUI de Citrix Analytics for Security muestra valores NA para las columnas Nombre de archivo de descarga, Ruta de archivo de descarga y Formato de archivo de descarga. Este problema ya está solucionado. [CAS-73498]

31 de marzo de 2023

Eventos de grabación de sesiones en Citrix Analytics for Security

En Citrix Apps and Desktops, se han agregado dos nuevos tipos de eventos para ayudar a identificar y evaluar los eventos basados en la grabación de sesiones.

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

Los administradores ahora pueden identificar y evaluar fácilmente los posibles riesgos de seguridad. Pueden usar estos eventos para recopilar información sobre datos vitales como ID de proceso, direcciones IP de destino y descripciones de operaciones de cuentas de usuario. Además, estos eventos también se pueden encontrar en la página Indicadores de riesgo personalizados y en la página Búsqueda de autoservicio.

• Búsqueda de autoservicio: Puedes ver estos eventos junto con los detalles de sus atributos.
• Indicadores de riesgo personalizados: Puedes configurar cualquier indicador personalizado utilizando estos tipos de eventos. Para obtener más información, consulta Tipos de eventos y campos admitidos.

Eventos de protección de aplicaciones en la búsqueda de autoservicio

Un nuevo evento llamado AppProtection.ScreenCapture se activa cuando intentas capturar una captura de pantalla mientras estás en una sesión protegida bajo la fuente de datos de Citrix Apps and Desktops. Los eventos AppProtection.ScreenCapture también están disponibles en las páginas Búsqueda de autoservicio y Exportaciones de datos.

• Búsqueda de autoservicio: Puedes ver los resultados de AppProtection.ScreenCapture junto con todos los detalles de sus atributos.
• Exportaciones de datos: Puedes ver el tipo de evento AppProtection.ScreenCapture en la sección Exportaciones de datos. Navega a Configuración > Exportaciones de datos > Configuración > Eventos de datos para exportar > selecciona Aplicaciones y escritorios de la categoría Eventos de fuente de datos (opcional).

También puedes ver un nuevo atributo llamado Directivas de protección de aplicaciones para el evento Session.Logon.

Para obtener más información, consulta Tipos de eventos y campos admitidos.

30 de marzo de 2023

Compatibilidad con roles personalizados

Se puede agregar un administrador para roles personalizados utilizando grupos en tu Active Directory o Azure Active Directory o configurando una integración de Okta para Citrix Analytics for Security. Esta integración permite un enfoque optimizado para administrar los permisos de acceso al servicio para todos los administradores de grupo.

Después de agregar correctamente un administrador a Active Directory o Azure Active Directory, el administrador puede crear grupos y asignar un rol personalizado a un grupo específico. Las preferencias individuales tienen prioridad sobre los permisos de grupo si un administrador es miembro de ambos.

Para obtener más información, consulta Compatibilidad con roles personalizados.

Panel de solución de problemas para la interfaz de usuario de SIEM

La interfaz de usuario de exportación de datos se ha mejorado con los siguientes cambios:

• Pestaña Resumen: La pestaña Resumen describe las métricas de eventos de SIEM, el estado de incorporación de la fuente de datos y el estado de consumo de datos en el siguiente escenario:

  • Datos disponibles en Citrix Analytics: Proporciona el estado de incorporación de las diferentes fuentes de datos.
  • Eventos disponibles para el consumo de SIEM: Proporciona el número de información que se envía a tu entorno SIEM.
  • Consumo de datos por SIEM: Proporciona el estado de consumo de datos.

• Pestaña Configuración: La pestaña Configuración contiene la información sobre la configuración de tu cuenta, la configuración del entorno SIEM y la selección de eventos de datos.

• Guía rápida de exportación de datos: Los administradores ahora pueden utilizar la Guía rápida, que simplifica la configuración y el mantenimiento de las integraciones de SIEM. El enlace Guía rápida de exportación de datos es accesible desde las pestañas Resumen y Configuración.

Para obtener más información, consulta Solución de problemas de exportación de datos.

24 de marzo de 2023

Cambio en la vista de perfil de usuario

Los datos de perfil de los usuarios relacionados con aplicaciones, ubicaciones, dispositivos y uso de datos de ShareFile no están disponibles en la página Información de usuario en la línea de tiempo del usuario. La siguiente información de usuario que proviene de Active Directory sigue estando disponible:

• Puesto
• Dirección
• Correo electrónico
• Teléfono
• Ubicación
• Organización

No hay cambios en los datos de perfil de usuario que se exportan a SIEM. Para obtener más información, consulta Perfil de usuario.

Eliminación de las sugerencias automáticas dinámicas de todas las vistas de búsqueda

La funcionalidad de sugerencia automática para dimensiones basada en los datos históricos del inquilino ahora está obsoleta para las siguientes páginas:

• Búsqueda de autoservicio
• Indicador de riesgo personalizado

Sin embargo, las sugerencias estáticas para dimensiones como Tipo de evento y Operaciones de portapapeles todavía están disponibles en el cuadro de búsqueda.

Para obtener más información, consulta Cómo usar la búsqueda de autoservicio.

21 de marzo de 2023

Panel de recomendaciones para ayudar a incorporar la fuente de datos de StoreFront™ local

Se ha introducido un nuevo panel de Recomendaciones en la página Fuentes de datos. El panel de Recomendaciones de la página Fuentes de datos informa al usuario sobre la importancia de incorporar las fuentes de datos de StoreFront locales. Ayuda al usuario a incorporar fácilmente las fuentes de datos de StoreFront locales y también le ofrece la opción de revisar y garantizar la incorporación de todas las fuentes de datos disponibles.

Para obtener más detalles, consulta Conectarse a una implementación de StoreFront.

23 de febrero de 2023

Problemas resueltos

Las acciones fallan para las implementaciones locales de Citrix Apps and Desktop donde la versión de Citrix Apps and Desktop es > 1912. Este problema se ha observado tanto en las acciones manuales como en las basadas en directivas. Este problema ya está solucionado. [CAS-69098]

La página de búsqueda de autoservicio para aplicaciones y escritorios muestra varios eventos de inicio y fin de aplicación cuando las aplicaciones virtuales se inician solo una vez. Este problema ocurre en las versiones del cliente de Citrix Workspace para Linux. Este problema ya está solucionado. [CAS-36236]

Es posible que los eventos de usuario del servicio Secure Private Access después del 4 de abril de 2022 y hasta finales de mayo de 2022 no estén disponibles en tus inquilinos de Citrix Analytics. Este problema ya está solucionado. [CAS-66897]

22 de febrero de 2023

Mejora en las notificaciones por correo electrónico semanales

Citrix Analytics envía notificaciones por correo electrónico semanales que ayudan a resumir las exposiciones a riesgos de seguridad de tu organización. La notificación por correo electrónico semanal se ha mejorado con las siguientes actualizaciones:

• Proporciona una vista de la distribución de riesgos de los usuarios: total de usuarios descubiertos, número de usuarios de riesgo y sin riesgo durante una semana
• Total de eventos procesados durante una semana
• Total de indicadores activados durante una semana
• Total de acciones realizadas durante una semana
• Total de fuentes de datos activadas para el procesamiento de datos

Para obtener más detalles, consulta Notificación por correo electrónico semanal.

Se agregó el campo Formato de archivo de descarga para el tipo de evento App.SaaS.File.Download

En la página de búsqueda de autoservicio para la fuente de datos de aplicaciones y escritorios, se ha agregado un nuevo campo Formato de archivo de descarga para el tipo de evento App.SaaS.File.Download. Con este cambio, ahora puedes configurar indicadores de riesgo personalizados para el campo Formato de archivo de descarga y también exportar el campo como parte del formato de exportación a CSV.

Para obtener más información, consulta Búsqueda de autoservicio para aplicaciones y escritorios.

Cambio en los campos derivados del navegador

Anteriormente, la página de búsqueda de autoservicio presentaba los campos Navegador, Versión principal del navegador y Versión secundaria del navegador para representar los nombres y las versiones del navegador. Sin embargo, para garantizar la claridad y la precisión, ahora estos tres campos están obsoletos y se reemplazan por Nombre del navegador y Versión del navegador en la búsqueda de autoservicio, la plantilla de indicadores personalizados y la descarga de CSV para la fuente de datos de aplicaciones y escritorios.

Para obtener más información, consulta Búsqueda de autoservicio para aplicaciones y escritorios.

16 de febrero de 2023

Problema resuelto

Los correos electrónicos semanales se ven afectados para algunos clientes de la UE y APS al obtener el estado de enmascaramiento de nombre de usuario para un inquilino. Como resultado, los administradores reciben 10 correos electrónicos semanales idénticos debido a la excepción. Una vez que ocurrió la excepción, los inquilinos siguientes no recibieron el correo electrónico semanal. Este problema ya está solucionado. [CAS-76138]

3 de febrero de 2023

Compatibilidad de Analytics con el servicio Citrix Secure Private Access™ disponible en las regiones de la Unión Europea y Asia Pacífico Sur

Citrix Analytics for Security ahora procesa eventos de usuario de Citrix Secure Private Access disponibles en la región de la Unión Europea y la región de Asia Pacífico Sur. Si tu organización está incorporada a Citrix Cloud desde la región de la Unión Europea o la región de Asia Pacífico Sur, puedes ver la información de riesgo de los usuarios que utilizan el servicio Secure Private Access.

Para obtener más información, consulta Fuentes de datos.

11 de enero de 2023

Eliminación de la capacidad de filtrado web de Secure Private Access

Se ha eliminado la capacidad de filtrado web de la categoría Secure Private Access. Las siguientes capacidades de Citrix Analytics for Security se ven afectadas debido a la obsolescencia del filtrado web basado en categorías por parte de Secure Private Access:

1. Los campos de datos como Grupo de categorías, Categoría y Reputación de URL ya no están disponibles en el panel de Citrix Analytics for Security.

2. El indicador de acceso a sitios web de riesgo que se basa en los mismos datos también está obsoleto y no se activa para los clientes.

3. Cualquier indicador de riesgo personalizado existente que utilice los campos de datos (Grupo de categorías, Categoría y Reputación de URL) y sus directivas asociadas ya no se activan.

4. Las pestañas Acceso de usuario y Acceso a aplicaciones.

5. Las exportaciones de SIEM seguirán teniendo los atributos urlcategory, urlcategorygroup y urlcategoryreputation durante algún tiempo con los siguientes valores ficticios:

   • 99999 para Categoría y Grupo de categorías
   • 0 para Reputación

Para obtener más información, consulta Búsqueda de autoservicio para Secure Private Access.

27 de diciembre de 2022

Cambio en el menú desplegable de la fuente de datos para la búsqueda de autoservicio

La lista de fuentes de datos se ha cambiado para reflejar Sesiones de forma predeterminada en lugar de Aplicaciones y escritorios en la página de búsqueda de autoservicio. Además, la sección de rendimiento se ha movido a la parte superior, seguida de la sección de seguridad, ya que las fuentes de datos de rendimiento no eran visibles.

Para obtener más información, consulta Búsqueda de autoservicio.

13 de diciembre de 2022

Mejora del panel de usuarios

El panel de usuarios se ha renovado con resúmenes y gráficos para ayudar a los administradores a supervisar la postura de seguridad de la organización. La vista no solo proporciona detalles de los usuarios descubiertos, los indicadores de riesgo activados y las acciones aplicadas, sino que también ofrece una línea de tendencia basada en el tiempo de métricas críticas para una mejor evaluación de los riesgos. Los administradores pueden profundizar en los datos de interés y navegar a los paneles relevantes con el contexto adecuado para un análisis de riesgos más rápido.

Para obtener más información, consulta Panel de usuarios.

5 de diciembre de 2022

Panel de garantía de acceso: Red de inicio de sesión

La sección Red de inicio de sesión se ha agregado recientemente y proporciona los siguientes detalles de usuario:

• Las organizaciones asociadas con las direcciones IP desde las que los usuarios han iniciado sesión.

• El total de subredes públicas y privadas únicas desde las que los usuarios han iniciado sesión.

• Los detalles de que el usuario ha iniciado sesión utilizando proxies y servicios VPN privados.

Utilizando estos detalles adicionales, un administrador puede validar los detalles de inicio de sesión del usuario y asegurarse de que el inicio de sesión del usuario se encuentra dentro de las expectativas de seguridad de la organización.

Para obtener más detalles, consulta Panel de garantía de acceso.

18 de noviembre de 2022

Problema resuelto

• Se han corregido los indicadores de geocerca que se activaban erróneamente sin tener ningún evento de origen. [CAS-73222]

8 de noviembre de 2022

Renombrar acciones

Algunas de las acciones utilizadas en Citrix Analytics for Security se han renombrado para proporcionar mayor claridad. Esas acciones son:

• Notificar a los administradores - Notificar al (a los) administrador(es)
• Bloquear usuario - Bloquear cuenta de usuario
• Cerrar sesión de usuario - Cerrar sesiones activas
• Desbloquear usuario - Desbloquear cuenta de usuario
• Deshabilitar usuario - Deshabilitar cuenta de usuario

Para obtener más información, consulta ¿Cuáles son las acciones?.

Problemas resueltos

• Si seleccionas una opción del menú desplegable de acciones de la línea de tiempo, no puedes activar ninguna acción manual, ya que los botones Borrar y Aplicar no están visibles. Esta condición ocurre en la última versión de Firefox. Este problema ya está solucionado. [CAS-72051]

• Las categorías HardDrive, harddrive y HDD se combinan en una única categoría como Unidad de disco duro para el campo Download-Device-Type en la búsqueda de autoservicio para la fuente de datos de aplicaciones y escritorios. [CAS-67188]

• A veces, se reciben notificaciones duplicadas de Microsoft Graph con el mismo ID de alerta, lo que provoca la creación de eventos de riesgo duplicados. Se implementa un mecanismo de deduplicación dentro de las aplicaciones para evitar este problema. [CAS-66731]

19 de octubre de 2022

Selección y exportación de eventos de la fuente de datos

Ahora puedes aprovechar el nuevo flujo de trabajo de exportación de eventos de datos para exportar eventos de la fuente de datos, además de los eventos de información de riesgo generados por aprendizaje automático y los datos asociados.

Esto permite a los administradores de seguridad y operaciones de seguridad (SOC):

• Correlacionar datos de Citrix Analytics con otros eventos de la fuente de datos agregados en la información de seguridad y la gestión de eventos (SIEM).

• Controlar qué eventos de datos fluyen a los SIEM para optimizar los costos de almacenamiento.

Los eventos de datos se entregan a tus integraciones de SIEM y conectores de datos existentes y en paridad con lo que está disponible en nuestra vista de búsqueda de eventos de autoservicio.

Para obtener más información, consulta Eventos de datos exportados de Citrix Analytics for Security a tu servicio SIEM.

18 de octubre de 2022

Permitir al administrador ejecutar acciones de grabación de sesiones dinámicas en sitios de Citrix DaaS™

Los administradores ahora pueden ejecutar acciones de grabación de sesiones dinámicas en sitios de Citrix DaaS y grabar dinámicamente las sesiones virtuales de los usuarios. Pueden configurar la acción con una directiva para iniciar automáticamente la grabación de sesiones de usuario en caso de que Citrix Analytics for Security detecte una actividad de riesgo por parte de un usuario determinado.

Para obtener más información, consulta ¿Cuáles son las acciones?.

14 de octubre de 2022

Proporcionar comentarios para los indicadores de riesgo de usuario

Los administradores de Citrix Analytics for Security ahora pueden informar si los indicadores de riesgo de usuario son útiles o no, proporcionando comentarios en el panel de detalles de los indicadores. Esta función permite a los administradores informar sobre falsos positivos, reducir el ruido de los indicadores que se activan con frecuencia y compartir contexto adicional con otros administradores. Como resultado adicional, el indicador de riesgo inútil se oculta de la línea de tiempo del usuario y la puntuación de riesgo del usuario se recalibra.

Para obtener más información, consulta Proporcionar comentarios para los indicadores de riesgo de usuario.

26 de septiembre de 2022

Garantía de acceso para admitir la lista de bloqueo de geocercas

Las pestañas Ubicación segura y Ubicación de riesgo se agregan en la configuración de geocercas.

• La geocerca de ubicación segura ayuda a identificar y restringir el acceso fuera de un área geocercada definida.
• La geocerca de ubicación de riesgo ayuda a detectar y reducir el acceso de usuarios de riesgo según el comportamiento conocido de la organización.

Ambas geocercas, segura y de riesgo, están respaldadas por sus propios indicadores de riesgo personalizados preconfigurados.

Para obtener más información, consulta Habilitar geocercas.

Problemas resueltos

• API de Citrix Cloud para mostrar el Nombre del cliente en el cuerpo del correo electrónico. Ahora, el correo electrónico utiliza el apodo para mostrar el Nombre del cliente en el cuerpo del correo electrónico enviado a los administradores. [CAS-65350]

• La tarjeta de la fuente de datos de Citrix Gateway es común entre Citrix Analytics for Security y Citrix Analytics for Performance™. El procesamiento de datos invocaba constantemente el punto final de Citrix Analytics for Security y estaba roto para los clientes que solo tenían derecho a Citrix Analytics for Performance. [CAS-70817]

• Cuando se reciben más de un mensaje de derecho simultáneamente de Citrix Cloud, se produce una condición de carrera al actualizar la caché de Redis. En tal escenario, un mensaje de derecho se actualiza en la caché y los restantes desaparecen. Este problema ya está solucionado para actualizar todos los mensajes de derecho en la caché. [CAS-70823]

13 de septiembre de 2022

Mejora del panel de enlaces compartidos

El panel de enlaces compartidos se ha renovado con una vista de resumen y una vista detallada. La vista de resumen consta de las principales acciones activas y las principales acciones de riesgo. La vista detallada proporciona más información al administrador con la introducción de atributos creados por, recuento de actividad, tipo de autenticación, permiso, tipo de acción y contenido. El administrador puede profundizar y filtrar aún más según sea necesario y cambiar/proporcionar el período de tiempo para ver los datos de interés.

Para obtener más información, consulta Panel de enlaces compartidos.

9 de septiembre de 2022

Mejora del indicador de riesgo de viaje imposible

Los indicadores de riesgo de viaje imposible se han mejorado para informar sobre la organización de registro y el tipo de enrutamiento de las direcciones IP del cliente. Estos nuevos campos están disponibles tanto en las vistas de detalles del indicador de la línea de tiempo del usuario como en los detalles del indicador enviados a SIEM.

Para obtener más información sobre las directivas predeterminadas, consulta los siguientes artículos:

• Evaluación continua de riesgos.
• Directivas y acciones

19 de agosto de 2022

Habilitar la telemetría de impresión de VDA

Un evento llamado VDA.Print se activa cuando se inicia un trabajo de impresión en Citrix Apps and Desktops. Los eventos VDA Print también están disponibles en las páginas Búsqueda de autoservicio e Indicadores de riesgo personalizados.

• Búsqueda de autoservicio: Puedes ver los resultados de VDA.Print junto con todos los detalles de sus atributos.
• Indicadores de riesgo personalizados: Se proporcionan nuevos eventos para la telemetría de impresión de VDA a través de EventHub y también están disponibles dentro del indicador personalizado. Puedes usar estos pares clave/valor de evento para configurar activadores de indicadores personalizados.

Para habilitar la telemetría de impresión y la transmisión de registros de impresión a Citrix Analytics for Security, debes crear claves de registro y configurar tu VDA. Estos registros de impresión proporcionan información vital sobre las actividades de impresión, como los nombres de las impresoras, los nombres de los archivos de impresión y el total de copias impresas. Como administrador de seguridad, puedes usar estos registros para analizar el riesgo e investigar a tus usuarios.

Para obtener más información, consulta Habilitar la telemetría de impresión para Citrix DaaS.

18 de agosto de 2022

Problema resuelto

• En la búsqueda de autoservicio para aplicaciones y escritorios y en la página de inicios de sesión de usuario del panel de ubicación de garantía de acceso, el valor de la versión de la aplicación Workspace se rellenaba como NA (no disponible) en el archivo CSV descargado, mientras que estaba disponible en la vista de la página. Este problema ya está solucionado. [CAS-70361]

17 de agosto de 2022

Personalización del correo electrónico del usuario final por directiva

Ahora puedes personalizar el contenido del correo electrónico enviado a los usuarios finales por directiva. Específicamente, cuando creas una directiva con la acción de Solicitud de respuesta del usuario final o una acción disruptiva en la cuenta del usuario (como Cerrar sesión de usuario y Bloquear usuario), el contenido del correo electrónico enviado a los usuarios finales cuando se aplica la directiva es personalizable.

Para obtener más información sobre cómo personalizar el correo electrónico del usuario final por directiva, consulta Directivas y acciones.

11 de agosto de 2022

Se han agregado nuevas preguntas sobre Garantía de acceso – Geolocalización en el artículo Preguntas frecuentes. Para obtener más detalles, consulta Preguntas frecuentes.

Problema resuelto

• El botón Ver todas las notificaciones redirigía al administrador a https://citrix.cloud.com/notifications, un enlace de correo electrónico semanal que tenía un error tipográfico. [CAS-69236]

17 de junio de 2022

El procesamiento de datos está habilitado de forma predeterminada para los nuevos derechos de pago

Anteriormente, los clientes con nuevos derechos de pago para Citrix Analytics for Security tenían que activar el procesamiento de datos en la tarjeta de sitio de fuentes de datos específicas para comenzar a procesar datos para esas fuentes de datos.

Con esta versión, cuando se aprovisiona el nuevo derecho de pago para Citrix Analytics for Security, el procesamiento de datos se activa de forma predeterminada para los siguientes servicios de Citrix Cloud:

• Citrix Secure Private Access
• Citrix Content Collaboration™
• Citrix DaaS

Para obtener más información, consulta Introducción.

9 de junio de 2022

Problema resuelto

• Los indicadores de riesgo de Microsoft Graph generados por la protección de identidad de Azure AD y Microsoft Defender para Endpoint pueden mostrarse varias veces en Security Analytics. Este problema ya está solucionado. [CAS-66593, CAS-66731]

2 de junio de 2022

Problemas resueltos

• En la búsqueda de autoservicio para directivas, al seleccionar la dimensión Nombre de directiva en tu consulta de búsqueda para filtrar eventos, se sugería una lista de directivas no válidas junto con las directivas válidas para Security Analytics. [CAS-66838]

• El tamaño del archivo de descarga de los eventos File.Download de Windows Citrix Receiver se mostraba incorrectamente en la búsqueda de autoservicio. Este problema surgió porque el valor real estaba en KB y la interfaz de usuario trataba el valor como bytes, lo que provocaba que se mostraran valores incorrectos a los usuarios. [CAS-67105]

24 de mayo de 2022

Introducción de indicadores de riesgo de viaje imposible para Content Collaboration, Citrix DaaS y Citrix Virtual Apps and Desktops, y fuentes de datos de Gateway

Si el usuario inicia sesión desde dos ubicaciones que están demasiado lejos para viajar dentro del tiempo transcurrido, Citrix Analytics detecta esta actividad como un escenario de viaje imposible y activa el indicador de riesgo de Viaje imposible. Para obtener más información sobre los indicadores de riesgo de viaje imposible, consulta los siguientes artículos:

• Indicadores de riesgo de Citrix Content Collaboration

• Indicadores de riesgo de Citrix Gateway

• Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS

17 de mayo de 2022

Virtual Apps and Desktops se renombra a Apps and Desktops

En los paneles e informes de Security Analytics y en los datos enviados por Security Analytics a tu servicio SIEM, todas las etiquetas de Virtual Apps and Desktops ahora se actualizan como Apps and Desktops para alinearse con el nombre del producto renombrado.

Por ejemplo, en la página Fuentes de datos, las etiquetas de Virtual Apps and Desktops se renombran como Apps and Desktops.

La etiqueta Apps and Desktops representa tanto Citrix Virtual Apps and Desktops local como Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) en tu organización.

Problemas resueltos

Citrix Analytics no descubre automáticamente los sitios de Citrix DaaS Cloud Monitor o Director que están asociados con tu cuenta de Citrix Cloud. [CAS-66801]

5 de abril de 2022

Novedades

Secure Workspace Access se renombra a Secure Private Access

En los paneles e informes de Analytics, todas las etiquetas de Secure Workspace Access ahora se actualizan como Secure Private Access para alinearse con el nombre del producto renombrado.

Por ejemplo, en la página Fuentes de datos y en la página de búsqueda de autoservicio, las etiquetas de Secure Workspace Access se renombran como Secure Private Access.

21 de marzo de 2022

Problema resuelto

• En la página Crear indicador de riesgo, las sugerencias automáticas para dimensiones y operadores no funcionan si la condición anterior de tu consulta de búsqueda contiene un valor de dimensión separado por un espacio.

  Por ejemplo, en la siguiente consulta, las sugerencias automáticas dejan de funcionar después de seleccionar la ciudad como San Jose. Este problema ya está solucionado. [CAS-64126]

  

10 de marzo de 2022

Novedades

Mejoras en el correo electrónico de notificación del administrador

• La notificación por correo electrónico para la acción Notificar al (a los) administrador(es) ahora proporciona los detalles de los múltiples indicadores de riesgo asociados con una directiva activada.

• Puedes ver el nombre, el nivel de gravedad y la fecha de activación de cada indicador de riesgo asociado con la directiva.

• Haz clic en Ver detalles de riesgo para abrir la página de la línea de tiempo del usuario en Citrix Analytics y ver el último indicador de riesgo que activó la directiva. En la página de la línea de tiempo del usuario, también puedes ver todos los indicadores de riesgo activados para el usuario.

Para obtener más información sobre la acción Notificar al (a los) administrador(es), consulta Directivas y acciones.

Problema resuelto

Citrix Analytics no recibe eventos de usuario de la fuente de datos Secure Workspace Access. Por lo tanto, no ves los eventos de usuario en la página de búsqueda de autoservicio correspondiente. Además, no puedes crear indicadores de riesgo personalizados para la fuente de datos Secure Workspace Access. [CAS-64619]

3 de marzo de 2022

Novedades

Aplicar manualmente la solicitud de respuesta del usuario final

Anteriormente, solo podías aplicar la acción Solicitar respuesta del usuario final en una cuenta de usuario creando una directiva. Con esta versión, puedes seleccionar la acción de la lista Acciones en la línea de tiempo del usuario y aplicar manualmente esta acción a un indicador de riesgo.

Para obtener más información sobre la acción y cómo aplicar acciones manualmente, consulta Directivas y acciones.

Mejoras en la solicitud de respuesta del usuario final para la directiva

Cuando creas una directiva con la acción Solicitar respuesta del usuario final, ves las siguientes mejoras:

• Después de seleccionar Notificar al (a los) administrador(es) como la siguiente acción, ahora puedes ver las listas de distribución de correo electrónico predeterminadas y creadas entre las que puedes elegir.

  

• Ahora puedes seleccionar una de las acciones de Citrix Content Collaboration o Citrix Virtual Apps and Desktops y Citrix DaaS como la siguiente acción. Anteriormente, solo podías seleccionar una de las acciones globales o las acciones de Citrix Gateway.

  

Para obtener más información sobre la acción, consulta Directivas y acciones.

23 de febrero de 2022

Novedades

Acciones recomendadas para un indicador de riesgo

Citrix Analytics te sugiere aplicar acciones como Notificar al (a los) administrador(es), Agregar a la lista de seguimiento y Crear una directiva cuando se activan los siguientes indicadores de riesgo para un usuario:

• Fallo de autenticación inusual (fuente de datos de Content Collaboration)

• Fallo de autenticación inusual (fuente de datos de Gateway)

• Inicio de sesión sospechoso (fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS)

Cuando vas a la línea de tiempo del usuario y seleccionas el indicador de riesgo, puedes ver todas las acciones sugeridas en la sección ACCIÓN RECOMENDADA.

Por ejemplo, en el indicador de riesgo de fallo de autenticación inusual, puedes ver las siguientes acciones recomendadas:

Esta función proporciona orientación para elegir una acción que puedes tomar según la gravedad del riesgo que representa el usuario. Sin embargo, también puedes tomar una acción adecuada que esté fuera de la lista recomendada y según tu análisis de riesgos.

Problema resuelto

• Si tu organización está incorporada a Citrix Cloud en la región de origen Asia Pacífico Sur, es posible que Citrix Analytics no reciba eventos de usuario de la fuente de datos de autenticación. Por lo tanto, es posible que no veas los eventos de usuario en la página de búsqueda de autoservicio correspondiente. Este problema está solucionado. [CAS-62300]

17 de febrero de 2022

Novedades

Recopilación de datos e informes mejorados para la fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS

Con esta versión, ves los siguientes cambios:

• Mejoras en la recopilación, correlación e informes de eventos de los clientes de la aplicación Citrix Workspace y del servicio Citrix Monitor.

• Mejoras en la calidad de los eventos recibidos de los usuarios y las versiones de los clientes, que se pueden utilizar para la búsqueda de autoservicio, los indicadores de riesgo personalizados y la detección general de riesgos.

Compatibilidad con plantillas contextuales para los eventos de sesión y los eventos de aplicación en Content Collaboration

En la página de búsqueda de autoservicio, ahora puedes ver los detalles de solo los campos relevantes asociados con los eventos de archivo, carpeta, sesión, recurso compartido y usuario. Se eliminan los campos no aplicables para los eventos.

Por ejemplo, puedes ver los siguientes detalles de los eventos File.Copy:

• ID de archivo

• ID de copia de archivo

• Ruta de archivo

• Ruta de archivo de destino

• ID de flujo

• ID de zona

Estos detalles te ayudan durante la investigación y el análisis de riesgos de una cuenta de usuario asociada con un comportamiento de riesgo. Puedes profundizar en los atributos específicos de un evento que parece ser de riesgo.

Para obtener más información sobre los campos, consulta Búsqueda de autoservicio para Content Collaboration.

10 de febrero de 2022

Novedades

Valores sugeridos automáticamente para las dimensiones en el indicador de riesgo personalizado

En la página del indicador de riesgo personalizado, cuando seleccionas una dimensión y un operador válido en la barra de condiciones, los valores de la dimensión se muestran automáticamente. Selecciona un valor de la lista de sugerencias automáticas o introduce manualmente un valor según tus casos de uso. Cuando escribes un valor, se sugieren automáticamente los valores coincidentes disponibles en los registros.

La lista de valores sugeridos para una dimensión es predefinida (valores conocidos) en la base de datos o se basa en eventos históricos.

Por ejemplo, cuando seleccionas la dimensión Event-Type y el operador de asignación, se sugieren automáticamente los valores conocidos. Puedes seleccionar un valor según tus requisitos.

Para obtener más información, consulta Indicadores de riesgo personalizados.

9 de febrero de 2022

Novedades

Nuevos roles personalizados para los administradores

Como administrador de Citrix Cloud con permiso de acceso completo, puedes invitar a otros administradores a administrar Security Analytics en tu organización. Ahora puedes asignar los siguientes roles personalizados a los administradores invitados:

• Security Analytics: Administrador completo

• Security Analytics: Administrador de solo lectura

Utilizando el rol personalizado, puedes proporcionar permisos de solo lectura o de acceso completo a tus administradores y permitirles administrar las diversas funciones de Security Analytics.

Para obtener más información sobre los permisos de acceso para estos roles personalizados, consulta Administrar roles de administrador para Security Analytics.

Compatibilidad con notificaciones por correo electrónico para administradores de acceso personalizado

Si eres un administrador de Citrix Cloud con permisos de acceso personalizado (solo lectura o acceso completo) para administrar Security Analytics, ahora recibes las siguientes notificaciones:

• Notificaciones semanales sobre los riesgos de seguridad detectados en tu organización. Para obtener más información, consulta Notificación por correo electrónico semanal.

• Notificaciones sobre los indicadores de riesgo cuando la acción Notificar al (a los) administrador(es) se aplica manualmente o se activa mediante una directiva. Para obtener más información, consulta Directivas y acciones.

28 de enero de 2022

Novedades

Introducción de indicadores de riesgo de inicio de sesión sospechoso para Content Collaboration y fuentes de datos de Gateway

Citrix Analytics for Security ahora detecta inicios de sesión de usuario que son de naturaleza sospechosa basándose en múltiples factores contextuales como:

• La ubicación se considera inusual con respecto al usuario y al historial de la organización.

• El dispositivo se considera inusual con respecto al usuario y al historial de la organización.

• La red se considera inusual con respecto al usuario y al historial de la organización.

• La dirección IP se considera sospechosa basándose en las fuentes de inteligencia de amenazas IP.

Cuando un usuario inicia sesión desde un contexto sospechoso basado en la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo de acceso desde una ubicación inusual asociado con las fuentes de datos de Citrix Content Collaboration y Citrix Gateway. Cualquier directiva existente que se base en el indicador de riesgo de acceso desde una ubicación inusual se vincula automáticamente al nuevo indicador de riesgo: inicio de sesión sospechoso.

Para obtener más información sobre los indicadores de riesgo, consulta Inicio de sesión sospechoso: Content Collaboration e Inicio de sesión sospechoso: Gateway.

Para obtener más información sobre el esquema de los indicadores de riesgo, consulta Formato de datos de Citrix Analytics para SIEM.

20 de enero de 2022

Novedades

Integración de Microsoft Azure Active Directory

Ahora puedes conectar tu Azure Active Directory con Citrix Analytics for Security para:

• Importar los detalles del usuario y los grupos de usuarios del dominio de tu organización a Citrix Analytics for Security.

• Enriquecer los perfiles de usuario con detalles adicionales como el puesto de trabajo, la organización, la ubicación de la oficina, el correo electrónico y los datos de contacto, lo que te ayuda durante la investigación y el análisis de riesgos.

Para obtener más información, consulta Integración de Azure Active Directory.

18 de enero de 2022

Novedades

Compatibilidad con las acciones de enlaces compartidos en todos los indicadores de riesgo de Content Collaboration

Anteriormente, podías aplicar las acciones de enlaces compartidos (Caducar todos los enlaces y Cambiar enlace a solo lectura) en los siguientes indicadores de riesgo basados en enlaces compartidos asociados con el servicio Content Collaboration:

• Descarga anónima de enlaces compartidos sensibles

• Descargas excesivas de enlaces compartidos

• Uso compartido excesivo de archivos

Con esta versión, ahora puedes aplicar las acciones de enlaces compartidos en los siguientes indicadores de riesgo basados en el usuario asociados con el servicio Content Collaboration:

• Acceso desde una ubicación inusual

• Acceso excesivo a archivos sensibles

• Cargas excesivas de archivos

• Descargas excesivas de archivos

• Eliminación excesiva de archivos o carpetas

• Archivos de malware detectados

• Actividad de ransomware sospechosa

• Fallos de autenticación inusuales

También puedes aplicar las acciones de enlaces compartidos en los indicadores de riesgo personalizados asociados con el servicio Content Collaboration.

Para obtener más información sobre las acciones y los indicadores de riesgo, consulta los siguientes artículos:

• Directivas y acciones

• Indicadores de riesgo de Content Collaboration

• Indicadores de riesgo personalizados

La integración con SIEM ya está disponible de forma general

Puedes integrar Citrix Analytics for Security con tus servicios de Gestión de eventos e información de seguridad (SIEM) y exportar los datos de los usuarios del entorno de TI de Citrix a tu SIEM. La integración te ayuda a correlacionar los datos recopilados de varias fuentes y a obtener una visión holística de la seguridad de tu organización.

Actualmente, puedes integrar Citrix Analytics for Security con los siguientes servicios:

• Splunk

• Microsoft Sentinel

• Elasticsearch

• Otros servicios SIEM mediante un conector de datos basado en Kafka o Logstash

Para obtener más información, consulta Integración de Gestión de eventos e información de seguridad (SIEM).

23 de diciembre de 2021

Novedades

Mejoras en los indicadores de riesgo de enlaces compartidos

Se realizan las siguientes mejoras:

• Ahora puedes crear una directiva con el indicador de riesgo Descarga anónima de enlaces compartidos sensibles.

• El indicador de riesgo Descarga anónima de recursos compartidos sensibles se renombra como Descarga anónima de enlaces compartidos sensibles para distinguirlo como un indicador de riesgo de enlaces compartidos.

• El indicador de riesgo Descargas excesivas se renombra como Descargas excesivas de enlaces compartidos para distinguirlo como un indicador de riesgo de enlaces compartidos y para diferenciarlo del indicador de riesgo basado en el usuario Descargas excesivas de archivos.

Para obtener más información, consulta Indicadores de riesgo de enlaces compartidos de Citrix.

21 de diciembre de 2021

Novedades

Enviar notificaciones sobre indicadores de riesgo a tus administradores que no son de Citrix Cloud

Ahora puedes notificar a los administradores que no son de Citrix Cloud en tu organización con la acción Notificar al (a los) administrador(es).

Para notificar a estos administradores, crea una lista de distribución de correo electrónico. Selecciona a los administradores en la lista de distribución de correo electrónico desde los dominios externos que están conectados a Citrix Cloud o utilizando sus direcciones de correo electrónico directamente. Al aplicar la acción Notificar al (a los) administrador(es), selecciona la lista de distribución de correo electrónico que contiene a los administradores que no son de Citrix Cloud.

Para obtener más información, consulta Lista de distribución de correo electrónico.

20 de diciembre de 2021

Novedades

Enviar notificaciones de respuesta de usuario a tus usuarios de Content Collaboration

Además de tus usuarios de Active Directory, ahora puedes aplicar la acción Solicitar respuesta del usuario final a tus usuarios de Content Collaboration.

Esta acción envía notificaciones por correo electrónico a los usuarios cuando Citrix Analytics detecta actividades inusuales en sus cuentas de Citrix. Para obtener más información sobre la acción Solicitar respuesta del usuario final, consulta Directivas y acciones.

Control de acceso se renombra a Secure Workspace Access

En los paneles e informes de Security Analytics, todas las etiquetas de Control de acceso ahora se actualizan como Secure Workspace Access para alinearse con el nombre del producto renombrado.

Por ejemplo, en la página Fuentes de datos, la página de búsqueda de autoservicio y la página de Directivas, las etiquetas de Control de acceso se renombran como Secure Workspace Access.

Problema resuelto

• Para la fuente de datos de aplicaciones y escritorios, cuando descargas el informe de búsqueda como un archivo CSV, algunos valores de campo en el archivo CSV se muestran como no disponibles (N/A) aunque sus valores estén disponibles. Por ejemplo, los valores de los campos como Download File Name, Session Launch Type y Workspace App Version se muestran en la página de búsqueda de autoservicio, pero en el archivo CSV descargado, ves estos valores como no disponibles (N/A). Este problema ya está solucionado. [CAS-62299]

9 de diciembre de 2021

Novedades

Crea tus indicadores de riesgo personalizados fácilmente con plantillas

Ahora puedes seleccionar una plantilla basada en tu caso de uso y crear un indicador de riesgo personalizado. Las plantillas te guían proporcionando consultas y parámetros predefinidos. Esto facilita tu esfuerzo al crear un indicador de riesgo personalizado.

Para obtener más información, consulta Indicadores de riesgo personalizados.

7 de diciembre de 2021

Problema resuelto

• En Citrix Analytics for Security, no recibes los eventos de los usuarios que utilizan Citrix Secure Browser que se lanzó en septiembre de 2021. El problema existe porque la directiva Seguimiento de nombre de host no es visible en Citrix Secure Browser después del lanzamiento de septiembre de 2021 y, por lo tanto, no se puede habilitar para integrarse con Citrix Analytics for Security. Este problema ya está solucionado. [CAS-62254]

2 de diciembre de 2021

Novedades

Indicador de riesgo de archivos de malware detectados

Ahora puedes recibir una alerta cuando un usuario carga un archivo infectado en Content Collaboration.

El indicador de riesgo detecta un archivo infectado por malware, como troyanos, virus o cualquier otra amenaza maliciosa. Proporciona visibilidad de los detalles del archivo malicioso, como el propietario del archivo, el nombre del virus y la ubicación del archivo.

El factor de riesgo asociado con el indicador de riesgo Archivos de malware detectados es el indicador de riesgo basado en archivos.

Para obtener más información sobre el indicador de riesgo y las acciones que puedes aplicar, consulta el indicador de riesgo de archivos de malware detectados.

Nuevas acciones para la fuente de datos de Content Collaboration

Puedes aplicar las siguientes acciones cuando se activa el indicador de riesgo Archivos de malware detectados para un usuario:

• Eliminar permiso de acceso a la carpeta. Puedes bloquear el permiso de acceso del usuario que carga el archivo infectado. El usuario no puede acceder a la carpeta donde se cargó el archivo infectado.

• Eliminar permiso de carga a la carpeta. Puedes bloquear el permiso de carga del usuario que carga el archivo infectado. El usuario no puede cargar un archivo a la carpeta donde se cargó el archivo infectado.

Para obtener más información sobre las acciones para Content Collaboration, consulta Directivas y acciones.

29 de noviembre de 2021

Novedades

Mejoras en la configuración de correo electrónico para notificaciones de usuario

Como administrador, ahora puedes agregar una imagen de banner, encabezado y texto de pie de página en la plantilla de correo electrónico de respuesta del usuario. Estos campos mejoran la legitimidad de tu correo electrónico, aumentando así la atención y las respuestas de los usuarios a tu correo electrónico.

Para obtener más información, consulta Configuración de correo electrónico del usuario final.

26 de noviembre de 2021

Novedades

Cambios en el menú de indicadores de riesgo personalizados y directivas

Se actualizan los enlaces de navegación de las siguientes funciones:

• Indicadores de riesgo personalizados: Usa esta función haciendo clic en Seguridad > Indicadores de riesgo personalizados.

• Directivas: Usa esta función haciendo clic en Seguridad > Directivas.

  

25 de noviembre de 2021

Novedades

Mejoras en la integración de Gestión de eventos e información de seguridad (SIEM)

Nota

Esta integración está en vista previa.

Ahora puedes integrar Citrix Analytics for Security con los siguientes servicios SIEM:

• Microsoft Sentinel

• Elasticsearch con servicios de visualización como Kibana y servicios SIEM como LogRythm

• Cualquier otro servicio SIEM que utilice el motor de recopilación de datos de Logstash

Según tus necesidades comerciales, importa los datos de los usuarios de Citrix Analytics for Security a tu servicio SIEM. Esta integración permite a tus equipos de operaciones de seguridad correlacionar, analizar y buscar datos de registros dispares dentro de los servicios SIEM de tu organización, ayudándoles a identificar y remediar rápidamente los riesgos de seguridad.

Para obtener más información, consulta Integración de Gestión de eventos e información de seguridad (SIEM).

9 de noviembre de 2021

Problema resuelto

• En algunos inquilinos, las directivas de usuario no funcionan. Este problema ocurrió cuando las alertas para las aplicaciones virtuales tenían valores de cadena vacíos para los dominios. Este problema ya está solucionado. [CAS-60920]

2 de noviembre de 2021

Novedades

Ver perfiles de acceso y detalles de inicio de sesión de los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS

En el panel Ubicación de garantía de acceso, puedes ver los perfiles de acceso y los detalles de inicio de sesión de los usuarios que han iniciado sesión en aplicaciones virtuales y escritorios virtuales. Esta información te ayuda durante la investigación y el análisis de amenazas.

• La página Perfil de acceso proporciona el resumen de los accesos de los usuarios desde las ubicaciones seleccionadas. Puedes ver el análisis de tendencias y los principales eventos de acceso del total de usuarios y los inicios de sesión de usuarios únicos.

  

• La página Inicios de sesión de usuario proporciona los detalles de los inicios de sesión de usuario en aplicaciones virtuales y escritorios virtuales desde las ubicaciones seleccionadas.

  

Para obtener más información, consulta el panel Ubicación de garantía de acceso.

Ver registros de malware en la página de búsqueda de autoservicio para Content Collaboration

En la página de autoservicio para Content Collaboration, ahora puedes ver el evento de malware File.VirusInfected y sus registros asociados. Este evento se activa cuando un usuario de Content Collaboration carga un archivo infectado con malware.

Para obtener más información, consulta Búsqueda de autoservicio para Content Collaboration.

Problema resuelto

• Algunos usuarios de Content Collaboration se configuran incorrectamente como no empleados al procesar los eventos en Citrix Analytics. Por lo tanto, los usuarios no se identifican como usuarios descubiertos. Este problema ya está solucionado. [CAS-59608]

20 de octubre de 2021

Novedades

Integración del servidor de grabación de sesiones

Para tu implementación de Citrix Virtual Apps and Desktops y Citrix DaaS, ahora puedes configurar tus servidores de grabación de sesiones para enviar los eventos de usuario a Citrix Analytics for Security. Estos eventos de usuario se procesan para proporcionar información útil sobre el comportamiento de los usuarios.

En la página Fuentes de datos > Seguridad, ve a la tarjeta de sitio Virtual Apps and Desktops. En la tarjeta de sitio Grabación de sesiones, haz clic en los puntos suspensivos verticales (⋮) y luego selecciona Conectar servidor de grabación de sesiones.

Para obtener más información, consulta Conectarse a la implementación de grabación de sesiones.

19 de octubre de 2021

Novedades

Mejoras en la plantilla de correo electrónico de notificación del administrador

La notificación por correo electrónico que recibe un administrador después de aplicar la acción Notificar al (a los) administrador(es) se ha mejorado para proporcionar una mejor información sobre los eventos de riesgo del usuario.

• La notificación ahora proporciona información detallada sobre el indicador de riesgo activado o la directiva aplicada. Por ejemplo, puedes ver la gravedad y la hora de activación de los indicadores de riesgo predeterminados y personalizados. La estructura del contenido se ha mejorado para una mejor legibilidad.

• Los administradores ahora pueden acceder a la línea de tiempo del usuario directamente desde la notificación por correo electrónico y ver los detalles sobre los eventos de riesgo.

• Se ha agregado una opción de comentarios en la notificación. Esta opción ayuda a recopilar las respuestas de los administradores y a mejorar continuamente el contenido de la notificación en función de las respuestas.

Para obtener más información sobre la acción Notificar al (a los) administrador(es), consulta Directivas y acciones.

Mejoras en el resumen de inicio de sesión de usuario

• Ahora puedes ver la tendencia ascendente o descendente de los inicios de sesión de usuario para el total mundial de inicios de sesión de usuario y los inicios de sesión de usuario únicos a nivel mundial.

  

• La columna DESVIACIÓN en la tabla Ubicaciones de inicio de sesión únicas muestra el cambio ascendente o descendente en los inicios de sesión de usuario únicos para una ubicación particular.

  

Estas métricas te ayudan a comprender cómo han cambiado los inicios de sesión de usuario (positiva o negativamente) con respecto al período anterior. Proporciona visibilidad de las interacciones del usuario con tus implementaciones de Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información, consulta Panel de ubicación de garantía de acceso.

Problema resuelto

• En el panel Ubicación de garantía de acceso, las tarjetas Resumen de inicio de sesión de usuario no muestran las métricas de inicio de sesión de usuario (inicios de sesión de usuario totales a nivel mundial, inicios de sesión de usuario únicos a nivel mundial y países con inicios de sesión de usuario) cuando ningún usuario inicia sesión desde fuera de las áreas de geocerca. Este problema ya está solucionado. [CAS-59595]

1 de octubre de 2021

Novedades

Ver registros de auditoría en la búsqueda de autoservicio para Content Collaboration

En la búsqueda de autoservicio para Content Collaboration, ahora puedes ver los registros de auditoría. Estos registros proporcionan información sobre los permisos y las acciones aplicadas en las cuentas de usuario por los administradores de Content Collaboration. Utilizando estos datos, puedes verificar si los administradores de Content Collaboration han tomado acciones válidas en sus cuentas de usuario. Como administrador de seguridad, te ayuda durante la investigación y el análisis de riesgos.

Para obtener más información sobre los registros de auditoría, consulta Búsqueda de autoservicio para Content Collaboration.

Problema resuelto

Los administradores que inician sesión en Citrix Cloud utilizando Azure AD no pueden acceder al servicio Citrix Analytics cuando el ID de sesión caducado anterior llega junto con el nuevo ID de sesión. Este problema ya está solucionado. [CAS-59385]

29 de septiembre de 2021

Novedades

El panel de ubicación de garantía de acceso ya está disponible de forma general

El panel proporciona visibilidad de las ubicaciones de tus usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS. Puedes identificar a los usuarios cuyas ubicaciones son inusuales habilitando la geocerca y aplicando las acciones adecuadas para prevenir cualquier amenaza.

Para ver el panel, haz clic en Seguridad > Garantía de acceso. Selecciona el período de tiempo para el que deseas ver los detalles de la ubicación.

Para obtener más información, consulta Panel de ubicación de garantía de acceso.

15 de septiembre de 2021

Novedades

Mejoras en el indicador de riesgo personalizado

• Cuando se activa un indicador de riesgo personalizado, se muestra inmediatamente en la línea de tiempo del usuario. Sin embargo, el resumen de riesgo y la puntuación de riesgo del usuario se actualizan después de unos minutos (aproximadamente 15-20 minutos).

• Si modificas los atributos como la condición, la categoría de riesgo, la gravedad y el nombre de un indicador de riesgo personalizado existente, en la línea de tiempo del usuario, aún puedes ver las ocurrencias anteriores del indicador de riesgo personalizado (con los atributos antiguos) que se activaron para el usuario.

• Si eliminas un indicador de riesgo personalizado, en la línea de tiempo del usuario, aún puedes ver las ocurrencias anteriores del indicador de riesgo personalizado que se activaron para el usuario.

Para obtener más información, consulta Indicadores de riesgo personalizados.

14 de septiembre de 2021

Novedades

Introducción del indicador de riesgo de inicio de sesión sospechoso

Citrix Analytics for Security ahora detecta inicios de sesión de usuario que son de naturaleza sospechosa basándose en múltiples factores contextuales como:

• La ubicación se considera inusual con respecto al usuario y al historial de la organización.

• El dispositivo se considera inusual con respecto al usuario y al historial de la organización.

• La red se considera inusual con respecto al usuario y al historial de la organización.

• La dirección IP se considera sospechosa basándose en las fuentes de inteligencia de amenazas IP.

Cuando un usuario de Citrix Virtual Apps and Desktops y Citrix DaaS inicia sesión desde un contexto sospechoso basado en la combinación de estos factores, se activa el indicador de riesgo.

Este indicador de riesgo reemplaza el indicador de riesgo Acceso desde una ubicación inusual asociado con la fuente de datos de Citrix Virtual Apps and Desktops. Cualquier directiva existente que se base en el indicador de riesgo Acceso desde una ubicación inusual se vincula automáticamente al nuevo indicador de riesgo: Inicio de sesión sospechoso.

Para obtener más información sobre el indicador de riesgo, consulta Indicadores de riesgo de Citrix Virtual Apps and Desktops y Citrix DaaS.

Mejora de los mensajes SIEM

Citrix Analytics for Security ahora envía los detalles del esquema del indicador de riesgo de Inicio de sesión sospechoso a tu servicio SIEM. Puedes ver el esquema del resumen del indicador y los detalles del evento del indicador de riesgo de Inicio de sesión sospechoso. Para obtener más información, consulta Formato de datos de Citrix Analytics para SIEM.

Problema resuelto

• Para la búsqueda de autoservicio de aplicaciones y escritorios, falta el valor de la IP del cliente en el archivo CSV descargado. Este problema ya está solucionado. [CAS-58426]

19 de agosto de 2021

Novedades

Introducción de la aplicación Citrix Analytics para Splunk

Nota

La aplicación está en vista previa.

La aplicación Citrix Analytics para Splunk te permite ver los datos recopilados de Citrix Analytics for Security en forma de paneles informativos en tu Splunk. Los paneles proporcionan información sobre los eventos de riesgo de tus usuarios. También puedes correlacionar los datos de Citrix Analytics con los registros recopilados de varias otras fuentes de datos. La correlación te ayuda a encontrar relaciones entre eventos y a tomar acciones oportunas para proteger tu entorno de TI.

Para descargar la aplicación, ve a Splunkbase. Instala la aplicación en tu cabecera de búsqueda de Splunk.

Para obtener más información, consulta Aplicación Citrix Analytics para Splunk.

Esquema de indicador de riesgo personalizado para SIEM

En tu servicio SIEM, ahora puedes ver el esquema de los indicadores de riesgo personalizados creados para Citrix Virtual Apps and Desktops y Citrix DaaS. Estos datos te ayudan a obtener información sobre la postura de riesgo de seguridad de tu organización.

Para obtener más información sobre el esquema de indicadores de riesgo personalizados, consulta Formato de datos de Citrix Analytics para SIEM.

Compatibilidad con Citrix Director como fuente de datos

Ahora puedes configurar tus sitios locales en Citrix Director para enviar eventos a Security Analytics. Estos eventos se utilizan para descubrir a los usuarios conectados a Security Analytics y determinar las versiones de la aplicación Workspace instaladas en los dispositivos de los usuarios.

De forma predeterminada, el procesamiento de datos se habilita después del descubrimiento de los sitios. En la tarjeta Supervisión, puedes ver todos los sitios conectados.

Para obtener más información sobre cómo configurar tus sitios en Director, consulta Fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Compatibilidad con geocercas en el panel de ubicación de garantía de acceso

Ahora puedes usar la Configuración de geocercas en el panel para seleccionar y habilitar las áreas geocercadas. Después de habilitar la geocerca, el mapa muestra las áreas geocercadas (países) y los inicios de sesión de los usuarios desde fuera y dentro de la geocerca. Esta función utiliza el indicador de riesgo CVAD-Sesión iniciada fuera de la geocerca para supervisar los inicios de sesión de los usuarios.

Para obtener más información, consulta Panel de ubicación de garantía de acceso.

Estado de la aplicación Workspace en la página Usuarios

En la página Usuarios, ahora puedes ver el estado de los clientes de la aplicación Citrix Workspace compatibles con Citrix Analytics. La página muestra el siguiente estado:

• Compatible
• Parcialmente compatible
• No compatible
• No disponible
• Inactivo

El estado te ayuda a identificar cualquier versión de cliente no compatible utilizada por los usuarios y a recomendarles que actualicen sus clientes a una versión compatible. Una versión de cliente compatible envía los eventos de usuario a Citrix Analytics.

Nota

Para ver el estado de la aplicación Citrix Workspace, debes incorporar tu fuente de datos de Citrix Director. De lo contrario, el estado de cada usuario de Citrix Virtual Apps and Desktops y Citrix DaaS se muestra como Inactivo.

Para obtener más información, consulta el panel de usuarios.

Compatibilidad con el operador IS EMPTY

Al crear un indicador de riesgo personalizado, ahora puedes usar el operador IS EMPTY en tu condición para verificar si una dimensión es nula o está vacía.

Nota

El operador funciona solo para dimensiones de tipo cadena, como Nombre de aplicación, Navegador y País.

Para obtener más información, consulta Indicadores de riesgo personalizados.

Puntuación de riesgo mejorada

En la línea de tiempo del usuario, ahora puedes ver el resumen de riesgo de un usuario. El resumen de riesgo proporciona información sobre los factores de riesgo asociados con los eventos del usuario. El factor de riesgo te ayuda a identificar el tipo de anomalías en los eventos del usuario y también determina la puntuación de riesgo. Los siguientes son los factores de riesgo:

• Indicadores de riesgo basados en dispositivos

• Indicadores de riesgo basados en la ubicación

• Indicadores de riesgo basados en IP

• Indicadores de riesgo basados en fallos de inicio de sesión

• Indicadores de riesgo basados en datos

• Indicadores de riesgo basados en archivos

• Indicadores de riesgo personalizados

• Otros indicadores de riesgo

En la línea de tiempo del usuario, ahora puedes aplicar el filtro para ver los eventos del usuario según los factores de riesgo.

Para obtener más información, consulta los siguientes temas:

• Indicadores de riesgo de usuario de Citrix

• Línea de tiempo y perfil de riesgo de usuario

29 de julio de 2021

Función obsoleta

Acciones obsoletas asociadas con Citrix Endpoint Management™

Las siguientes acciones se eliminan de la fuente de datos de Citrix Endpoint Management. Ya no puedes aplicar estas acciones en los indicadores de riesgo ni crear directivas utilizando estas acciones.

• Bloquear dispositivo

• Notificar al administrador de Endpoint Management

• Notificar al usuario

• Revocar dispositivo

• Borrar dispositivo

En tus directivas existentes, si estas acciones ya están en uso, se reemplazan automáticamente por la acción Agregar a la lista de seguimiento. Y puedes supervisar a dichos usuarios desde la lista de seguimiento.

14 de julio de 2021

Novedades

Compatibilidad con el operador IS NOT EMPTY

Al crear un indicador de riesgo personalizado, ahora puedes usar el operador IS NOT EMPTY en tu condición para verificar si la dimensión no está vacía (no en blanco).

Nota

El operador funciona solo para dimensiones de tipo cadena, como Nombre de aplicación, Navegador y País.

Por ejemplo, la siguiente condición detecta eventos de inicio de sesión de usuario de cualquier país donde el valor del país no sea nulo. En otras palabras, se especifica el nombre del país.

Event-Type = “Session.logon” AND Country IS NOT EMPTY

Para obtener más información, consulta Indicadores de riesgo personalizados.

6 de julio de 2021

Novedades

Ver usuarios sin riesgo en el panel de usuarios

En el panel Usuarios, ahora puedes ver el número de usuarios sin riesgo para el período de tiempo seleccionado. Estos usuarios descubiertos se identifican como usuarios sin riesgo basándose en la puntuación de riesgo cero para el período seleccionado. Haz clic en la tarjeta Usuarios sin riesgo para ver todos los usuarios que tienen una puntuación de riesgo cero.

Para obtener más información, consulta Panel de usuarios.

1 de julio de 2021

Novedades

Mejoras en el panel de ubicación de garantía de acceso

• En la tabla Las 10 ubicaciones de inicio de sesión únicas principales, puedes ver el número de inicios de sesión de usuario únicos desde ubicaciones desconocidas. Esta lista es un subconjunto de las 10 ubicaciones de inicio de sesión únicas principales. También puedes encontrar las razones por las que las ubicaciones son desconocidas y las posibles formas de obtener las ubicaciones de los usuarios.

  

• En la página Ubicación de acceso, si seleccionas varias ubicaciones, puedes ver y comparar los detalles de la línea de tiempo de los inicios de sesión de los usuarios de todas las ubicaciones, las cinco ubicaciones principales y las cinco ubicaciones inferiores.

  

• En la página Ubicación de acceso, puedes usar las facetas anidadas, como el país y sus ciudades, los sistemas operativos (versiones principales y secundarias). Estas facetas te permiten filtrar los eventos de forma granular.

  

Para obtener más información, consulta Ubicación de garantía de acceso.

Se actualizó la faceta del sistema operativo en la búsqueda de autoservicio para aplicaciones y escritorios virtuales

Ahora puedes filtrar los eventos de aplicaciones y escritorios utilizando la faceta de sistema operativo anidada. Selecciona la versión principal y la versión secundaria asociadas a un sistema operativo y filtra los eventos de forma granular. Para obtener más información, consulta Búsqueda de autoservicio para aplicaciones y escritorios.

30 de junio de 2021

Novedades

Se agregó la versión de la aplicación Workspace en la condición del indicador de riesgo personalizado para aplicaciones y escritorios

Para la fuente de datos de Aplicaciones y escritorios, ahora puedes usar la dimensión Workspace-App-Version para definir tu condición al crear un indicador de riesgo personalizado. Para obtener más información sobre la dimensión, consulta Búsqueda de autoservicio para aplicaciones y escritorios.

23 de junio de 2021

Novedades

Mejoras en los mensajes SIEM

Ahora se agregan los siguientes campos al esquema de los indicadores de riesgo:

• indicator_vector_name: Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son Indicadores de riesgo basados en dispositivos, Indicadores de riesgo basados en la ubicación, Indicadores de riesgo basados en fallos de inicio de sesión, Indicadores de riesgo basados en IP, Indicadores de riesgo basados en datos, Indicadores de riesgo basados en archivos y Otros indicadores de riesgo.

• indicator_vector_id: El ID asociado a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en fallos de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en IP, ID 6 = Indicadores de riesgo basados en datos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible.

Para obtener más información, consulta Formato de datos de Citrix Analytics para SIEM.

7 de junio de 2021

Novedades

Mejoras en la acción de notificar al (a los) administrador(es)

Cuando aplicas la acción Notificar al (a los) administrador(es) a un indicador de riesgo o creas una directiva con la acción, ahora puedes seleccionar a los administradores que reciben notificaciones sobre el comportamiento de riesgo del usuario. Para obtener más información sobre la acción, consulta Directivas y acciones.

Se agregó compatibilidad con la acción de compartir solo para ver

Si un usuario comparte archivos en exceso, Citrix Analytics activa el indicador de riesgo Uso compartido excesivo de archivos. Desde la línea de tiempo de riesgo del usuario, ahora puedes aplicar la acción Cambiar enlaces a solo lectura al indicador de riesgo Uso compartido excesivo de archivos. También puedes aplicar la acción a un enlace compartido en particular en la línea de tiempo de riesgo del enlace compartido. Esta acción evita que otros usuarios descarguen, copien o impriman los archivos asociados con los enlaces compartidos. Para obtener más información sobre la acción, consulta Directivas y acciones.

18 de mayo de 2021

Novedades

Migración de los indicadores de riesgo predeterminados a indicadores de riesgo personalizados

Los siguientes indicadores de riesgo predeterminados se migran a indicadores de riesgo personalizados preconfigurados.

Indicador de riesgo predeterminado	Fuente de datos	Indicador de riesgo personalizado preconfigurado
Primer acceso desde un nuevo dispositivo	Citrix Virtual Apps and Desktops y Citrix DaaS	CVAD-Primer acceso desde un nuevo dispositivo
Primer acceso desde una nueva IP	Citrix Gateway	Gateway-Primer acceso desde una nueva IP

Con esta migración a los indicadores de riesgo personalizados, los indicadores de riesgo predeterminados y los algoritmos de aprendizaje automático asociados quedan obsoletos.

Los indicadores de riesgo personalizados correspondientes se activan en función de las siguientes condiciones preconfiguradas:

• Cuando un usuario accede desde un nuevo dispositivo por primera vez o un dispositivo existente que no se ha utilizado durante un mínimo de 90 días.

• Cuando un usuario inicia sesión desde una nueva dirección IP por primera vez o una dirección IP existente que no se ha utilizado durante un mínimo de 90 días.

Junto con las condiciones preconfiguradas, ahora puedes agregar tus propias condiciones para estos indicadores de riesgo personalizados para identificar las amenazas en tu entorno de Citrix. Esta opción te brinda flexibilidad para configurar el indicador de riesgo personalizado según tus necesidades de seguridad. También puedes crear directivas para aplicar acciones a los eventos de riesgo detectados por estos indicadores de riesgo personalizados.

Sin embargo, en la línea de tiempo del usuario, aún puedes ver los indicadores de riesgo predeterminados activados anteriormente y sus eventos.

Las directivas asociadas con estos indicadores de riesgo predeterminados se vinculan automáticamente a los indicadores de riesgo personalizados preconfigurados correspondientes.

Para obtener más información, consulta Indicadores de riesgo y directivas personalizados preconfigurados.

Mejoras en la búsqueda de autoservicio para Gateway

• El filtro Tipo de evento ahora se renombra a Tipo de registro. Selecciona uno de los siguientes tipos de registro para filtrar tus eventos: VPN_AI, VPN_IF y VPN_ST.

• En la tabla DATOS, expande una fila para un evento de usuario para ver el tipo de evento correspondiente. Los tipos de evento pueden ser uno de los siguientes: Autenticación, Archivo ICA® o Cierre de sesión de sesión.

La siguiente tabla describe la correlación entre los tipos de registro y los tipos de evento.

Tipo de registro	Tipo de evento
VPN_AI	Autenticación
VPN_IF	Archivo ICA
VPN_ST	Cierre de sesión de sesión

Para obtener más información, consulta Búsqueda de autoservicio para Gateway.

Problema resuelto

• El indicador de riesgo personalizado se activa en función de la distinción entre mayúsculas y minúsculas de los valores condicionales. Por ejemplo, en los eventos de usuario que contienen ID de dispositivo en la lista permitida, ves el siguiente comportamiento:

  • Si introduces el valor de la dimensión Device-ID en minúsculas, se activa el indicador personalizado.

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • Si introduces el valor de la dimensión Device-ID en mayúsculas para el mismo dispositivo, el indicador personalizado no se activa.

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  Este problema ya está solucionado y el indicador de riesgo personalizado se activa independientemente de la distinción entre mayúsculas y minúsculas de los valores condicionales.

  [CAS-50153]

29 de abril de 2021

Novedades

Detalles de eventos para un indicador de riesgo personalizado

En la página de la línea de tiempo de riesgo del usuario, ahora puedes ver los eventos que activaron un indicador de riesgo personalizado. Anteriormente, solo podías ver las condiciones definidas, la descripción y la frecuencia de activación de un indicador de riesgo personalizado. Haz clic en Búsqueda de eventos para ver los detalles de los eventos asociados con el usuario y el indicador de riesgo. Para obtener más información, consulta Indicadores de riesgo personalizados.

Problema resuelto

• Un administrador no puede crear indicadores de riesgo personalizados incluso después de que su permiso de acceso se cambie de administrador de solo lectura a administrador completo. [CAS-49628]

16 de abril de 2021

Novedades

Mejoras en los mensajes SIEM

Puedes ver las siguientes mejoras en el formato del esquema del indicador de riesgo:

• La dirección IP del cliente ahora está disponible en el esquema para todos los indicadores de riesgo por lotes. Anteriormente, la dirección IP del cliente solo estaba disponible para algunos indicadores de riesgo por lotes:

  • Fallo de escaneo de EPA
  • Fallos de autenticación excesivos
  • Inicio de sesión desde IP sospechosa
  • Acceso desde una ubicación inusual
  • Fallo de autenticación inusual
  • Descarga anónima de recursos compartidos sensibles
  • Posible exfiltración de datos

• Si el valor de un campo de tipo de datos entero no está disponible, el valor asignado es -999. Por ejemplo, "latitud" = -999.

• Si el valor de un campo de tipo de datos de cadena no está disponible, el valor asignado es NA. Por ejemplo, "ciudad" = "NA".

Para obtener más información, consulta Formato de datos de Citrix Analytics para SIEM.

26 de marzo de 2021

Novedades

Restricción en los mensajes SIEM

Citrix Analytics envía un máximo de 1000 detalles de eventos para cada ocurrencia de indicador de riesgo a tu servicio SIEM. Estos eventos se envían en orden cronológico de ocurrencia. Para obtener más información, consulta Formato de datos de Citrix Analytics para SIEM.

Se agregaron los campos ID de fuente de datos e ID de categoría de indicador en los mensajes SIEM

Los siguientes campos se agregan en el esquema de resumen del indicador y en el esquema de detalles del evento del indicador.

Campo	Descripción
data_source_id	El ID asociado a una fuente de datos. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control™
indicator_category_id	El ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos

Para obtener más información, consulta Formato de datos de Citrix Analytics para SIEM.

18 de marzo de 2021

Novedades

Panel de ubicación de garantía de acceso

Nota

La función está en vista previa.

El panel Ubicación de garantía de acceso proporciona una descripción general de las ubicaciones desde las que los usuarios de Citrix Virtual Apps and Desktops y Citrix DaaS han iniciado sesión durante un período seleccionado. Citrix Analytics recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios.

Para ver el panel, haz clic en Seguridad > Garantía de acceso.

Puedes ver la siguiente información para un período seleccionado:

• Número total de inicios de sesión de usuario desde una ubicación particular y en todas las ubicaciones.

• Número total de inicios de sesión de usuario únicos en todas las ubicaciones.

• Número total de países desde los que los usuarios han iniciado sesión.

• Las 10 ubicaciones principales con inicios de sesión de usuario únicos.

Para obtener más información, consulta Ubicación de garantía de acceso.

Compatibilidad con el operador NOT LIKE (!~)

Para la consulta de búsqueda de autoservicio y la condición del indicador de riesgo personalizado, ahora puedes usar el operador NOT LIKE (!~). El operador verifica los eventos de usuario para el patrón coincidente que has especificado. Devuelve los eventos que no contienen el patrón especificado en ninguna parte de la cadena del evento.

Por ejemplo, la consulta User-Name !~ “John” muestra eventos para todos los usuarios excepto John, John Smith o cualquier otro usuario que contenga el nombre coincidente “John”.

Para obtener más información, consulta Búsqueda de autoservicio.

Versión del sistema operativo traducida

Para la fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS, la dimensión Plataforma ahora se traduce como las dimensiones OS-Major-Version, OS-Minor-Version y OS-Extra-Details. Basándose en los detalles del sistema operativo de un usuario, Citrix Analytics muestra estas dimensiones en la página de búsqueda de autoservicio.

Puedes usar estas dimensiones para definir tus condiciones para un indicador de riesgo personalizado.

Para los indicadores de riesgo personalizados creados anteriormente, si has utilizado la dimensión Plataforma como condición, Citrix Analytics reemplaza automáticamente la dimensión Plataforma por OS-Major-Version, OS-Minor-Version y OS-Extra-Details. Esta actualización no afecta la integridad de tu condición definida.

Para obtener más información sobre las nuevas dimensiones, consulta Búsqueda de autoservicio para aplicaciones y escritorios virtuales.

Campos de datos actualizados para aplicaciones y escritorios

En la búsqueda de autoservicio para aplicaciones y escritorios, consulta los campos de datos actualizados basados en la plantilla contextual.

Para obtener más información, consulta Búsqueda de autoservicio para aplicaciones y escritorios.

Función obsoleta

Se eliminaron los eventos VPN_AF y VPN_SU de la página de búsqueda de autoservicio

En la página de búsqueda de autoservicio para la fuente de datos de Citrix Gateway, ahora se eliminan los siguientes tipos de registro.

Tipo de registro	Nombre del registro
VPN_SU	Registro de actualización de sesión
VPN_AF	Registro de fallo de inicio de aplicación

Por lo tanto, no puedes filtrar ni ver tus eventos basándote en estos tipos de registro. Cualquier indicador de riesgo personalizado basado en estos tipos de registro deja de funcionar.

Para obtener más información, consulta Búsqueda de autoservicio para Gateway.

11 de marzo de 2021

Novedades

Marca de tiempo actual para el esquema de puntuación de riesgo de usuario

Se agrega un nuevo campo last_update_timestamp en el formato del esquema de puntuación de riesgo de usuario. Este campo indica la hora en que se actualizó por última vez la puntuación de riesgo. Para obtener más información sobre el formato del esquema, consulta Esquema de puntuación de riesgo de usuario.

3 de marzo de 2021

Novedades

Mejoras en el indicador de riesgo de inicio de sesión desde IP sospechosa

En la página de la línea de tiempo de riesgo del usuario, se muestra una nueva sección IP sospechosa para el indicador de riesgo Inicio de sesión desde IP sospechosa. Esta sección proporciona la siguiente información:

• La dirección IP desde la que se detecta actividad de inicio de sesión sospechosa.
• La ubicación del usuario.
• Cualquier patrón de actividad de IP sospechosa que Citrix Analytics haya detectado recientemente en tu organización.
• Información de inteligencia a nivel de comunidad sobre la dirección IP.

Para obtener más información, consulta el indicador de riesgo Inicio de sesión desde IP sospechosa.

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

• En el indicador de riesgo de acceso desde una ubicación inusual para Citrix Content Collaboration, se agregó la columna NOMBRE DE LA HERRAMIENTA en la tabla de eventos. Se eliminó la columna NAVEGADOR DEL DISPOSITIVO de la tabla de eventos. Para obtener más información, consulta Indicadores de riesgo de Citrix Content Collaboration.

• En el indicador de riesgo de acceso desde una ubicación inusual para Citrix Virtual Apps and Desktops y Citrix DaaS, se agregaron las columnas ID DE DISPOSITIVO y TIPO DE RECEPTOR en la tabla de eventos. Para obtener más información, consulta Indicadores de riesgo de Citrix Virtual Apps and Desktops.

Formato de datos de Citrix Analytics para SIEM

El artículo describe el esquema de los datos procesados generados por Citrix Analytics para tu servicio SIEM.

Problema resuelto

• Para un usuario de Content Collaboration, si el valor de Is Employee<!--NeedCopy--> es nulo, el usuario no se muestra en la lista de usuarios descubiertos. [CAS-47815]

18 de febrero de 2021

Novedades

Compatibilidad con el primer acceso desde una nueva entidad en el indicador de riesgo personalizado

Ahora puedes crear un indicador de riesgo que se active cuando Citrix Analytics reciba eventos de una nueva entidad por primera vez. Algunos ejemplos de entidades son IP de cliente, Ciudad y País.

En la página Crear indicador, haz clic en la opción Primera vez. Habilita el botón Primera vez para una nueva y selecciona una entidad válida de la lista según la fuente de datos. No es necesario asignar ningún valor específico a la entidad. Por ejemplo, si seleccionas Ciudad de la lista, Citrix Analytics activa un indicador de riesgo cada vez que los usuarios inician sesión desde una nueva ciudad por primera vez.

Para obtener más información, consulta Crear un indicador de riesgo personalizado.

Límite máximo para crear indicadores de riesgo personalizados

Ahora puedes crear indicadores de riesgo personalizados hasta un límite máximo de 50. Si alcanzas este límite máximo, debes eliminar o editar cualquier indicador de riesgo personalizado existente para crear un indicador de riesgo personalizado.

Para obtener más información, consulta Indicadores de riesgo personalizados.

Datos de ubicación de usuario de Citrix Virtual Apps and Desktops y Citrix DaaS

En la página Información de usuario, Citrix Analytics ahora muestra la ubicación del usuario desde la fuente de datos de Citrix Virtual Apps and Desktops y Citrix DaaS.

Para obtener más información sobre la ubicación del usuario, consulta Perfil de usuario.

Ordenación de varias columnas

En la página de búsqueda de autoservicio, ahora puedes ordenar los eventos de usuario por más de una columna. Haz clic en Ordenar por, agrega las columnas y el orden de clasificación. Haz clic en Aplicar para ordenar los eventos de usuario. Puedes agregar hasta seis columnas para realizar una ordenación de varias columnas.

Para obtener más información, consulta Búsqueda de autoservicio.

Funciones obsoletas

Indicador de riesgo de fallo de autorización excesivo obsoleto

El indicador de riesgo de Citrix Gateway - Fallo de autorización excesivo ha quedado obsoleto. Solo puedes ver datos históricos relacionados con este indicador.

Los siguientes cambios son aplicables como parte de esta obsolescencia:

• Citrix Analytics ya no genera estos indicadores de riesgo.

• Citrix Analytics ya no genera directivas con estos indicadores de riesgo como condiciones.

• Las directivas predeterminadas con estos indicadores de riesgo como condiciones ya no surten efecto.

Para obtener más información, consulta Indicadores de riesgo de Citrix Gateway.

27 de enero de 2021

Novedades

Mejoras en el indicador de riesgo de acceso desde una ubicación inusual

Para Citrix Content Collaboration, Citrix Gateway y Citrix Virtual Apps and Desktops, el indicador de riesgo Acceso desde una ubicación inusual ahora se activa cuando el usuario inicia sesión desde una dirección IP asociada con un nuevo país o una nueva ciudad que está anómalamente lejos de cualquier ubicación de inicio de sesión