Servicio de Citrix Analytics

Destinatarios

Este documento está destinado a profesionales técnicos, responsables de la toma de decisiones de TI, socios e integradores de sistemas. Este documento también permite al administrador explorar y adoptar el servicio Citrix Analytics con otros productos de la cartera de Citrix. Citrix Analytics mejora la seguridad del entorno Citrix de una organización mediante la supervisión y gestión eficiente de los factores de riesgo. El lector debe tener una comprensión básica de los productos y soluciones de la cartera de Citrix.

Objetivo del presente documento

Este documento cubre una descripción general técnica, conceptos arquitectónicos y capacidades del servicio Citrix Analytics. Este documento incluye una solución personalizada con otras soluciones Citrix que ayudan a los administradores y usuarios a comprender y adoptar en su entorno Citrix.

Detección y mitigación inteligentes de amenazas

En la era actual, las organizaciones están más preocupadas por la seguridad y privacidad de la información, y muchas organizaciones están apostando por la mejor solución de seguridad defensiva de su clase en su entorno. Una de las tecnologías emergentes es una plataforma inteligente de detección de amenazas. Dicha plataforma ayuda a muchas organizaciones a agregar, correlacionar y analizar datos de amenazas de diferentes fuentes para tomar acciones defensivas relevantes.

En el entorno dinámico de TI, los factores de amenaza siguen cambiando, las amenazas avanzadas centradas en las organizaciones públicas y privadas están creciendo a un ritmo más rápido. La organización necesita una solución de seguridad completa que mitigue y encuentre cualquier acto peligroso. La solución protege la propiedad intelectual, la información confidencial y los datos financieros de la organización.

Aprendizaje automático e inteligencia artificial

Muchas organizaciones han enfrentado (y siguen enfrentando hoy) varios ciberataques. Los intrusos están adoptando automatización y scripts en sus ataques y aumentan su velocidad y escala. La organización debe mitigar y ser capaz de responder en tiempo real a la velocidad de la CPU para contrarrestar este tipo de ataques agresivos. El aprendizaje automático y la inteligencia artificial pueden ayudar y permiten a la organización contrarrestar los ataques y construir muros defensivos con eficacia.

La adopción del aprendizaje automático y la inteligencia artificial mejora la seguridad del entorno de TI. Los errores de la fuerza de trabajo se pueden mitigar y reducir. El aprendizaje automático y la inteligencia artificial pueden ayudar en áreas como el análisis de riesgos, el antimalware y la detección de anomalías.

La inteligencia artificial se puede aplicar para diferenciar entre comportamientos normales y anormales en el medio entorno. El aprendizaje automático se puede utilizar para reconocer estos comportamientos y proporcionar una capa de seguridad a las aplicaciones de red y software en segundo plano. El aprendizaje automático utiliza registros y registros almacenados y aprende de los análisis para predecir los datos en el futuro.

CAS-1

El diagrama anterior muestra una plataforma conceptual de aprendizaje automático. En general, una plataforma de aprendizaje automático sirve para analizar datos de entrada de puntos de recopilación de datos (fuentes de datos). En etapas posteriores, segrega los datos en función del tipo de aplicaciones. La plataforma mantiene actualizando los modelos y perfiles basados en los datos y los resultados. Las técnicas de aprendizaje automático se aplican de varias maneras que son específicas para el requisito.

Al aplicar técnicas de aprendizaje automático en conjuntos de datos más masivos, una organización puede ser más eficiente en su compilación de inteligencia sobre amenazas e investigación de amenazas. De esta manera, las organizaciones pueden ser más proactivas en su enfoque ante las amenazas y preocupaciones de seguridad.

Introducción a Citrix Analytics

Muchas organizaciones se enfrentan a amenazas cibernéticas de todo el mundo. En tiempo real, es difícil identificar las amenazas internas, ya que puede ser aún más perjudicial que las amenazas externas. Los análisis estándar a menudo no exponen esas amenazas antes de que se produzcan daños graves al sistema. La organización tiene que adoptar análisis de comportamiento de los usuarios que ofrezcan información proactiva y segura. Las soluciones de análisis estándar se centran principalmente en la seguridad, y la resolución no proporciona visibilidad de la sesión del usuario ni información sobre las actividades de los usuarios. Finalmente, el equipo de TI pierde el control sobre el rendimiento y las operaciones del entorno de TI.

Citrix ha desarrollado una solución llave en mano que funciona en toda la cartera de productos Citrix. Citrix Analytics recopila datos de productos de la cartera de Citrix y productos de terceros. Citrix Analytics permite a los administradores detectar, analizar y responder de forma proactiva a las amenazas de seguridad en todos los entornos Citrix.

Citrix Analytics permite a los administradores gestionar las amenazas de seguridad de usuarios y aplicaciones, mejorar el rendimiento de las aplicaciones y admitir operaciones continuas. Citrix Analytics está disponible como un servicio en la nube proporcionado a través de Citrix Cloud.

Ofertas de Citrix Analytics

Security Analytics

Security Analytics proporciona visibilidad del comportamiento del usuario y de las aplicaciones. El administrador puede distinguir entre el comportamiento normal y un atacante malintencionado. Una plataforma de aprendizaje automático integrada que identifica y administra de forma proactiva las amenazas internas y externas.

Análisis de rendimiento

El análisis de rendimiento proporciona visibilidad de los detalles de las sesiones de usuario en toda la organización. Las métricas recopiladas por los motores de análisis ayudan a identificar los problemas que surgen durante la sesión de inicio de sesión de un usuario.

Operations Analytics

Operations Analytics proporciona información sobre actividades de los usuarios, como sitios web visitados y consumo de ancho de banda. Las métricas que se reciben de orígenes de datos ayudan a supervisar las redes y tomar medidas correctivas.

CAS-2

El diagrama anterior muestra el servicio Citrix Analytics que es un servicio basado en la nube que funciona en productos de la cartera de Citrix y productos de terceros. Recoge datos de diferentes fuentes de datos y detecta comportamientos anormales de un usuario o de cualquier otra entidad. Este proceso utiliza algoritmos de aprendizaje automático (ML) que monitorean continuamente el entorno del cliente.

Gobierno de datos y orígenes de datos

El control de datos proporciona información relativa a la recopilación, almacenamiento, retención de registros y protege los datos recopilados por el servicio de Analytics. Los administradores de seguridad pueden elegir los registros que se deben supervisar y realizar acciones representativas en función de la actividad registrada.

CAS-3

La mayoría de las organizaciones tienen algún tipo de control de datos para aplicaciones o secciones individuales. La gobernanza de los datos es una tarea esencial a realizar durante la ejecución del proyecto. Pocos de los temas obligatorios abarcados por la gobernanza de los datos son:

  • Fuentes de datos
  • Privacidad de datos
  • Transmisión de datos
  • Control de datos
  • Retención de datos
  • Almacenamiento de datos
  • Calidad y tipos de datos

Referencia: Reglamentación de datos

Fuentes de datos

Las fuentes de datos son los servicios que envían datos a Citrix Analytics. Servicios que se ejecutan en la nube o en ubicaciones locales que se convierten en una fuente de datos para Citrix Analytics al habilitar ciertas funciones dentro del producto.

Citrix Analytics descubre automáticamente los servicios que se ejecutan en Citrix Cloud, como Content Collaboration, Endpoint Management asociado a la cuenta de Citrix Cloud. Otros servicios locales como Citrix Gateway y Citrix Virtual Apps and Desktops se pueden agregar como orígenes de datos a Citrix Analytics.

Los diagramas anteriores muestran orígenes de datos externos como Microsoft® Graph Security y Microsoft® Active Directory forman parte de los orígenes de datos de Citrix Analytics. Citrix Analytics captura datos de estas fuentes de datos externas después de una integración satisfactoria.

Referencia: Fuentes de datos

Conceptos tecnológicos

En esta sección se describen la arquitectura y los servicios ofrecidos por Citrix Analytics.

Citrix Analytics para productos de la cartera de Citrix

Citrix Analytics se puede integrar con varios productos Citrix y Microsoft®. Recopila métricas de usuarios, aplicaciones, endpoints, redes y datos para ofrecer información completa sobre el comportamiento de los usuarios. Citrix Analytics, a partir de hoy, admite los siguientes productos:

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management

Citrix Analytics crea perfiles de usuarios y aplicaciones en toda la red. La creación de perfiles solo es posible con información/datos recopilados de la fuente de datos (información sobre el comportamiento del usuario). Este perfil contiene información acerca de los dispositivos, archivos, ubicaciones, etc. Para mitigar las amenazas en la red, el patrón generado por el análisis proporciona una alta visibilidad y toma las medidas necesarias. Este servicio proporciona visibilidad completa sobre el comportamiento del usuario en el entorno.

CAS-4

La imagen anterior muestra la integración de los productos Citrix con el servicio en la nube de Citrix Analytics. Normalmente, los usuarios finales utilizan sus propios dispositivos para conectarse a Citrix Workspace y acceder a los recursos necesarios. Estos servicios se comunican con Citrix Analytics Service alojado en Citrix Cloud. Además, los clientes pueden vincular el entorno local de Citrix Virtual Apps and Desktops para comunicarse con el servicio Citrix Analytics. La conexión de recursos locales requiere la agregación de sitios o un agente local de StoreFront y Citrix Analytics instalado en Delivery Controller.

El servicio Citrix Analytics recibe registros directamente de los orígenes de datos. Los datos capturados permanecen en las bases de datos durante 13 meses. Citrix Analytics utiliza estas métricas para el análisis a través de una plataforma de aprendizaje automático y puede realizar acciones cuando se producen actividades desviadas o sospechosas.

Integración de productos de Citrix Analytics y Microsoft®

En la actualidad, la mayoría de las organizaciones confían en una cartera diversa de soluciones de seguridad que incluyen protección de endpoints, firewalls de red, identidad, controles de acceso, seguridad en la nube, etc. Al final, tiende a aumentar el coste y la complejidad. Además, conectar múltiples herramientas de seguridad y flujos de trabajo se convierte en una tarea difícil para el equipo de TI. Para superar estos desafíos se simplifica el proceso de integración. La integración de Citrix Analytics con los productos de Microsoft® ayuda a unificar la seguridad y la administración de incidentes, lo que resulta en informes y análisis simplificados.

Citrix Analytics admite la integración de productos Microsoft® que incluyen Microsoft® Graph Security y Microsoft® Active Directory. Actualmente, admite Azure AD Identity Protection y ATP de Windows Defender de Microsoft® Graph Security. Para habilitar este servicio en productos Microsoft®, el cliente debe haber habilitado Citrix Analytics Service desde Citrix Cloud. Para obtener más información, consulte lo siguiente enlace.

Habilitar Citrix Analytics en Microsoft® Graph Security

Microsoft® Graph Security API proporciona una interfaz estándar y un esquema uniforme para integrar alertas de seguridad, desbloquear información contextual y simplificar la automatización de la seguridad. Microsoft® Graph Security agrega datos de varios proveedores de seguridad, incluidos Microsoft® Defender ATP, ATP de Office 365, Azure ATP, Microsoft® Intune, Azure Sentinel, etc.

Microsoft® Graph Security API se puede acoplar fácilmente con Citrix Analytics. Microsoft® Graph Security actúa como fuente de datos para el servicio de Analytics que transmite datos desde proveedores de seguridad. Actualmente, esta solución admite los siguientes proveedores de seguridad de Microsoft® Graph Security:

  • Protección de identidad de Azure AD
  • ATP de Windows Defender

CAS-5

El diagrama anterior muestra la solución Microsoft® Security Graph con Citrix Analytics para mejorar las capacidades generales de análisis. El administrador puede tener información clara del comportamiento del usuario durante la utilización de recursos que incluye aplicaciones y escritorios de usuario final. Citrix Analytics extrae los datos de Microsoft® Graph Security alojado en Azure. Ambos productos funcionan en la misma plataforma que incluso facilita la integración.

La interfaz de usuario de Citrix Analytics proporciona datos procesados basados en indicadores de puntuación de riesgo de alta, media y baja. Basándose en la puntuación de riesgo, el análisis de valor puede realizar acciones en ese usuario en particular. Con las fuentes externas de Microsoft® Graph Security a Citrix, los administradores de Analytics pueden empezar a tener una imagen integral del acceso de un usuario a los recursos.

Referencia: Integración de Microsoft® Graph Security

Integración de Analytics con Microsoft® Active Directory

La organización puede conectar el servicio Microsoft® Active Directory con Citrix Analytics, lo que da como resultado una mejora en el perfil de usuario en Citrix Analytics. El perfil de usuario de Citrix Analytics incluye información importada, como información de usuario y datos de grupos de usuarios. En caso de que Citrix Analytics identifique usuarios arriesgados, la información importada como el cargo, la organización, la ubicación de la oficina, el correo electrónico y los detalles de contacto ayudan a obtener visibilidad del perfil de usuario.

Security Analytics tiene disposiciones para supervisar a los usuarios con privilegios. Esta funcionalidad permite al administrador supervisar de cerca las anomalías de comportamiento de los usuarios con privilegios. Por ejemplo, si un usuario privilegiado comienza a eliminar archivos y carpetas excesivamente, la plataforma de aprendizaje automático detecta un comportamiento inusual y activa una alarma.

Referencia: Usuarios privilegiados en Citrix Analytics

CAS-6

El diagrama anterior muestra la integración de Microsoft® Active Directory con Citrix Analytics. Antes de habilitar este servicio por el administrador, Cloud Connectors se instala en las instalaciones para extraer la información. Para una integración satisfactoria, el administrador de Citrix tiene que activar el procesamiento de datos en la interfaz de usuario de Citrix Analytics para poder supervisar y solucionar los riesgos identificados en el entorno.

Para obtener más información acerca de la integración con Microsoft® Active Directory, consulte esto enlace.

Analytics

Existen innumerables casos de uso al adoptar Citrix Analytics en un entorno Citrix. El servicio de análisis se divide en tres áreas:

  • Security Analytics
  • Análisis de rendimiento
  • Operations Analytics

Cada oferta se discute en las siguientes secciones:

Security Analytics

Security Analytics agrega datos de endpoints para la supervisión de la seguridad y la detección de amenazas. Muchas implementaciones tienen un conjunto diferente de herramientas que incorporan conjuntos de datos grandes y diversos en el algoritmo. A medida que la tecnología cambia, el análisis de seguridad incluye habilidades de aprendizaje adaptativo. Esto ayuda a calibrar los modelos de detección, basados en los aprendizajes y la lógica detrás de la detección de anomalías.

Citrix Security Analytics recibe datos de varias fuentes de datos y muestra información útil. Los algoritmos de aprendizaje automático de Security Analytics detectan y realizan acciones predefinidas sobre el comportamiento del usuario. Indicadores de puntuación de riesgo dinámicos basados en los usuarios, el comportamiento del usuario, los puntos finales, el tráfico de red y los archivos.

Security Analytics admite la integración con lo siguiente:

  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Secure Workspace Access
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Seguridad de Microsoft® Graph
  • Microsoft® Active Directory

Para obtener más información sobre Security Analytics, consulte lo siguiente enlace.

Indicadores de riesgo del usuario

Los indicadores de riesgo del usuario son actividades de usuario que parecen sospechosas o pueden representar una amenaza para la seguridad de la organización. Los indicadores de riesgo del usuario abarcan todos los productos Citrix utilizados en la implementación. Los signos se basan en el comportamiento del usuario y se activan cuando el comportamiento del usuario se desvía de la norma. Los indicadores de riesgo del usuario ayudan a determinar la puntuación de riesgo del usuario.

Los indicadores de riesgo de los usuarios se basan en las siguientes categorías:

  • Basado en el acceso
  • Basado en datos
  • Basado en aplicaciones

CAS-7

El diagrama anterior muestra indicadores de puntuación de riesgo del usuario. Los indicadores se basan en el comportamiento del usuario y se activan cuando el comportamiento del usuario se desvía de la norma.

Referencia: Indicadores de riesgo de usuario de Citrix

Directivas y acciones

Una directiva se define como un conjunto de condiciones que deben cumplirse para que una acción se ejecute. Una directiva contiene una única condición y una o varias acciones. El administrador puede crear una sola directiva con varias acciones que se pueden aplicar a la cuenta de un usuario.

Las directivas de Citrix Analytics ayudan a realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Una vez aplicadas las directivas, la acción se activa inmediatamente después de que se produzca un evento inesperado.

CAS-8

Como se mencionó, la directiva es un conjunto de condiciones. El puntaje de riesgo y el cambio de puntuación de riesgo son condiciones globales aplicadas a un usuario específico para una fuente de datos concreta.

Referencia: Directivas

Las acciones ayudan a responder a eventos sospechosos y evitar que ocurran eventos anómalos futuros. El administrador puede tomar medidas en cuentas de usuario que muestren un comportamiento inusual o sospechoso. Depende del administrador aplicar la acción de forma automática o manual, dependiendo de las condiciones.

Referencia: Acciones

Análisis de rendimiento

Performance Analytics es una poderosa herramienta para encontrar la causa raíz de los problemas de experiencia del usuario final. Además, cuantifica la experiencia del usuario y el rendimiento de las aplicaciones proporciona a los usuarios visibilidad integral. Performance Analytics admite la agregación y generación de informes de varios sitios para que los datos representados desde varios sitios o fuentes múltiples en una pantalla unificada.

La puntuación de experiencia del usuario se calcula en función de la latencia, la duración del inicio de sesión, las reconexiones y los errores. La causa raíz exacta del problema identificada al examinar con precisión las métricas. Por ejemplo, la duración del inicio de sesión incluye: intermediación, Inicio de VM, Conexión HDX, Autenticación, GPO, Carga de perfil, etc.

CAS-9

El diagrama anterior muestra la compilación de partituras de UX obteniendo información de la latencia, la duración del inicio de sesión, los errores y las reconexiones de un usuario final. Permite al administrador profundizar más para encontrar la causa raíz de los problemas que experimentan los usuarios. Los análisis de rendimiento están disponibles tanto para entornos de Citrix Virtual Apps and Desktops locales como basados en la nube.

Para obtener más información sobre la experiencia del usuario, consulte lo siguiente enlace.

Operations Analytics

Operations Analytics es un término más específico orientado a la analítica empresarial que se centra en mejorar las operaciones existentes. Operations Analytics implica el uso de varias agregaciones de datos para obtener información más transparente para los servicios de TI diarios. La infraestructura de Citrix consta de varios productos que combinan diferentes conjuntos de cargas de trabajo, y el administrador necesita conocer el entorno. Además, muchos administradores no se centran en mejorar y optimizar el entorno Citrix.

Para superar estos problemas, Citrix ha incorporado Operations Analytics en una solución analítica. La solución de análisis contiene algoritmos de aprendizaje automático y ofrece información útil sobre los datos operativos de los entornos Citrix de los clientes.

Por ejemplo, si una empresa utiliza el servicio Citrix Secure Workspace Access, los administradores pueden utilizar los paneles de operaciones para obtener información sobre las operaciones del usuario y los datos de las operaciones de la aplicación. El administrador tiene una visibilidad completa del consumo de datos (descarga y carga), los dominios a los que se accede y otras métricas disponibles según las fuentes de datos. Estas métricas ayudan a adquirir y proporcionar recursos y responder rápidamente a cualquier problema de operaciones.

De otra manera, los análisis de operaciones apoyan la idea de planificación de recursos empresariales. Operation Analytics agrega información para mejorar el enfoque proactivo hacia la administración de recursos.

CAS-10

El diagrama anterior muestra Operations Analytics. Tiene dos paneles que son:

Operaciones de Usuario: Proporciona una visión general de los datos de operaciones de usuario en función de las transacciones y el volumen de uso de datos.

Operaciones de aplicaciones: proporciona una visión general de los datos de las operaciones de la aplicación basados en dominios, categorías y volumen de descargas.

Referencia: Operations Analytics

Integración de Citrix Analytics con productos Citrix

Citrix Analytics se integra con los demás componentes de Citrix etiquetados como “orígenes de datos”. Los siguientes productos son compatibles con el servicio Citrix Analytics y proporcionan información sobre el comportamiento de los usuarios en el entorno Citrix.

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

En esta sección se explica la integración de Citrix Analytics con otros productos Citrix.

Citrix Analytics y Citrix Secure Workspace Access

El servicio Citrix Secure Workspace Access permite a los administradores proporcionar una experiencia coherente integrando el inicio de sesión único, el acceso remoto y la inspección de contenido en una solución única para el Secure Workspace Access seguro de extremo a extremo. Los administradores pueden proteger la red de la organización y los dispositivos de usuario final de malware y fugas de datos filtrando el acceso a sitios web y categorías de sitios web específicos.

Las soluciones de Citrix Secure Workspace Access y Citrix Analytics proporcionan información clara sobre el comportamiento de los usuarios y supervisan toda la red. La capacidad incorporada de Citrix Analytics que utiliza el aprendizaje automático ayuda a tomar medidas correctivas. Citrix Analytics utiliza métricas similares y recopiladas por el servicio Secure Workspace Access. Los parámetros de las actividades de los usuarios, como sitios web visitados, y el ancho de banda gastado. También detecta malware y sitios de phishing.

CAS-11

El diagrama anterior muestra una vista holística de la integración de Citrix Secure Workspace Access con el servicio Citrix Analytics. Citrix Secure Workspace Access y Citrix Analytics Services están alojados en Citrix Cloud. El administrador puede habilitar el procesamiento de datos con pocos clics en la interfaz de usuario de Analytics. A continuación, Citrix Analytics comienza a capturar los datos de Secure Workspace Access.

Security Analytics

Las siguientes son las directivas que un administrador puede crear para realizar acciones basadas en la actividad de un usuario.

  • Intento de acceder a la URL de la lista de bloqueados: directiva que puede habilitar para indicar cuándo un usuario intenta acceder a una URL de la lista de bloqueados

  • Acceso a sitios web arriesgados: Esta directiva sugiere que el usuario intentó acceder a sitios web maliciosos, sospechosos o inseguros con altas calificaciones de reputación. (La calificación de reputación de URL se da para los sitios web. Los valores van de 1 a 4. 4 es el sitio web más arriesgado, y 1 es un sitio limpio

  • Volumen de descarga inusual: el volumen de datos descargados por el usuario desde una aplicación o sitios web ha superado el umbral definido implícitamente por Citrix Analytics

  • Volumen de carga inusual: la cantidad de datos cargados por el usuario desde una aplicación o sitios ha superado el límite establecido implícitamente por Citrix Analytics

Para obtener más información sobre la integración de Citrix Analytics con Citrix Secure Workspace Access, consulte lo siguiente enlace.

Citrix Analytics y Citrix Content Collaboration

Citrix Content Collaboration nos permite intercambiar documentos de forma rápida y segura, enviar material extenso por correo electrónico y gestionar de forma segura las transferencias de documentos a terceros. En el entorno de Citrix Workspace, el usuario puede acceder a todos sus archivos desde la aplicación Citrix Workspace. Para realizar un seguimiento del comportamiento y la actividad del usuario, es engorroso. En un entorno Citrix a pequeña o gran escala, las amenazas ocultas detrás de la pantalla son difíciles de discernir y tomar medidas de precaución.

Citrix Content Collaboration se puede supervisar y resolver problemas con la ayuda de Citrix Analytics. El servicio Citrix Content Collaboration alojado en Citrix Cloud se integra ágilmente con el servicio Analytics al habilitar los orígenes de datos.

CAS-12

El diagrama anterior muestra la integración de Citrix Content Collaboration y el servicio Citrix Analytics. Security Analytics como parte del servicio Analytics admite la supervisión y resolución de problemas del comportamiento y las actividades de los usuarios.

Security Analytics

Las siguientes son las directivas que un administrador puede crear para realizar acciones basadas en la actividad del usuario.

  • Descargas excesivas de archivos: esta directiva indica un intento de descargar datos que superan el umbral basado en IA para este período

  • Eliminación excesiva de archivos/carpetas: esta directiva indica un intento de eliminar un número desproporcionado de archivos o carpetas, que superan el umbral basado en IA para el usuario

  • Uso compartido excesivo de archivos: esta directiva indica que los vínculos compartidos creados y compartidos han superado el umbral establecido por los algoritmos de aprendizaje automático para este período

  • Cargas excesivas de archivos: esta directiva indica un intento de cargar datos que superan el umbral basado en IA para este período

  • Fallos de inicio de sesión excesivos: el usuario realiza varios intentos fallidos de inicio de

  • Actividad de ransomware sospechosa (archivo reemplazado): esta directiva indica un esfuerzo para reemplazar los archivos existentes con versiones cifradas, parecidas a un ataque de ransomware

  • Acceso excesivo a archivos confidenciales (alerta DLP): indica un intento de acceder a archivos considerados confidenciales más que el umbral definido en la directiva de prevención de pérdida de datos (DLP) de Citrix Content Collaboration.

  • Acceso inusual de inicio de sesión: este indicador se activa cuando el usuario tiene acceso sospechoso a la cuenta de Citrix Content Collaboration identificada por el motor de IA de Analytics, según las ubicaciones de uso y los patrones de comportamiento del usuario.

  • Actividad de ransomware sospechosa (Archivos actualizados): esta directiva indica un intento de actualizar archivos existentes con versiones cifradas, parecidas a un ataque de ransomware

En caso de que el servicio Citrix Analytics detecte algún comportamiento inusual o actividad sospechosa, puede proteger los datos inhabilitando al usuario y caducar todos los enlaces.

Citrix Analytics y Citrix Endpoint Management

Citrix Endpoint Management es una solución para administrar dispositivos de punto final, que ofrece funciones de administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM). Con Endpoint Management, el administrador puede administrar las directivas de dispositivos y aplicaciones y entregar aplicaciones a los usuarios.

Normalmente, el usuario final puede cambiar de dispositivo o instalar una de las aplicaciones de la lista de bloqueados. Tales incidentes desencadenan una alarma en los entornos de Endpoint Management. La mayoría de las veces, puede pasar desapercibido para los administradores de Citrix o la posibilidad de errores manuales.

En tales casos, cuando un administrador tiene que administrar miles de endpoints, se convierte en una carga. Este proceso tiende a aumentar mucho las horas de trabajo administrando los dispositivos. Para superar estos problemas, el administrador puede integrar Citrix Endpoints Management con el servicio Citrix Analytics. Esto ayuda en la detección de dispositivos no administrados, la aplicación incluida en la lista de bloqueados, la detección de dispositivos instalados y la aplicación de acciones en dicho dispositivo se puede automatizar.

CAS-13

El diagrama anterior muestra la integración de Citrix Analytics con Citrix Endpoint Management (servicio Citrix Cloud). Desde la interfaz de usuario de Analytics con solo unos clics, el servicio Endpoint Management se puede supervisar y detectar cualquier actividad sospechosa en los endpoints. Este servicio de supervisión se inicia en cualquier dispositivo Android, iOS, administrado o no administrado, para que el administrador tenga una visión clara de los dispositivos como jailbreak, aplicaciones en la lista de bloqueados.

Security Analytics

Las siguientes directivas que un administrador puede crear para realizar acciones basadas en los dispositivos y aplicaciones.

  • Un dispositivo con aplicaciones en la lista de bloqueados detectadas: esta directiva indica la detección de un dispositivo con aplicaciones de la lista de bloqueados en la red mediante el servicio Citrix Endpoint Management

  • Dispositivo con jailbreak o rooted detectado: esta directiva indica la detección de un dispositivo con jailbreak o rooted en la red mediante el servicio Citrix Endpoint Management

  • Dispositivo no administrado detectado: esta directiva indica que un dispositivo no administrado detectado por el servicio Citrix Endpoint Management en la red

Cuando se cumple cualquiera de las condiciones, el administrador tiene la opción de dar una notificación al administrador y al usuario. El administrador también puede bloquear ese dispositivo en particular.

Citrix Analytics y Citrix Gateway

El servicio Citrix Gateway proporciona soluciones de acceso remoto seguro con diversas capacidades de administración de identidades y acceso (iDam). El servicio Gateway ayuda a ofrecer una experiencia unificada en aplicaciones SaaS, Virtual Apps and Desktops heterogéneos, etc.

Las directivas de análisis de End Point Analysis (EPA) de Citrix Gateway ayudan a detectar amenazas e informes basados en el acceso de los usuarios en la interfaz de usuario. Del mismo modo, Citrix Gateway detecta todos los errores de inicio de sesión del usuario, que pueden ser errores de autenticación primaria, secundaria o terciaria. Además, los errores de autorización se distinguieron de Citrix Gateway.

Citrix Analytics recopila las métricas de Citrix Gateway sobre la actividad de inicio de sesión del usuario para realizar una tarea automatizada que no sería práctica para un administrador realizar manualmente.

CAS-14

El diagrama anterior muestra la integración de Citrix Analytics con Citrix Gateway Service. El administrador tiene que habilitar el procesamiento de datos para que Citrix Analytics empiece a capturar los datos desde el servicio Gateway.

Security Analytics

El administrador puede crear las siguientes directivas para automatizar la actividad de supervisión.

  • Fallos de autorización: esta directiva indica que el motor de IA de Analytics identificó que el usuario ha intentado acceder a un recurso sin permisos suficientes

  • Fallos de análisis de EPA: esta directiva muestra un intento de acceder a la red mediante un dispositivo que ha fallado en el análisis de análisis de punto final (EPA) de Citrix Gateway antes o después de la autenticación

  • Fallos de inicio de sesión: esta directiva indica que el motor de IA de Analytics identificó varios errores de autenticación primaria en función de los patrones de uso y comportamiento del usuario

  • Acceso inusual de inicio de sesión: esta directiva sugiere un intento de iniciar sesión en Citrix Gateway desde ubicaciones significativas que se desviaron del patrón de acceso del usuario

Con la ayuda de Citrix Analytics, cuando surgen alguna de las condiciones, el administrador puede tomar medidas sobre ese usuario habilitando “Cerrar sesión de usuario” desde la interfaz de usuario de Analytics. De lo contrario, los administradores pueden examinar la actividad de ese usuario con la ayuda de seleccionar “Notificar al administrador”.

Citrix Analytics y Citrix Virtual Apps and Desktops

Citrix Virtual Apps and Desktops son soluciones de virtualización que proporcionan a los equipos de TI control sobre máquinas virtuales, aplicaciones, licencias y seguridad, al tiempo que permiten un acceso desde cualquier lugar y cualquier dispositivo. Citrix Virtual Apps and Desktops permite a los usuarios finales ejecutar aplicaciones y escritorios independientemente del sistema operativo y la interfaz del dispositivo. Del mismo modo, los administradores tienen la ventaja de administrar la red y controlar el acceso desde dispositivos seleccionados o todos los dispositivos.

El marco de Citrix Analytics for Virtual Apps and Desktops ofrece una visión de las actividades de los usuarios. En función del comportamiento del usuario, la alarma o las notificaciones se activan cuando el comportamiento del usuario se desvía del comportamiento normal. Los indicadores de riesgo basados en aplicaciones se activan cuando los usuarios intentan acceder a una aplicación no autorizada durante un período específico. Los indicadores de riesgo basados en datos se generan para cargar y descargar datos inusuales con un gran volumen.

CAS-15

El diagrama anterior muestra la integración de Citrix Analytics con Citrix Virtual Apps and Desktops. Basado en el intento del usuario de acceder a los recursos con un dispositivo que tiene sistemas operativos no compatibles, equipos nuevos, una alarma activada con notificación. La plataforma de aprendizaje automático integrada sigue introduciendo la última actualización en su base de datos, y los perfiles se actualizan. En el futuro, cualquier anomalía en el entorno se puede detectar fácilmente y mitigar sin intervención del administrador.

Security Analytics

El administrador puede crear las siguientes directivas para automatizar la actividad de supervisión.

  • Exfiltración de datos potencial: esta directiva indica un intento de exfiltrar datos de Citrix Workspace a un dispositivo o ubicación externos

  • Acceso desde dispositivos nuevos: esta directiva indica un intento de iniciar sesión en Citrix Workspace desde un dispositivo nuevo

  • Acceso desde un dispositivo con sistema operativo no compatible: esta directiva indica un intento de acceder al receptor de inicio de red desde un dispositivo con una versión del sistema operativo no compatible o una versión de explorador no compatible

  • Uso inusual de aplicaciones (SaaS): esta directiva indica que el usuario utilizó aplicaciones en momentos alcanzados que se desvían de los patrones de uso y comportamiento del usuario identificados por Citrix Analytics

  • Uso inusual de aplicaciones (Virtual): esta directiva indica que el motor de IA de Analytics identificó el uso de aplicaciones en excelentes momentos en función de los patrones de uso y comportamiento del usuario

Citrix Analytics puede realizar acciones en la cuenta del usuario cuando se encuentran las condiciones anteriores. Durante la creación de la directiva, el administrador puede habilitar la acción cuando se cumplan las condiciones.

Referencia: Indicadores de Riesgo CVAD

Análisis de rendimiento

Performance Analytics proporciona información sobre los detalles de las sesiones del usuario en el entorno Citrix. Los datos recopilados por Citrix Analytics ayudan a supervisar y solucionar problemas que surgen durante la sesión de inicio de sesión de un usuario.

Las siguientes son las métricas que Citrix Performance Analytics proporciona al administrador.

  • Experiencia del usuario: esta oferta proporciona información sobre los parámetros de rendimiento de usuario y sesión: una visión profunda de todos los sitios de la organización dentro de un panel conciso. La puntuación de experiencia del usuario ayuda a segregar a los usuarios en función de su experiencia, es decir, Excelente, Justo o Débil

  • Sesiones de Usuario: La sección Sesión de Usuario del panel Experiencia del usuario muestra una métrica de sesión importante para el período y el sitio seleccionados. El administrador puede ver los datos de Total Sesiones, Total de usuarios únicos y Fallos de sesión

  • Capacidad de respuesta de la sesión: estos datos representan el tiempo de ida y vuelta ICA. La información utilizada para cuantificar la experiencia del usuario. La capacidad de respuesta de la sesión tiene la tendencia Sesión activa, Clasificación de sesión y Clasificación de sesión. Si alguna sesión tiene problemas de red, los datos de tendencia de capacidad de respuesta de la sesión ayudan a identificar dichos problemas en la red

  • Duración de inicio de sesión: la duración del inicio de sesión es la disponibilidad de aplicaciones o escritorios después de que el usuario haga clic en la aplicación Citrix Workspace. El tiempo total de inicio de sesión incluye fases como intermediación, inicio de máquina virtual, conexión HDX, autenticación, carga de perfil, script de inicio de sesión, GPO y inicio de shell. Esta sección tiene inicios de sesión totales, clasificación de sesiones y ordenados por grupos de entrega

Referencia: Análisis de rendimiento

Citrix Analytics y Citrix Virtual Apps and Desktops locales

Muchas organizaciones que tienen entornos de Citrix Virtual Apps and Desktops locales pueden aprovechar el servicio Citrix Analytics Cloud. Citrix Analytics admite y descubre orígenes de datos automáticamente.

Para habilitar Analytics on Virtual Apps and Desktops Sites, el administrador puede adoptar uno de los siguientes métodos para incorporar sitios de Virtual Apps and Desktops locales en Citrix Analytics:

  • Sitios incorporados mediante Workspace
  • Sitios incorporados mediante StoreFront

CAS-16

Incorporar sitios Virtual Apps and Desktops con espacio de trabajo

Citrix Analytics descubre automáticamente los sitios una vez agregados a Citrix Workspace. La tarjeta de sitio Virtual Apps and Desktops muestra el número de sitios y usuarios detectados. Para agregar sitios en Citrix Cloud, el cliente necesita tener una suscripción a Workspace. El administrador debe realizar la agregación del sitio antes de continuar con la incorporación en Citrix Analytics.

El administrador tiene que activar el procesamiento de datos en la tarjeta del sitio. Una vez que Citrix Analytics comience a recibir los eventos, los datos recopilados se pueden ver en función del tiempo seleccionado. Un agente de directivas instalado para configurar las directivas y este paso no está asociado con la transmisión de datos desde los orígenes de datos. Para obtener más información sobre el agente de directivas y la instalación, consulte lo siguiente enlace.

Incorporar sitios de Virtual Apps and Desktops mediante StoreFront

Otro método que StoreFront puede convertirse en una fuente de datos de Citrix Analytics es agregar aplicaciones y escritorios de sitios de Citrix Virtual Apps and Desktops en un único almacén para los usuarios. Los eventos de usuario capturados por Citrix Analytics se procesan para obtener información útil sobre los comportamientos de los usuarios. Hay algunos requisitos previos que el administrador tiene que configurar antes de habilitar este método. En el frente de la red, las implementaciones de StoreFront deben tener el puerto TCP 443 abierto para la conexión a Internet saliente. En caso de que el entorno utilice servidores proxy en la red, el administrador tiene que permitir un puerto particular de comunicación.

Desde el servicio Citrix Analytics, el administrador tiene que conectarse a una implementación local de StoreFront. Para habilitar esta función, importe los parámetros de configuración. Esto hace que Citrix Analytics reciba los datos de StoreFront.

Para obtener más información sobre Citrix Virtual Apps and Desktops como origen de datos, consulte lo siguiente enlace.

Integración de Citrix Performance Analytics

Performance Analytics es una solución integral de supervisión. El análisis de rendimiento ayuda a supervisar y ver el uso de Citrix Virtual Apps and Desktops Sites en la organización. Para habilitar estas capacidades, el administrador tiene que configurar sitios locales con Citrix Analytics desde la consola de Citrix Director. Esta función requiere Director versión 1909 o posterior, Delivery Controller y VDA versión 1906 o posterior.

Referencia: Configuración de sitios locales con Citrix Analytics para obtener rendimiento

Ventajas clave de Citrix Analytics

Citrix Analytics es un servicio de análisis intuitivo que permite a los administradores supervisar e identificar actividades incoherentes o sospechosas en las redes. Una plataforma de aprendizaje automático llave en mano que proporciona información útil sobre el comportamiento de los usuarios basada en indicadores de usuarios, endpoints, tráfico de red y archivos.

Una organización puede resolver desafíos empresariales y problemas relacionados con el rendimiento mediante la adopción de soluciones analíticas integradas en una plataforma de aprendizaje automático. Existen varias ventajas que las organizaciones y los administradores pueden obtener al seleccionar Analytics Service en la implementación de Citrix brownfield o en la implementación de campo verde.

  • Detecte y analice amenazas según el comportamiento del usuario Detecte y evite ataques de ransomware tomando medidas de seguridad. Supervise y analice el acceso de los usuarios, y el comportamiento de autenticación ayuda a detener la actividad maliciosa y evitar cualquier pérdida de datos. Plataforma automatizada con la ayuda de algoritmos ML e IA, se detectan cualquier anomalía

  • Visibilidad del estado El análisis avanzado ayuda a identificar problemas de forma proactiva. Application Performance Analytics destila los datos de las aplicaciones y muchas métricas de rendimiento en tiempo real en una puntuación de aplicación de un solo dígito que muestra la capacidad de respuesta de una aplicación. Los administradores y los propietarios de aplicaciones pueden profundizar en la infraestructura asociada a aplicaciones específicas para solucionar problemas.

  • Seguridad externa más estricta Citrix Analytics genera un índice de amenazas basado en el tipo de infracción, la tasa de ataque, la ubicación y los detalles del cliente.

  • Seguridad interna mejorada Citrix Analytics recopila una amplia variedad de datos de muchas fuentes relacionadas con la actividad del usuario, los comportamientos de acceso y los patrones de uso de datos y redes. La plataforma automatizada de aprendizaje automático ayuda a mitigar cualquier ocurrencia inusual. La información sobre la interfaz de usuario ayuda a los administradores a comprender las actividades/eventos en el entorno

  • Administración central y automatización Citrix Analytics recopila diferentes métricas de varios recursos, que ayudan a un administrador a supervisar todos los productos de la cartera de Citrix desde una única interfaz de usuario

  • El servicio en la nube Citrix Analytics es una oferta SaaS de Citrix Cloud que cuenta con seguridad, rendimiento y panel operativo. La interfaz de usuario proporciona un resumen y categorización de los perfiles de riesgo de usuario, detalles de la experiencia del usuario, etc. en el entorno Citrix

Resumen

Muchos de los desafíos mundiales en materia de seguridad no se abordan únicamente con los instrumentos tradicionales de protección contra amenazas existentes. La mayoría de los ataques provienen de actores externos que posiblemente defendieron, pero los ataques desde dentro del perímetro son aún más amenazantes. Al tiempo que defienden las amenazas externas, muchas organizaciones no reconocen el impacto en el rendimiento ni identifican la causa raíz.

Citrix Analytics, que viene con aprendizaje automático integrado mejorado con inteligencia artificial, es muy prometedor para abordar muchos desafíos de seguridad en un entorno Citrix. Citrix Analytics no se trata solo de la seguridad de un entorno Citrix. Proporciona visibilidad del rendimiento con la puntuación de la experiencia del usuario y visibilidad de las operaciones del usuario en términos de dominios visitados, consumo de datos, etc. La integración de Citrix Analytics en implementaciones de campo verde o brownfield ayuda al administrador a tener un mayor control del entorno Citrix y reducir los costes de TI.

Fuentes

El objetivo de esta arquitectura de referencia es ayudarle con la planificación de su propia implementación. Para facilitar este trabajo, nos gustaría proporcionarle diagramas de origen que puede adaptar en sus propios diseños detallados y guías de implementación: diagramas de origen.

Referencias

Se hace referencia a los siguientes recursos para una mejor comprensión de Citrix Analytics:

Citrix Analytics

Security Analytics

Operations Analytics

Preguntas frecuentes

Servicio de Citrix Analytics