Citrix Analytics

Los entornos de TI de las organizaciones son cada vez más complejos a medida que empiezan a adoptar aplicaciones SaaS, cloud y móviles. Los administradores necesitan la visibilidad de su entorno no solo para protegerlo de usuarios malintencionados, sino también para mejorar la experiencia del usuario de forma proactiva. Citrix Analytics reúne toda la cartera de Citrix para proporcionar visibilidad sobre el estado y el contexto de los usuarios individuales. A diferencia de algunas de las otras herramientas de supervisión que ofrece Citrix, Citrix Analytics le proporciona información proactiva y prescriptiva sobre su entorno para resolver problemas antes de que se conviertan en un problema. Citrix Analytics se basa en el aprendizaje automático para proporcionarle la información necesaria sin sobrecarga de información.

Información general

Citrix Analytics genera información útil, lo que permite a los administradores gestionar de forma proactiva las amenazas de seguridad de usuarios y aplicaciones, mejorar el rendimiento de las aplicaciones y admitir operaciones continuas. Citrix Analytics está disponible como un servicio en la nube proporcionado a través de Citrix Cloud. Citrix Analytics se puede dividir en tres categorías: Seguridad, Rendimiento y Uso. Citrix Analytics for Security le permite supervisar e identificar actividades incoherentes o sospechosas dentro de su entorno. Usage Analytics le ofrece visibilidad sobre cómo interactúan los usuarios con varios productos Citrix. Citrix Analytics for Performance proporciona puntuaciones de experiencia centradas en el usuario, puntuaciones de rendimiento de aplicaciones e infraestructura a través de análisis avanzados.

Citrix Analytics para seguridad

Citrix Analytics for Security recopila datos de Citrix y productos de terceros y genera información útil. Admite la integración con lo siguiente:

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops (locales y como servicio)
  • Servicio Citrix Secure Browser
  • API de seguridad de Microsoft Graph
  • Microsoft Active Directory (en prem)

Citrix Analytics for Security detecta un comportamiento anómalo del usuario a través de su servicio de aprendizaje automático μ-service. Asigna a los usuarios una puntuación de riesgo, un valor que indica el nivel agregado de riesgo que plantea un usuario a través de la puntuación de riesgo del servicio μ. Esta puntuación es un valor dinámico que se basa en Análisis de comportamiento de usuario (UBA). Los administradores pueden crear directivas para automatizar procesos y aplicar acciones basadas en indicadores de riesgo. Citrix Analytics for Security conserva los datos durante 13 meses. Si el administrador desactiva el procesamiento de datos para un origen de datos específico, los datos que ya se capturaron permanecen almacenados durante 13 meses. Más información sobre los registros específicos por origen de datos que se recopilan aquí.

Citrix Analytics for Security recibe la información de la siguiente manera. Para el servicio Citrix Secure Workspace Access, Citrix Content Collaboration, Citrix Endpoint Management y Citrix Gateway Service (nube) recibe su información directamente desde el plano de control del origen de datos específico. Para Citrix Gateway on-prem, recibe los datos del agente de administración de entrega de aplicaciones. Para Citrix Virtual Apps and Desktop (cloud & on-prem), recibe su información a través de la aplicación Citrix Workspace. Para obtener datos de Active Directory, Citrix Analytics se comunica con los conectores de Cloud. Para la seguridad de Microsoft Graph, podemos obtener información de la protección de identidades de Azure AD y ATP de Windows Defender a través de las API de gráficos.

Para empezar, debe tener una cuenta de Citrix Cloud. Una vez que tenga acceso a Citrix Cloud, puede solicitar acceso a una versión de prueba de Citrix Analytics for Security. A continuación, tenga las opciones para habilitar el procesamiento de datos y comenzar a recibir información. Se puede encontrar una guía detallada sobre cómo comenzar aquí.

Arquitectura de alto nivel

Panel de usuarios

El panel de usuarios le permite obtener una vista holística de cualquier usuario que se considere arriesgado dentro de su organización. Los usuarios se clasifican entre usuarios de alto, medio y bajo riesgo. Los administradores pueden cambiar las vistas de los usuarios con las puntuaciones más altas, los usuarios de cambios de puntuación más altos, los usuarios de indicadores de riesgo o los cambios en los indicadores de riesgo. Además, muestra las categorías de riesgo, lo que básicamente le proporciona una lista completa de la exposición al riesgo y lo que requiere atención inmediata. Puede encontrar más información en el panel del usuario aquí.

Panel de usuario

Con todos estos paneles, puede hacer clic y obtener información más detallada. Por ejemplo, si hace clic en Ver más en el panel Categorías de riesgo, obtendrá un resumen de las ocurrencias del indicador de riesgo en cada categoría.

Informe de Riesgo

Además, si en el panel de control de usuarios arriesgados, hace clic en un usuario específico, lo redirigirá a la línea de tiempo de riesgo del usuario. Esta línea de tiempo le permite obtener información más detallada sobre las acciones que el usuario ha realizado que son riesgosas. También verá si se han realizado acciones automatizadas contra ese usuario específico. Al hacer clic en cada evento, puede obtener información adicional sobre cuándo ocurrió un evento y dónde está el origen de ese evento. En el panel de control de riesgos de usuario, puede encontrar información de usuario como información de AD (teléfono, correo electrónico, título) e información sobre qué aplicaciones, dispositivos y ubicaciones están utilizando. Se puede encontrar más información sobre el cronograma de riesgo aquí.

Cronología de Riesgo

Las puntuaciones de riesgo se calculan mediante infracciones basadas en directivas (establecidas por los administradores), modelado del comportamiento del usuario a lo largo del tiempo, detección de comportamiento de anomalías AI/ML y normalización de grupos de pares. Las puntuaciones de riesgo son valores que indican el nivel agregado de riesgo que plantea un usuario. Los indicadores de riesgo son actividades de usuario que parecen sospechosas o pueden representar una amenaza para la seguridad de su organización. Hay indicadores de riesgo predeterminados que utiliza el sistema, pero el administrador también puede crear indicadores de riesgo personalizados.

Puntuación de riesgo

Directivas y acciones

Las directivas se definen de modo que una vez que se cumple una condición, se ejecuta la acción. Una directiva contiene una o más condiciones y una sola acción. Hay directivas predeterminadas disponibles: estas directivas tienen condiciones predefinidas y tienen una acción correspondiente. Estas directivas predeterminadas se pueden utilizar tal cual o modificarse en función de sus requisitos. Las directivas predeterminadas son las siguientes:

  • Explotación de credenciales correcta
  • Exfiltración potencial de datos
  • Acceso inusual desde una IP sospechosa
  • Acceso inusual a aplicaciones desde una ubicación inusual
  • Usuario de bajo riesgo: acceso por primera vez desde una nueva IP
  • Acceso por primera vez desde el dispositivo

Las acciones son las respuestas a los eventos sospechosos que impiden que ocurran eventos anómalos futuros. Las acciones pueden ser invocadas a voluntad por el administrador de Citrix Analytics o automáticamente por el sistema según las reglas definidas por el administrador. Actualmente están disponibles las siguientes acciones:

  • Global
    • Solicitar respuesta del usuario final
    • Agregar a la lista de seguimiento
    • Notificar a los administradores
    • Eliminar de la lista de seguimiento
  • Citrix Content Collaboration
    • Inhabilitar usuario
    • Caducar todos los enlaces
  • Citrix Virtual Apps and Desktops
    • Cerrar sesión usuario
    • Iniciar grabación de sesiones
    • Detener la grabación de sesiones
  • Citrix Endpoint Management
    • Bloquear dispositivo
    • Notificar administrador
    • Notificar usuario

Actualmente, las siguientes condiciones están disponibles al crear una directiva:

  • Puntuación de riesgo
    • Puntuación de riesgo (igual, es mayor que, es menor que)
  • Citrix Gateway
    • Fallos excesivos de autorización
    • Error en la exploración de la EPA
    • Fallos de autenticación excesivos
    • Inicio de sesión desde IP sospechosa
    • Acceso desde una ubicación inusual
    • Acceso por primera vez desde una nueva IP
  • Citrix Virtual Apps and Desktops
    • Acceso por primera vez desde un dispositivo nuevo
    • Exfiltración potencial de datos
    • Acceso desde un dispositivo con SO no compatible
    • Tiempo inusual de uso de la aplicación (SaaS)
    • Tiempo inusual de uso de la aplicación (virtual)
  • Citrix Content Collaboration
    • Descargas excesivas de archivos
    • Eliminación excesiva de archivos/carpetas
    • Uso compartido excesivo de archivos
    • Subidas excesivas de archivos
    • Fallos de autenticación excesivos
    • Actividad de ransomware sospechosa (archivos reemplazados)
    • Actividad de ransomware sospechosa (alerta DLP)
    • Descargas excesivas
    • Acceso por primera vez desde una nueva ubicación
    • Actividad de ransomware sospechosa (archivos actualizados)
  • Citrix Secure Workspace Access
    • Intento de acceder a URL de la lista de bloqueados
    • Acceso a sitios web arriesgado
    • Descarga excesiva de datos
    • Volumen de carga inusual
  • Citrix Endpoint Management
    • Dispositivo con aplicaciones en la lista de bloqueados detectado
    • Dispositivo liberado por jailbreak o root detectado
    • Dispositivo no administrado detectado

Directiva

Encontrará más información sobre cómo configurar directivas y acciones aquí.

Panel de acceso de usuario

El panel Acceso de usuario resume el número de dominios de riesgo a los que se accede y el volumen de datos cargados y descargados por los usuarios de la red. Proporciona las siguientes métricas:

  • Número de dominios malintencionados a los que acceden los usuarios
  • Número de dominios peligrosos a los que acceden los usuarios
  • Número de dominios desconocidos a los que acceden los usuarios
  • Número de dominios limpios a los que acceden los usuarios
  • Número de URL bloqueadas a las que acceden los usuarios

Acceso de usuario

Panel de acceso a aplicaciones

El panel de acceso a aplicaciones resume los detalles de dominios, direcciones URL y aplicaciones a las que acceden los usuarios de la red. La sección Resumen de acceso a aplicaciones proporciona una descripción general de las siguientes métricas de la red:

  • Número de dominios maliciosos a los que acceden los usuarios
  • Número de dominios peligrosos a los que acceden los usuarios
  • Número de dominios desconocidos a los que acceden los usuarios
  • Número de dominios limpios a los que acceden los usuarios
  • Volumen de datos cargados o descargados de los dominios riesgosos

Acceso a la aplicación

Panel de vínculos compartidos

El panel Compartir vínculos es el punto de inicio del análisis de eventos compartidos y la prevención de amenazas. Muestra la visibilidad de los patrones del vínculo compartido en una organización.

Compartir Enlaces

Informes

Los administradores pueden crear informes personalizados a partir de los eventos recibidos en sus orígenes de datos. Actualmente, los orígenes de datos admitidos para informes personalizados incluyen Secure Workspace Access, Content Collaboration y Virtual Apps and Desktops. Encontrará más información sobre cómo crear informes personalizados aquí.

Informe

Citrix Analytics for Performance

Citrix Analytics for Performance cuantifica la experiencia del usuario y ofrece a los clientes una visibilidad integral sobre cuál es la causa raíz de la experiencia del usuario final. También proporciona agregación y generación de informes en varios sitios para que los clientes que tienen varios sitios puedan consumir datos desde un único panel de vidrio en lugar de tener que iniciar sesión en varias consolas de Director. Por último, proporciona la puntuación de rendimiento de la infraestructura para ofrecer a los administradores una visión coherente del estado de su infraestructura.

La puntuación de la experiencia del usuario se calcula teniendo en cuenta diferentes factores que afectan a la experiencia del usuario final, como la resistencia de la sesión, la disponibilidad de la sesión, la duración del inicio de sesión y la capacidad de respuesta de la sesión. Los administradores pueden entonces dividir más profundamente y examinar los subfactores para poder determinar la causa raíz exacta del problema. Por ejemplo, los factores secundarios para la duración del inicio de sesión incluyen los GPO, la carga de perfil, la sesión interactiva, la intermediación, el inicio de la máquina virtual, la conexión HDX, la autenticación y los scripts de inicio de sesión. Los umbrales dinámicos se utilizan para comparar la duración del inicio de sesión de sesión y los factores y subfactores de respuesta de la sesión. Estos cálculos se realizan por cliente y se calculan en función de los últimos 30 días. Los umbrales se recalibran cada siete días para reflejar los cambios realizados en el entorno. Puede encontrar más información sobre cómo se calcula la puntuación de la experiencia del usuario aquí.

Puntuación UX

Citrix Analytics for Performance se puede utilizar tanto para clientes locales como en la nube y no requiere que los clientes estén en Citrix Workspace. Citrix Analytics obtiene datos directamente de la base de datos de supervisión del Director. Los datos se envían de forma segura desde Director a Citrix Analytics a través del puerto https 443. Citrix Analytics for Performance también captura datos HDX de Citrix Gateway. Para una puerta de enlace local, un cliente debe utilizar el servicio ADM. Para el servicio de Gateway, los datos HDX se envían directamente a Citrix Analytics. No hay datos que vayan de Citrix Cloud a su entorno local. La comunicación de datos es saliente, lo que significa que no es necesario abrir puertos ni permitir ningún tráfico entrante. Para el cliente de Citrix Virtual Apps & Desktop Service, Citrix Analytics obtiene datos directamente de la plataforma de Director, todo lo cual está alojado en Citrix Cloud.

Arquitectura CASP

Panel de puntuación de experiencia de usuario

El panel de puntuación de experiencia de usuario ofrece una visión integral de qué usuarios experimentan una experiencia “excelente”, “justa” o “deficiente”. Citrix Analytics for Performance cuenta con agregación de varios sitios para ofrecerle una visión holística de todos sus entornos (en la nube o en las instalaciones). La agregación de varios sitios ofrece al administrador la flexibilidad de mirar su entorno de forma integral o filtrar por un sitio específico.

Panel de UX

Los administradores de Citrix Analytics pueden profundizar para ver qué factores hacen que el usuario obtenga esa puntuación específica de experiencia de usuario final. Citrix Analytics for Performance proporciona a los administradores información sobre las posibles causas raíz de lo que puede estar causando el problema de experiencia del usuario. Puede encontrar más información sobre los subfactores de experiencia del usuario aquí.

Subfactores

Además, dentro de este panel Experiencia del usuario, los administradores pueden ver las tendencias de las sesiones de usuario que muestran el total de sesiones frente al total de usuarios únicos y el número de errores de sesión. El total de sesiones indica el número total de sesiones de usuario cuando se inicia una aplicación o un escritorio desde Workspace App. El total de usuarios únicos es el número de usuarios únicos que han iniciado una sesión o tienen una sesión activa durante el período de tiempo especificado.

Sesiones de usuario

Panel de control de infraestructura

El panel de infraestructura proporciona a los administradores una visión general del estado de la infraestructura de su entorno. El panel proporciona la información del VDA en todos los sitios. En el caso de los VDA de SO de varias sesiones, los administradores pueden ver qué agentes VDA están en estado inutilizable en función del índice del evaluador de carga. En el caso de los VDA de SO de una sola sesión, los administradores pueden ver el número de agentes VDA que están en uso y disponibles. Encontrará más información sobre las métricas disponibles en el panel Infraestructura aquí.

Infraestructura

Análisis de uso

Usage Analytics proporciona información sobre cómo interactúan los usuarios con varios productos Citrix para ayudar a comprender la adopción y el compromiso de los usuarios. Actualmente, el análisis de uso admite el servicio Secure Workspace Access, Content Collaboration Service y Microapps Service.

Panel Content Collaboration

El panel de control de Content Collaboration proporciona la siguiente información:

  • Número de usuarios únicos que utilizan el servicio Content Collaboration
  • Usuarios de Content Collaboration
  • Cantidad de datos cargados en el servicio Content Collaboration
  • Cantidad de datos descargados en el servicio Content Collaboration
  • Número de archivos cargados en el servicio Content Collaboration
  • Número de archivos descargados en el servicio Content Collaboration
  • Número de acciones realizadas por los usuarios en los archivos
  • Número de eventos compartidos creados por el usuario

Uso

Panel de Microapps

El panel de control de Microapp proporciona información sobre cómo interactúan los usuarios con el servicio Microapp. La siguiente información se puede encontrar en el tablero de instrumentos:

  • Número de usuarios únicos que utilizan las microaplicaciones
  • Principales usuarios de microaplicaciones
  • Microaplicaciones más utilizadas
  • Número de acciones iniciadas por los usuarios que utilizan las microaplicaciones
  • Número de acciones realizadas por los usuarios sobre las notificaciones entregadas por las microaplicaciones

Microaplicaciones

Panel de SaaS y aplicaciones web

El panel SaaS y aplicaciones web proporciona a los administradores de Citrix Analytics información sobre SaaS y aplicaciones web publicadas en Citrix Workspace. La siguiente información se puede encontrar en SaaS y Web Apps Dashboard:

  • Número de usuarios únicos que utilizan SaaS y aplicaciones web
  • Principales usuarios de aplicaciones web y SaaS
  • Número de aplicaciones Saas y web lanzadas
  • Principales aplicaciones Saas y web
  • Principales dominios a los que acceden los usuarios
  • Cantidad total de datos cargados y descargados entre usuarios, aplicaciones y dominios.

SaaS

Arquitectura y flujo de procesos

A continuación puede encontrar la arquitectura conceptual y el flujo de procesos de Citrix Analytics.

Flujo de procesos de análisis