Citrix Analytics for Security

Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

不可能旅行

Citrix Analytics 检测到用户的登录存在风险,如果连续登录来自两个不同的国家/地区,且时间段少于这两个国家/地区之间的预期旅行时间。

不可能的旅行时间情景表明存在以下风险:

  • 凭据泄露:远程攻击者窃取合法用户的凭据。

  • 共享凭据:不同的用户使用相同的用户凭据。

不可能的旅行风险指示器何时触发

不可能旅行风险指示器评估每对连续用户登录之间的时间和估计距离,并在距离大于个人在这段时间内可能行驶的距离时触发。

注意

此风险指示器还包含用于减少以下情况的误报警报的逻辑,这些情况不反映用户的实际位置:

  • 当用户通过代理连接登录到虚拟应用程序和桌面时。
  • 当用户从托管客户端登录到虚拟应用程序和桌面时。

如何分析不可能的风险指标

以用户 Adam Maxwell 为例,他在一分钟的时间内从俄罗斯莫斯科和中国呼和浩特这两个地点登录。Citrix Analytics 将此登录事件检测为不可能的旅行场景,并触发不可能旅行风险指示器。风险指标被添加到 Adam Maxwell 的风险时间表中,并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间表,请选择安全 > 用户。从“风险用户”窗格中,选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中,选择不可能的旅行风险指示器。您可以查看以下信息:

  • 发生了什么 事部分简要概述了不可能旅行事件。

    发生了什么

  • 指标详情部分提供用户登录的位置、连续登录之间的持续时间以及两个位置之间的距离。

    指标详情

  • 登录位置 - 最近 30 天部分显示了用户不可能的出行地点和已知位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。

    登录位置过去 30 天

  • 不可能旅行 - 事件详情部分提供了有关不可能旅行事件的以下信息:

    • 日期和时间:表示登录的日期和时间。
    • 客户端 IP:表示用户设备的 IP 地址。
    • 位置:表示用户登录的位置。
    • 设备:表示用户的设备名称。
    • 登录类型:指示用户活动是会话登录还是帐户登录。当用户成功验证其帐户时,会触发帐户登录事件。而当用户输入凭据并登录其应用程序或桌面会话时,会触发会话登录事件。
    • OS:表示用户设备的操作系统。
    • 浏览器:表示用于访问应用程序的 Web 浏览器。

    登录位置过去 30 天

你可以对用户应用什么操作

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。
  • 通知管理员。当用户帐户有任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。
  • 注销用户。当用户从其帐户注销时,他们将无法通过虚拟桌面访问资源。
  • 开始会话录制。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中选择一个操作,然后单击“应用”。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

潜在的数据泄露

Citrix Analytics 会根据过度尝试泄露数据来检测数据威胁,并触发相应的风险指示器。

与潜在数据泄露风险指示器相关的风险因素是基于数据的风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

当 Citrix Receiver 用户尝试将文件下载或传输到驱动器或打印机时,将触发 潜在的数据泄 露风险指示器。此数据可能是文件下载事件,例如将文件下载到本地驱动器、映射驱动器或外部存储设备。也可以使用剪贴板或通过复制粘贴操作泄露数据。

注意

剪贴板操作仅受 SaaS 应用程序支持。

什么时候触发潜在数据泄露风险指示器

当用户在特定时间段内将过多文件传输到驱动器或打印机时,您会收到通知。当用户在本地计算机上使用复制粘贴操作时,也会触发此风险指示器。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并向相应的用户分配风险评分。潜在的数据泄露 风险指示器已添加到用户的风险时间表中。

如何分析潜在数据泄露风险指标

考虑用户 Adam Maxwell,他登录到会话并尝试打印超出预定义限制的文件。通过此操作,Adam Maxwell 已经超出了他基于机器学习算法的正常文件传输行为。

从 Adam Maxwell 的时间表中,您可以选择潜在的数据泄露风险指标。此时将显示事件的原因以及传输文件所使用的设备等详细信息。

要查看为用户报告的 潜在数据泄露 风险指示器,请导航到“安全”>“用户”,然后选择该用户。

潜在的数据泄露

  • 发生了什么 部分,您可以查看潜在的数据泄露事件的摘要。您可以查看特定时间段内的数据泄露事件数。

    潜在的数据泄露发生了什么

  • 在“事件详细信息”部分,数据泄露尝试以图形和表格格式显示。这些事件在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 时间。数据泄露事件发生的时间。

    • 文件。已下载、打印或复制的文件。

    • 文件类型。已下载、打印或复制的文件类型。

      注意

      打印的文件名仅在 SaaS 应用程序打印事件中可用。

    • 操作。执行的数据泄露事件的种类 — 打印、下载或复制。

    • 设备。使用的设备。

    • 大小。泄露的文件的大小。

    • 位置。用户试图从中泄露数据的城市。

      潜在的数据泄露事件详情

  • 其他上下文信息”部分,在活动发生期间,您可以查看以下内容:

    • 已泄露的文件数。

    • 执行的操作。

    • 使用的应用程序。

    • 用户使用的设备。

      潜在的数据泄露额外的上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们将无法通过虚拟桌面访问资源。

  • 开始会话录制。如果用户的虚拟桌面帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的事件。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从“ 作”菜单中选择一个操作,然后单击“应用”。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

可疑登录

Citrix Analytics 会根据多个上下文因素(由用户使用的设备、位置和网络共同定义)来检测看起来异常或有风险的用户登录。

何时触发可疑登录风险指示器

风险指示器是由以下因素的组合触发的,根据一种或多种条件,每个因素都被视为潜在的可疑因素。

因数 条件
异常的设备 用户从过去 30 天内未使用过的设备登录。
  用户从设备签名与用户历史记录不一致的 HTML5 客户端或 Chrome 客户端登录。
位置不寻常 从用户在过去 30 天内未登录的城市或国家/地区登录。
  城市或国家/地区在地理上与最近(过去 30 天)的登录位置相距甚远。
  在过去 30 天内,从城市或国家/地区登录的用户数为零或最少。
异常的网络 使用用户在过去 30 天内未使用的 IP 地址登录。
  从用户在过去 30 天内未使用的 IP 子网登录。
  在过去 30 天内,从 IP 子网登录的用户数为零或最少。
IP 威胁 社区威胁情报源 Webroot 将该 IP 地址标识为高风险。
  Citrix Analytics 最近从其他用户的 IP 地址检测到高度可疑的登录活动。

如何分析可疑登录风险指示器

考虑首次从印度孟买登录的用户 Adam Maxwell。他使用新设备或过去 30 天未使用的设备登录 Citrix Virtual Apps and Desktops 并连接到新网络。Citrix Analytics 将此登录事件检测为可疑,因为位置、设备和网络因素与其通常的行为不同,并触发 可疑登录 风险指示器。风险指示器被添加到 Adam Maxwell 的风险时间表中,并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间,请选择“安全”>“用户”。从“风险用户”窗格中,选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中,选择可疑登录风险指示器。您可以查看以下信息:

  • 发生了什么部分简要概述了可疑活动,包括风险因素和事件发生时间。

    可疑登录-发生了什么

  • 建议的操作部分,您可以找到可以应用于风险指示器的建议操作。Citrix Analytics for Security 会根据用户构成的风险的严重程度推荐操作。建议可以是以下操作之一,也可以是以下操作的组合:

    • 通知管理员

    • 添加到播放列表

    • 创建策略

    您可以根据建议选择操作。或者,您可以根据从操作菜单中选择要应用的操作。有关详细信息,请参阅手动应用操作

    建议的操作

  • 登录详细信息部分提供了与每个风险因素相对应的可疑活动的详细摘要。为每个风险因素分配一个表示怀疑水平的分数。任何单一风险因素都不表示来自用户的高风险。总体风险基于多个风险因素的相关性。

    怀疑等级 指示
    0–69 该因素看起来正常,不被视为可疑因素。
    70–89 该因素看起来有点不寻常,被认为与其他因素有中等可疑性。
    90–100 该因素是全新的或不寻常的,被认为与其他因素高度可疑。

    可疑的登录信息

  • 登录位置-过去 30 天”部分显示了最近已知位置和用户当前位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。

    可疑的登录位置

  • 可疑登录 - 事件详细信息部分提供了有关可疑登录事件的以下信息:

    • 时间:表示可疑登录的日期和时间。

    • 登录类型:指示用户活动是会话登录还是帐户登录。当用户对其帐户进行身份验证成功时,将触发帐户登录事件。而当用户输入凭据并登录其应用程序或桌面会话时,会触发会话登录事件。

    • 客户端类型:表示用户设备上安装的 Citrix Workspace 应用程序的类型。根据用户设备的操作系统,客户端类型可以是 Android、iOS、Windows、Linux、Mac 等。

    • OS:表示用户设备的操作系统。

    • 浏览器:表示用于访问应用程序的 Web 浏览器。

    • 位置:表示用户登录的位置。

    • 客户端 IP:表示用户设备的 IP 地址。

    • 设备:表示用户的设备名称。

      可疑登录事件详情

你可以对用户应用什么操作

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们将无法通过虚拟桌面访问资源。

  • 开始会话录制。如果用户的虚拟桌面帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的事件。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从“ 作”菜单中选择一个操作,然后单击“应用”。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器