Citrix Application Delivery Management 服务

机器人违规详情

注意

即使没有观察到违规,也可以查看交通模式分析。有关详细信息,请参阅没有违规行为的行为检查

客户端连接过多

当客户端尝试访问 Web 应用程序时,将在 Citrix ADC 设备中处理客户端请求,而不是直接连接到服务器。在某些情况下,攻击者使用自动机器人通过发送高连接来访问应用程序或使应用程序无响应。

使用 “ 客户端连接过多 ” 指示符,您可以分析应用程序通过机器人接收异常高的客户端连接时的情况。

客户端连接过多

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 灵敏度级别并将其更改为低、中或高。使用 “ 编辑敏感度” 选项,您可以查看和编辑现有行为检查配置文件或创建新的配置文件。有关详细信息,请参阅配置行为检查配置

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指示处理应用程序的 IP 地址总数

  • 应用程序可以接收的接受 IP 地址范围

账户接管

注意

确保启用高级安全分析。有关详细信息,请参阅设置

某些恶意机器人可以窃取用户凭据并执行各种网络攻击。这些恶意机器人被称为坏机器人。识别错误的机器人并保护您的设备免受任何形式的高级安全攻击至关重要。

必备条件

您必须在 Citrix ADM 中配置 帐户接管 设置。

  1. 导航到 分析 > 安全 > 安全违规

  2. 单击时间持续时间列表旁边的可用设置图标。

  3. 在 “帐户接管 ” 选项卡中单击 “ 添加

    账户接管

  4. 添加应用程序 页面上,指定以下参数:

    1. 应用程序 -从列表中选择虚拟服务器。

    2. 方法 -从列表中选择 HTTP 方法类型。可用的选项包括 GETPUSHPOSTUPDATE

    3. 登录 URL 和成功响应代码 -指定 Web 应用程序的 URL 并指定希望 Citrix ADM 报告来自坏机器人的帐户接管违规的 HTTP 状态代码(例如 200)。

    4. 单击添加

      账户接管

配置设置后,使用 账户接管指示器,您可以通过 提供多个请求和凭据来分析坏机器人是否试图接管您的帐户。

帐户接管 1

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指示异常失败登录活动总数、成功登录和失败登录

  • 错误的机器人 IP 地址。单击查看详细信息,如时间、IP 地址、成功登录总数、失败登录总数以及从该 IP 地址发出的请求总数。

    帐户接管 1

Citrix Gateway 的帐户接管

许多用户可以访问 Citrix Gateway 以通过 VPN 进行远程访问,也可以访问 Citrix Virtual Apps and Desktops。可通过互联网访问这些用户的 Citrix Gateway 登录页面。此登录页面的可用性成为账户接管的简单目标。一些恶意机器人可能会窃取用户凭据并执行各种网络攻击,例如填充凭据和密码喷射。

  • 凭据填充 — 一种网络攻击,在此攻击中,从某项服务获得的数据泄露凭据用于另一项服务来获取访问权限。

  • 密码喷洒 — 一种网络攻击,攻击者/机器人试图通过在短时间内反复猜测凭据来获得对服务的未经授权的访问。

这些恶意机器人被称为坏机器人。在 Citrix ADM 中,您可以分析 Citrix Gateway 的此类异常登录活动。 作为管理员,使 用 Citrix Gateway 的帐户接 管指示器,您可以通过提供多个请求和凭据来分析坏机器人是否试图接管 Citrix Gateway 帐户。

ATO

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 该图表显示请求总数、成功登录和登录失败等详细信息。

  • 违规发生时间

  • 违规检测消息,指示异常失败登录活动总数、成功登录和失败登录

  • 错误的机器人 IP 地址。单击可查看详细信息,例如时间、客户端 IP 地址、成功登录总数、失败登录总数以及从该 IP 地址发出的请求总数。

    网关客户端

上传量异常高

Web 流量包括为上传而处理的数据。例如,如果您的每天平均上传数据为 500 MB,并且您上传了 2 GB 数据,则可视为异常高的上传数据量。机器人还能够比人类更快地处理上传数据。

使用 异常高上传量 指标,您可以分析通过机器人将数据上传到应用程序的异常情况。

异常大的上传量

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指示已处理的总上载数据卷

  • 向应用程序上传数据的接受范围

异常高的下载量

与高上传量类似,机器人也可以比人类更快地执行下载。

使用 异常高下载量 指标,您可以分析通过机器人从应用程序下载数据的异常情况。

异常大的下载

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指示已处理的总下载数据量

  • 可接受的应用程序下载数据范围

异常高的请求率

您可以控制来自或到应用程序的传入和传出流量。机器人攻击可以执行异常的高请求速率。例如,如果您将应用程序配置为允许 100 个请求/分钟,并且您观察到 350 个请求,则可能会发生机器人攻击。

使用 异常高请求率 指示器,您可以分析应用程序收到的异常请求率。

高请求率

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指示收到的请求总数和收到的请求超过预期请求的百分比

  • 应用程序的预期请求速率范围的接受范围

网站扫描器

网络爬虫、蜘蛛或搜索引擎机器人可以从互联网下载内容并编制索引。这些机器人的目的是对整个互联网上的网站内容进行索引,并使这些网站出现在搜索引擎结果中。网络爬虫程序机器人从一组已知来源开始,关注从页面到另一个页面以及从另一个页面到更多页面的超链接,依此类推。好的机器人遵循规则,只为搜索引擎中需要显示的页面编制索引。坏机器人会尝试从网站访问所有可能的内容并对网站进行分析,以后可以用于定位该网站出于各种目的。

必备条件

您必须在 Citrix ADM 中配置 网站扫描 程序设置。

  1. 导航到 Analytics > 安全 > 安全违规

  2. 单击时间持续时间列表旁边的可用设置图标。

  3. Web 站点扫描和抓取选项卡中,单击添加

    网站扫描设置

  4. 添加网站扫描和抓取配置 页面上:

    1. 会话跟踪方法 -选择跟踪方法作为 客户端 IPCitrix Web 应用程序防火墙后端应用程序URL

      注意

      如果选择 后端应用程序,请务必在启用了时 高级安全分析 时选择启用 Cookie 标头选项。

      启用 cookie 标题

    2. 应用程序 -从列表中选择应用程序。

  5. 单击添加

    会话跟踪方法

配置设置后,使用 网站扫 描器指示器,您可以分析客户端会话(良好的机器人或坏机器人)是在尝试扫描还是抓取整个网站。

网站扫描仪

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 灵敏度级别并将其更改为低、中或高。使用 “ 编辑敏感度” 选项,您可以查看和编辑现有行为检查配置文件或创建新的配置文件。有关详细信息,请参阅配置行为检查配置

  • 指示潜在扫描详细信息的图表。

  • 检测消息,指示检测到的潜在扫描程序会话。单击查 看潜在扫描程序会话 下的数字以查看客户端详细信

    潜在的会话

内容抓取器

内容抓取是使用机器人从目标来源提取关键业务信息的过程。这些坏机器人可能会在短时间内从数千页中报废图像、文本、HTML 代码等内容。内容抓取的影响可能会导致内容被盗、SEO 排名、版权免责声明等丢失。

在 Citrix ADM 中,作为管理员,您可以分析坏机器人是否试图报废网站内容。您必须配置以下先决条件才能在 Citrix ADM 中查看详细信息。

必备条件

您必须在 Citrix ADM 中配置内容抓取设置。

  1. 导航到 Analytics > 安全 > 安全违规

  2. 单击时间持续时间列表旁边的可用设置图标。

  3. Web 站点扫描和抓取选项卡中,单击添加

    网站扫描设置

  4. 添加网站扫描和抓取配置 页面上:

    1. 会话跟踪方法 -选择跟踪方法作为 客户端 IPCitrix Web 应用程序防火墙后端应用程序URL

      注意

      如果选择 后端应用程序,请务必在启用了时 高级安全分析 时选择启用 Cookie 标头选项。

      启用 cookie 标题

    2. 应用程序 -从列表中选择应用程序。

  5. 单击添加

    会话跟踪方法

配置设置后,使用 内容抓取器指示器 ,您可以分析客户端会话(良好的机器人还是坏机器人)是否试图报废内容。

内容抓取器

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 指示潜在废品详细信息的图表。

  • 检测消息,指示检测到潜在的抓取器会话。单击查看潜在抓取程序会话下的数字以查看客户端详细信息。

API 滥用

验证访问服务器资源的用户身份的过程称为 API 身份验证。API 验证可以通过以下方式进行:

  • API 密钥

  • 智威汤逊令牌

  • 证书

坏机器人可以使用或窃取这些身份验证,并执行各种网络攻击,例如填充凭据和密码喷射。在 Citrix ADM 中,您可以分析 API 的此类异常登录活动。

作为管理员,使用 API 滥用指标,您可以使用 API 身份验证分析坏机器人是否试图接管目标资源。

API 滥用

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 该图表显示请求总数、成功登录、登录失败和 API 滥用违规等详细信息。

  • 违规发生时间

  • 违规的检测消息,指示 API 身份验证成功和失败尝试。

  • 坏机器人细节。单击可查看详细信息,例如时间、客户端 IP 地址、成功登录总数、失败登录总数以及从该 IP 地址发出的请求总数。

    坏机器人客户端会话

基于击键和鼠标动态的机器人检测

超过 35% 的网络流量是机器人,这些机器人可以比人类更快地执行各种任务。在某些情况下,机器人还参与需要键盘和鼠标输入的任务。

例如,只有人必须键入密码才能访问受保护资源。机器人可以通过自动提供凭据并比人类更快地尝试多种组合来参与帐户占领等攻击。除了违规行为(帐户接管、客户端连接过多等)之外,Citrix ADM 还使您能够根据击键和鼠标动态检测机器人并获取有关机器人的见解。

必备条件

  • 启用 机器人洞察

  • 在 Citrix ADC 实例中配置以下内容:

     add/set bot profile <name> -KMDetection ( ON | OFF )
    
     bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
    
     add/set bot profile <name> -KMJavaScriptName  <string>
    
     set bot profile <profile_name> -KMEventsPostBodyLimit 8192K
     <!--NeedCopy-->
    
  • 添加机器人策略将机器人策略绑定到虚拟服务器

  • 确保检查行为检查配置文件中是否选择了基于击键和鼠标动态的机器人检测选项。有关详细信息,请参阅配置行为检查配置

配置先决条件后,Citrix ADM 中 基于键击和鼠标动态的机器人检测 指示器使您能够查看击键和鼠标动态中涉及的机器人。

击键和鼠标机器人

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 指示潜在机器人详细信息的图表。

  • 检测消息,指示检测到的潜在机器人会话。单击查看潜在机器人会话下的数字可查看详细信息,包括机器人类型和机器人类别。有关详细信息,请参阅机器人检测

    潜在的机器人