访问保障仪表板
随着远程办公的增加,作为 Citrix IT 管理员,您可能希望确保用户从其常用且安全的地点访问 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。如果任何用户从未知或新地点登录,您可以验证其登录详细信息并采取必要措施,以缓解对 Citrix IT 环境的任何威胁。
访问保障仪表板概述了用户访问虚拟应用或虚拟桌面的地点和网络。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace app 接收这些用户登录事件。有关支持版本的更多详细信息,请参阅Citrix Workspace app 版本矩阵。
查看仪表板
要查看仪表板,请单击“安全”>“访问保障”。选择要查看登录详细信息的时间段。
访问摘要
仪表板的摘要部分提供选定时间段的以下信息:
-
跨地点(全球)的用户登录总数。
-
跨地点(全球)的唯一用户登录总数。
登录地点
“登录地点”部分提供选定时间段的以下信息:
-
用户登录所来自的国家/地区总数。
-
用户登录所来自的城市总数。
-
地理围栏区域中的国家/地区总数和唯一用户登录数。要查看地理围栏区域的登录详细信息,请启用地理围栏。
-
具有唯一用户登录的前 10 个地点。有时,前 10 个唯一用户登录也来自未知城市和国家/地区,这些登录列在“未知地点”选项卡下。未知地点列表也是前 10 个地点的子集。要查找某些地点未识别的原因,请参阅识别为不可用的地点。
您还可以查看全球用户登录总数和全球唯一用户登录总数的上升或下降趋势。对于前 10 个地点,“偏差”列显示每个地点用户登录的变化(正 (+) 或负 (-))。此比较基于选定时间段和长度相等的上一个时间段。例如,如果选择时间段“上个月”,则用户登录趋势和偏差将与上个月和上上个月进行比较。
注意
地点信息在城市和国家/地区级别提供,不代表精确的地理位置。有关访问保障、地理位置的更多详细信息,请参阅常见问题解答。
在“前 10 个唯一登录地点”表中,选择一个地点以查看用户及其访问配置文件和登录详细信息。
地图显示选定时间段内来自各个地点的唯一用户数。将鼠标悬停在蓝色气泡上或放大到某个地点,以查看来自该地点的唯一用户登录总数。单击蓝色气泡以查看某个地点的访问详细信息。
在地图的右下角,您可以查看唯一用户登录的范围。对于选定时间段,小气泡表示跨地点的唯一用户登录的最小数量。大气泡表示跨地点的唯一用户登录的最大数量。
识别为不可用的地点
在“前 10 个唯一登录地点”表中,您可能会看到某些地点未知或不可用。单击未知地点以在“用户登录”页面上查看相应的用户登录详细信息。
在“用户登录”页面上,如果任何国家/地区或城市信息不可用,“数据”表将显示“不适用”标签。
将鼠标悬停在“不适用”标签上,以查看地点信息不可用的原因。
您可能会看到以下地点不可用的情况之一:
| 场景 | 原因 |
|---|---|
| 城市名称和国家/地区名称不可用。 | 以下情况之一: |
|
|
| 具有专用 IP 的地点 | 用户的设备位于专用网络中。在这种情况下,Citrix Analytics 无法获取地点信息。 |
| 国家/地区名称可用,但城市名称不可用。 | 用户的设备可能正在使用公司 IP。公司 IP 范围在外部地理位置服务中被混淆。因此,Citrix Analytics 无法获取地点信息。 |
启用地理围栏
地理围栏可帮助您识别从安全地理围栏外部和危险地理围栏内部区域访问虚拟应用或虚拟桌面的用户。要查看“访问摘要”页面,请导航到“安全”>“访问保障”。
默认情况下,“地理围栏设置”始终处于开启状态。要配置地理围栏,请单击“添加/编辑地理围栏”。
“地理围栏设置”窗口显示两个选项卡:
- “安全地点”:您可以配置或删除属于安全地点的国家/地区。
- “危险地点”:您可以配置或删除属于危险地点的国家/地区。 您还可以查看每个选项卡上配置的安全和危险地点的总数。要从安全地点地理围栏或危险地点地理围栏中删除或移除国家/地区,请单击国家/地区旁边的关闭 (X) 符号。单击“保存”以保存地理围栏设置。
您可以配置属于危险地点地理围栏的国家/地区。如果未为危险地点地理围栏添加风险指示器或风险指示器已被删除,您将在“添加/编辑地理围栏”旁边看到“更新地理围栏”警告消息。
要重新创建指示器,请导航到“危险地点”选项卡并打开“危险地理围栏的风险指示器”开关。
指示器将使用危险地点的默认列表创建。
“访问摘要”页面还会显示地理围栏的安全和危险国家/地区。
- 地理围栏的安全国家/地区标有浅灰色圆圈。
- 地理围栏的危险国家/地区标有深灰色圆圈。
地理围栏:唯一用户登录
导航到“访问摘要”页面以查看“地理围栏:唯一用户登录”。该卡显示“危险地点内部”和“安全地点外部”的数量。
- “危险地点内部”:识别从危险地点地理围栏区域内部登录的用户。
- “安全地点外部”:识别从安全地点地理围栏区域外部登录的用户。
要获取总用户登录和唯一用户登录的详细摘要,请单击“危险地点内部”或“安全地点外部”旁边的数字。
此功能使用以下预配置的自定义风险指示器:
- CVAD-会话在地理围栏外部启动:用于监视安全地理围栏外部的用户登录。
- CVAD-会话在危险地理围栏内部启动:用于监视危险地理围栏内部的用户登录。
如果检测到任何用户登录在地理围栏外部,则会触发风险指示器,并对这些用户应用“会话在地理围栏外部启动”策略。该策略会触发“请求最终用户响应”操作,并根据用户的响应,您可以采取适当措施来防止任何可疑登录带来的威胁。有关更多信息,请参阅预配置的自定义风险指示器。
注意
在“地理围栏设置”中,当您修改国家/地区时,“CVAD-会话在地理围栏外部启动”风险指示器也会更新。
例如,如果您选择并保存澳大利亚和印度作为新的地理围栏国家/地区,则风险指示器的预配置条件将更新为新的国家/地区,此外还有美国(默认地理围栏)。您还可以移除默认地理围栏国家/地区美国。
风险指示器的预配置条件:
Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"更新“地理围栏设置”后,风险指示器的条件:
Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"如果“CVAD-会话在地理围栏外部启动”风险指示器之前已从您的帐户中删除,则启用“地理围栏设置”将再次创建该风险指示器。风险指示器的地理围栏国家/地区由“地理围栏设置”控制。
启用“地理围栏设置”后,地图将显示地理围栏区域和来自这些区域的唯一用户登录。
登录网络
在访问保障仪表板中,您现在可以查看以下附加用户详细信息:
-
与用户登录所来自的 IP 地址关联的组织。这些组织包括公司、政府、教育实体和互联网服务提供商等实体。
-
用户登录所来自的唯一公共子网和专用子网总数。
-
用户使用代理和专用 VPN 服务登录的详细信息。
作为管理员,您可以使用这些附加详细信息来验证用户登录详细信息,并确保用户登录符合组织的安全预期。
查看用户网络详细信息
导航到“安全”>“访问保障”,然后向下滚动以查看“登录网络”下的详细信息。
-
“IP 地址总数”:指示用于登录虚拟会话的唯一 IP 地址总数。
-
“子网总数”:指示用于登录虚拟会话的子网总数。
-
“代理类型总数”:指示服务器用于代理用户连接的网络或协议的总类型。
-
在“IP 注册组织分布前十名”下,您可以可视化每个组织 (ISP) 的用户登录总数和唯一登录详细信息的概述。您可以单击图表以向下钻取,查看与所选组织关联的用户详细信息及其访问配置文件和登录详细信息。
-
在“唯一公共子网总数”下,您可以可视化子网、每个子网的用户登录总数以及每个子网的偏差趋势的概述。您可以单击每个子网以向下钻取,查看与所选子网关联的用户详细信息及其访问配置文件和登录详细信息。
查看用户的访问配置文件
当您向下钻取任何指标(地点、组织或子网)时,“访问配置文件”页面会提供用户从选定地点访问虚拟应用或虚拟桌面的摘要。您可以选择“唯一登录”或“总登录”选项以查看选定时间段的趋势分析。
您可以查看选定指标(地点、组织或子网)的顶部访问事件。此信息可帮助您查看访问模式以及用于威胁调查和分析的详细信息。
总用户登录和唯一用户登录的上升或下降趋势是根据选定时间段和长度相等的上一个时间段进行比较的。例如,如果选择时间段为“上个月”,则趋势将与上个月和上上个月进行比较。
方面
您可以将以下方面用于访问事件:
-
“地点” - 按国家/地区及其城市筛选访问事件。
-
“操作系统” - 按操作系统及其版本筛选访问事件。
-
“子网” - 按子网筛选访问事件。
-
“客户端 IP 类型” - 按公共或专用筛选访问事件。
-
“IP 注册组织” - 筛选与公共 IP 地址关联的组织。
-
“专用 VPN 服务” - 按专用 VPN 网络名称筛选访问事件。
-
“代理类型” - 按代理类型分类(例如 HTTP、Web、Tor 和 SOCKS)筛选访问事件。
注意
如果数据不可用或未识别,您可能还会看到“不适用”标签。
根据应用的筛选器,查看总用户登录和唯一用户登录的以下信息:
-
“网络” - 用户登录虚拟应用或虚拟桌面的顶部子网和 IP 地址。
-
“地点” - 用户登录虚拟应用或虚拟桌面的顶部国家/地区和城市。
-
“端点” - 基于应用和桌面用户登录的顶部设备和操作系统名称。
查看用户登录详细信息
“用户登录”页面提供用户从选定地点登录虚拟应用或虚拟桌面的详细信息。此信息有助于您进行威胁调查和分析。
“数据”表显示选定地点和时间段的以下登录详细信息:
-
“时间”。用户登录的日期和时间。
-
“用户名”。用户的身份。
-
“客户端 IP”。用户设备的 IP 地址。
-
“客户端 IP 类型”。用户 IP 地址的类型,例如公共或专用。
-
“城市和国家/地区”。用户登录虚拟应用或虚拟桌面的地点。
-
“设备 ID”。用户设备的身份代码。
-
“操作系统名称”。用户设备上的操作系统。有关更多信息,请参阅应用和桌面的自助服务搜索。
如果展开每个事件,您可以看到以下详细信息:
-
“操作系统版本”。用户设备上操作系统的版本。有关更多信息,请参阅应用和桌面的自助服务搜索。
-
“操作系统额外信息” - 操作系统的任何附加信息,例如内部版本号、Service Pack 和修补程序。有关更多信息,请参阅应用和桌面的自助服务搜索。
-
“Workspace app 版本”。Citrix Workspace™ app 或 Citrix Receiver 的内部版本。
在“数据”表上,您可以执行以下操作:
-
单击“添加或移除列”以根据您希望查看数据的方式更新表列。
-
单击“排序依据”并选择数据元素以执行多列排序。有关更多信息,请参阅多列排序。
-
单击“导出为 CSV 格式”以下载“数据”表中显示的数据到 CSV 文件,并将其用于您的分析。
搜索栏
您还可以使用搜索栏,通过与登录事件关联的维度定义查询。
例如:
User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”
User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6
方面
您可以将以下方面用于登录事件:
-
“地点” - 按国家/地区及其城市筛选登录事件。
-
“操作系统” - 按操作系统及其版本筛选登录事件。
-
“子网” - 按子网筛选访问事件。
-
“客户端 IP 类型” - 按公共和专用 IP 类型筛选访问事件。
-
“IP 注册组织” - 按用户使用的 ISP 筛选访问事件。
-
“专用 VPN 服务” - 按专用 VPN 网络名称筛选访问事件。
-
“代理类型” - 按代理类型分类(例如 HTTP、Web、Tor 和 SOCKS)筛选访问事件。
注意
如果数据不可用或未识别,您可能还会看到“不适用”标签。