Citrix Analytics for Security

访问保障仪表板

随着远程办公的增加,作为 Citrix IT 管理员,您可能希望确保您的用户可以从他们平常的安全位置访问 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前是 Citrix Virtual Apps and Desktops 服务)。如果有用户从未知位置或新位置登录,则可以验证他们的登录详细信息并采取必要措施来缓解 Citrix IT 环境的任何威胁。

Access Assurance 控制面板概述了用户访问虚拟应用程序或虚拟桌面的位置和网络。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。有关支持版本的更多详细信息,请参阅 Citrix Workspace 应用程序版本矩阵

查看控制板

要查看控制板,请单击“安全”>“访问保障”。选择要查看登录详细信息的时间段。

保证控制板导航

访问摘要

控制面板的摘要部分提供选定时段的以下信息:

  1. 各个位置(全球)的用户登录总数。

  2. 各个位置(全球)的唯一用户登录总数。

    访问摘要

登录位置

登录位置 ” 部分提供所选时段内的以下信息:

  • 用户登录的国家/地区总数。

  • 用户登录的城市总数。

  • 地理围栏区域中的国家/地区总数和唯一用户登录次数。要查看地理围栏区域的登录详细信息, 请启用地理围栏

  • 具有唯一用户登录名的前 10 个位置。有时,排名靠前的唯一用户登录也来自未知的城市和国家,这些登录列在“未知位置”选项卡下。未知位置列表也是前 10 个位置的子集。要查找某些位置未被识别的原因,请参阅 标识为不可用的位置

您还可以查看全球用户登录总数和全球唯一用户登录总数的上升或下降趋势。对于前 10 个位置,“偏差”列显示每个位置的用户登录信息的变化(正 (+) 或负数 (-))。此比较基于选定的时间段和上一个相等长度的时间段。例如,如果选择过去 1 个月时间段,则会比较过去 1 个月与之前到过去 1个月之间的用户登录趋势和偏差。

注意

位置信息是在城市和国家层面提供的,并不代表精确的地理位置。有关访问保障、地理定位的更多详细信息,请参阅 常见问题解答

用户登录详情

在“前 10 个唯一登录位置”表格中,选择一个位置以查看用户及其 访问配置文件登录详细信息

用户登录摘要页

地图显示选定时间段内来自不同位置的唯一用户数量。将鼠标悬停在蓝色气泡上或放大到某个位置以查看该位置的唯一用户登录的总数。单击蓝色气泡可查看某个位置的 访问详细信息

地图放大视图

在地图的右下角,您可以查看唯一用户登录的范围。在选定的时间段内,小气泡表示跨位置唯一用户登录的最小数量。大泡表示各个位置中唯一用户登录的最大数量。

用户计数范围

被确定为不可用的地点

前 10 个唯一登录位置 表中,您可能会看到某些位置未知或不可用。单击未知位置可在“用户登录”页面上查看相应的 用户登 录详细信息。

用户登录页面 上,如果有任何国家或城市信息不可用,DATA 表将显示 NA 标签。

将鼠标悬停在 NA 标签上可查看位置信息不可用的原因。

位置不可用

您可能会看到位置不可用的以下情况之一:

场景 原因
城市名称和国家/地区名称不可用。 以下其中一种:
 
  1. 用户正在使用不受支持的 Citrix Workspace 应用程序版本。要查看位置信息,请将客户端更新到 受支持的版本
拥有私有 IP 的地点 用户的设备位于专用网络中。在这种情况下,Citrix Analytics 不可用位置信息。
国家/地区名称可用,但城市名称不可用。 用户的设备可能正在使用公司 IP。公司 IP 范围在外部地理位置服务中被模糊处理。因此,Citrix Analytics 不可用位置信息。

启用地理围栏

地理围栏可帮助您识别从安全地理围栏外部和危险的地理围栏区域内访问虚拟应用程序或虚拟桌面的用户。要查看“访问摘要”页面,请导航到“安全”>“访问保障”。

默认情况下,地理围栏设置始终处于打开状态。要配置地理围栏,请单击 添加/编辑地理围栏

启用地理围栏

地理围栏设置窗口出现时有两个选项卡:

  • 安全位置:您可以配置或删除属于安全位置的国家/地区。
  • 危险位置:您可以配置或删除属于危险位置的国家/地区。 还可以查看在每个选项卡上配置的安全和危险位置的总数。要从安全位置地理围栏或风险位置地理围栏中删除或移除某个国家,请单击该国家旁边的关闭 (X) 标志。单击“保存”以保存地理围栏设置。

地理围栏设置

您可以配置属于危险地点地理围栏的国家/地区。如果没有为风险位置地理围栏添加风险指示器或风险指示器被删除,则可以在 添加/编辑地理围栏旁边看到更新地理围栏警告消息。

更新地理围栏

要重新创建指示器,请导航到“风险位置”选项卡,然后打开“风险地理围栏的风险指示器”开关。

危险地理围栏的风险指标

该指标是使用默认的风险位置列表创建的。

访问摘要页面还显示了带地理围栏的安全和风险国家/地区。

  • 带地理围栏的安全国家/地区标有浅灰色圆圈。
  • 带地理蔚蓝的风险国家/地区标有深灰色圆圈。

地理围栏国家/地区

地理围栏:唯一用户登录

导航到“访问摘要”页面查看地理围栏:唯一用户登录。该卡显示内部危险位置和外部安全位置的数量。

  • 在危险位置内:识别从危险位置地理围栏区域内登录的用户。
  • 外部安全位置 识别从安全位置地理围栏区域之外登录的用户。

地理围栏唯一用户登录

要查看用户登录总数和唯一登录次数的详细摘要,请单击“内部危险位置”或“外部安全位置”旁边的数字。

访问保障摘要页面

此功能使用以下预配置的自定义风险指示器:

  • CVAD 会话在地理围栏之外启动:监视安全地理围栏之外的用户登录情况。
  • CVAD 会话在有风险的地理围栏中启动:监视有风险的地理围栏内的用户登录。

如果在地理围栏之外检测到任何用户登录,则会触发风险指示器,并对这些用户应用在地理围栏之外启动的会话策略。该策略会触发“请求最终用户响应”操作,根据用户的响应,您可以采取适当的措施来防止来自任何可疑登录的威胁。有关更多信息,请参阅 预配置的自定义风险指标

备注

  • 地理围栏设置中,当您修改国家/地区时,在 地理围栏风险指示器之外启动的 CVAD 会话 也会更新。

  • 例如,如果您选择国家/地区澳大利亚和印度并将其保存为新的地理围栏国家/地区,则除了美国(默认的地理围栏)之外,风险指示器的预配置条件将更新为新的国家/地区。您还可以删除默认的地理围栏国家/地区美国。

    风险指示器的预配置状况: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    更新 地理围栏设置后,风险指示器的状况:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • 如果之前从您的帐户中删除了在 地理围栏风险指示器之外启动的 CVAD 会话 ,则启用 Geofence 设置 会再次创建风险指示器。风险指示器的地理围栏国家/地区由 地理围栏设置进行控制。

启用 地理围栏设置后,地图将显示地理围栏区域以及这些区域的唯一用户登录信息。

登录网络

在 Access Assurance 控制面板中,您现在可以查看以下其他用户详细信息:

  • 与用户登录的 IP 地址相关的组织。这些组织包括企业、政府、教育实体和互联网服务提供商等实体。

  • 用户登录的唯一公有子网和私有子网的总数。

  • 用户使用代理和私有 VPN 服务登录的详细信息。

作为管理员,使用这些其他详细信息,您可以验证用户登录详细信息,并确保用户登录是否符合组织的安全期望。

查看用户网络详情

导航到 “ 安全” > “访问保障 ”,然后向下滚动以查看 “登录网络”下的详细信息。

登录网络

  • IP 地址总数:表示用于登录虚拟会话的唯一 IP 地址总数。

  • 子网总数:表示用于登录虚拟会话的子网总数。

  • 代理类型总数:表示服务器用来代理用户连接的网络或协议的总类型。

  • IP 注册组织的顶级分布下,您可以直观显示每个组织 (ISP) 的用户登录总数和唯一登录详细信息的概览。您可以单击图表深入查看用户的详细信息,以及他们的访问配置文件和与所选组织相关的登录详细信息。

  • 在 “ 唯一公有子网总数” 下,您可以可视化子网概览、每个子网的用户登录总数以及每个子网的偏差趋势。您可以单击每个子网进行深入查看,以查看用户的详细信息及其访问配置文件和与所选子网相关的登录详细信息。

查看用户的访问配置文件

当您深入查看任何指标(位置、组织或子网)时, 访问配置文件 页面会提供用户从所选位置访问虚拟应用程序或虚拟桌面的摘要。您可以选择唯一登录或总登录选项来查看所选时段的趋势分析。

唯一且完整的用户登录

您可以查看所选指标(位置、组织或子网)的热门访问事件。此信息可帮助您查看访问模式和威胁调查和分析的详细信息。

根据选定的时间段和上一个相等长度的时间段,比较用户登录总数和唯一用户登录次数的上升或下降趋势。例如,如果您将时间段选择为“最近 1 个月”,则会比较过去 1 个月和上一个月与过去 1 个月之间的趋势。

访问资料页面视图

Facets

您可以对访问事件使用以下方面:

  • 位置-按国家和城市筛选访问事件。

  • 作系统-按操作系统及其版本过滤访问事件。

  • 子网-按子网筛选访问事件。

  • 客户端 IP 类型-按公共或私有过滤访问事件。

  • IP 注册组织-筛选与公共 IP 地址关联的组织。

  • 专用 VPN 服务-按专用 VPN 网络名称筛选访问事件。

  • 代理类型-按代理类型分类(例如 HTTP、Web、Tor 和 SOCKS)筛选访问事件。

注意

如果数据不可用或未识别,您可能还会看到不可用的标签。

根据应用的筛选器,查看以下信息,了解用户登录总数和唯一用户登录次数:

  • 网络-用户登录虚拟应用程序或虚拟桌面的顶级子网和 IP 地址。

    顶级访问详情

  • 地点-用户登录虚拟应用程序或虚拟桌面的排名靠前的国家和城市。

    热门访问位置详情

  • 端点-基于应用程序和桌面用户登录的顶级设备和操作系统名称。

    热门访问端点详情

查看用户的登录详细信息

用户登录”页面提供了用户从所选位置登录到虚拟应用程序或虚拟桌面的详细信息。这些信息在威胁调查和分析过程中有所帮助。

用户登录页

DATA 表显示所选位置和时间段的以下登录详细信息:

  • 时间。用户登录的日期和时间。

  • 用户名。用户的身份。

  • 客户端 IP。用户设备的 IP 地址。

  • 客户端 IP 类型。用户的 IP 地址类型,例如公共或私有。

  • 城市和国家。用户登录到虚拟应用程序或虚拟桌面的位置。

  • 设备 ID。用户设备的身份代码。

  • 操作系统名称。用户设备上的操作系统。有关详细信息,请参阅应用程序和桌面的自助式搜索

    用户登录数据表

如果您扩展每个事件,则可以看到以下详细信息:

  • 操作系统版本。用户设备上的操作系统版本。有关详细信息,请参阅应用程序和桌面的自助式搜索

  • 操作系统附加信息-操作系统的任何其他信息,例如内部版本号、Service Pack 和补丁程序。有关详细信息,请参阅应用程序和桌面的自助式搜索

  • 工作区应用版本。Citrix Workspace 应用程序或 Citrix Receiver 的构建版本。

    数据表上的访问日志

DATA 表上,您可以执行以下操作:

  • 单击 添加或删除列 以根据要查看数据的方式更新表列。

  • 单击 排序依 据,然后选择要执行多列排序的数据元素。有关详细信息,请参阅 多列排序

  • 单击 导出为 CSV 格式 ,将 DATA 表中显示的数据下载到 CSV 文件,然后将其用于分析。

搜索栏

您还可以使用搜索栏使用与登录事件关联的维度来定义查询。

例如:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

搜索框

Facets

您可以对登录事件使用以下方面:

  • 位置-按国家/地区及其城市筛选登录事件。

  • 作系统-按操作系统及其版本过滤登录事件。

  • 子网-按子网筛选访问事件。

  • 客户端 IP 类型-按公共和私有 IP 类型过滤访问事件。

  • IP 注册组织-按用户可用的 ISP 筛选访问事件。

  • 专用 VPN 服务-按专用 VPN 网络名称筛选访问事件。

  • 代理类型-按代理类型分类(例如 HTTP、Web、Tor 和 SOCKS)筛选访问事件。

注意

如果数据不可用或未识别,您可能还会看到不可用的标签。

访问保障仪表板