Citrix Analytics for Security

访问保障位置控制板

随着远程办公的增加,作为 Citrix IT 管理员,您可能希望确保用户正在从其通常和安全的位置访问 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。如果有用户从未知位置或新位置登录,则可以验证他们的登录详细信息并采取必要措施来缓解 Citrix IT 环境的任何威胁。

访问保障位置”控制板概述了用户访问虚拟应用程序或虚拟桌面的位置。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。位置信息是在城市和国家/地区级别提供的,并不代表精确的地理位置。

有关访问保障-地理位置的更多详细信息,请参阅 常见问题解答

查看控制板

要查看控制板,请单击“安全”>“访问保障”。选择要查看位置详细信息的时间段。

保证控制板导航

分析用户登录摘要

用户登录摘要”页面提供了所选时段的以下信息:

  • 各地点的用户登录总数(全球)。

  • 各个地点(全球)的唯一用户登录总数。

  • 用户登录的国家/地区总数。

  • 地理围栏区域中的国家/地区总数和唯一用户登录次数。要查看地理围栏区域的登录详细信息, 请启用地理围栏

  • 具有唯一用户登录名的前 10 个位置。有时,排名靠前的唯一用户登录也来自未知的城市和国家,这些登录列在“未知位置”选项卡下。未知位置列表也是前 10 个位置的子集。要查找某些位置未被识别的原因,请参阅 标识为不可用的位置

您还可以查看全球用户登录总数和全球唯一身份用户登录总数的上升或下降趋势。对于前 10 个位置,“偏差”列显示每个位置的用户登录信息的变化(正 (+) 或负数 (-))。此比较基于选定的时间段和上一个相等长度的时间段。例如,如果选择过去 1 个月时间段,则会比较过去 1 个月与之前到过去 1个月之间的用户登录趋势和偏差。

用户登录详情

在“前 10 个唯一登录位置”表格中,选择一个位置以查看用户及其 访问配置文件登录详细信息

用户登录摘要页

地图显示选定时间段内来自不同位置的唯一用户数量。将鼠标悬停在蓝色气泡上或放大到某个位置以查看该位置的唯一用户登录的总数。单击蓝色气泡可查看某个位置的 访问详细信息

地图放大视图

在地图的右下角,您可以查看唯一用户登录的范围。在选定的时间段内,小气泡表示跨位置唯一用户登录的最小数量。大泡表示各个位置中唯一用户登录的最大数量。

用户计数范围

查看用户的访问配置文件

Access Profile(访问配置文件)页面提供了用户从所选位置访问虚拟应用程序或虚拟桌面的摘要。它提供了所选时期内用户登录总数和唯一登录次数的趋势分析。您可以查看所选位置的顶级访问权限事件。此信息可帮助您查看访问模式和威胁调查和分析的详细信息。

根据选定的时间段和上一个相等长度的时间段,比较用户登录总数和唯一用户登录次数的上升或下降趋势。例如,如果您将时间段选择为“最近 1 个月”,则会比较过去 1 个月和上一个月与过去 1 个月之间的趋势。

访问资料页面视图

Facets

您可以对访问事件使用以下方面:

  • 位置-按国家和城市筛选访问事件。

  • 作系统-按操作系统及其版本过滤访问事件。

    访问资料过滤器

注意

如果数据不可用或未识别,您可能还会看到不可用的标签。

根据应用的筛选器,查看以下信息,了解用户登录总数和唯一用户登录次数:

  • 时间轴详细信息-选定时间段内用户登录事件总数和唯一用户登录事件的时间顺序。它可以帮助你比较和了解过去和正在进行的事件模式。

  • 位置详情-用户登录虚拟应用程序或虚拟桌面的主要国家/地区和城市。

  • 网络 IP-用户登录到虚拟应用程序或虚拟桌面的顶级子网和 IP 地址。

    顶级访问详情

查看用户的登录详细信息

用户登录”页面提供了用户从所选位置登录到虚拟应用程序或虚拟桌面的详细信息。这些信息在威胁调查和分析过程中有所帮助。

用户登录页

DATA 表显示所选位置和时间段的以下登录详细信息:

  • 时间。用户登录的日期和时间。

  • 用户名。用户的身份。

  • 客户端 IP。用户设备的 IP 地址。

  • 客户端 IP 类型。用户的 IP 地址类型,例如公共或私有。

  • 城市和国家。用户登录到虚拟应用程序或虚拟桌面的位置。

  • 设备 ID。用户设备的身份代码。

  • 操作系统名称。用户设备上的操作系统。有关详细信息,请参阅应用程序和桌面的自助式搜索

  • 操作系统版本。用户设备上的操作系统版本。有关详细信息,请参阅应用程序和桌面的自助式搜索

  • 操作系统附加信息-操作系统的任何其他信息,例如内部版本号、Service Pack 和补丁程序。有关详细信息,请参阅应用程序和桌面的自助式搜索

  • 工作区应用版本。Citrix Workspace 应用程序或 Citrix Receiver 的构建版本。

用户登录数据表

DATA 表上,您可以执行以下操作:

  • 单击 添加或删除列 以根据要查看数据的方式更新表列。

  • 单击 排序依 据,然后选择要执行多列排序的数据元素。有关详细信息,请参阅 多列排序

  • 单击 导出为 CSV 格式 ,将 DATA 表中显示的数据下载到 CSV 文件,然后将其用于分析。

搜索栏

您还可以使用搜索栏使用与登录事件关联的维度来定义查询。

例如:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

搜索框

Facets

您可以对登录事件使用以下方面:

  • 位置-按国家/地区及其城市筛选登录事件。

  • 作系统-按操作系统及其版本过滤登录事件。

  • 客户端 IP 类型-按公共和私有 IP 类型过滤访问事件。

    过滤器

注意

如果数据不可用或未识别,您可能还会看到不可用的标签。

被确定为不可用的地点

前 10 个唯一登录位置 表中,您可能会看到某些位置未知或不可用。单击未知位置可在“用户登录”页面上查看相应的 用户登 录详细信息。

用户登录页面 上,如果有任何国家或城市信息不可用,DATA 表将显示 NA 标签。

将鼠标悬停在 NA 标签上可查看位置信息不可用的原因。

位置不可用

您可能会看到位置不可用的以下情况之一:

场景 原因
城市名称和国家/地区名称不可用。 以下其中一种:
  1. 用户正在使用不受支持的 Citrix Workspace 应用程序版本。要查看位置信息,请将客户端更新到 受支持的版本
  2. 用户的网络公有 IP 地址不可用,因此 Citrix Analytics 无法找到该位置。
  3. 外部地理位置服务无法将位置信息发送给 Citrix Analytics。
拥有私有 IP 的地点 用户的设备位于专用网络中。在这种情况下,Citrix Analytics 不可用位置信息。
国家/地区名称可用,但城市名称不可用。 用户的设备可能正在使用公司 IP。公司 IP 范围在外部地理位置服务中被模糊处理。因此,Citrix Analytics 不可用位置信息。

支持的客户端版本以获取用户的位置

如果由于 Citrix Workspace 应用程序版本不受支持而导致位置信息不可用,请将客户端更新为以下版本之一。

客户端名称 版本 内部版本
适用于 Windows 的 Citrix Workspace 应用程序 2008 或更高版本 20.8.0.46 或以上
适用于 Mac 的 Citrix Workspace 应用程序 2006 或更高版本 20.06.0.7 或以上
适用于 HTML5 的 Citrix Workspace 应用程序 2007 或更高版本 20.7.0.4127 或以上
适用于 iOS 的 Citrix Workspace 应用程序 Apple App Store 中提供的最新版本 Apple App Store 中提供的最新版本
适用于 Android 的 Citrix Workspace 应用程序 Google Play 中可用的最新版本 Google Play 中可用的最新版本
适用于 Chrome 的 Citrix Workspace 应用程序 Chrome 网上应用店中提供的最新版本 Chrome 网上应用店中提供的最新版本
适用于 Linux 的 Citrix Workspace 应用程序 2104 或更高版本 不可用

有关 Citrix Workspace 应用程序每个版本的特定 生命周期里程碑日期,请参阅 Citrix Workspace 应用程序和 Citrix Receiver的要下载最新版本的 Citrix Workspace 应用程序,请访问 Citrix 下载 页面。

启用地理围栏

地理围栏可帮助您识别从预定义区域(地理围栏)之外访问虚拟应用程序或虚拟桌面的用户。

要配置地理围栏,请单击 添加/编辑地理围栏。启用 Geofence 设置并选择国家/地区。

启用地理围栏

此功能使用预配置的自定义风险指示器-在 地理围栏之外启动的 CVAD 会话 来监视用户在地理围栏外的登录情况。如果在地理围栏之外检测到任何用户登录,则会触发风险指示器,并对这些用户应用在地理围栏之外启动的会话策略。该策略会触发“请求最终用户响应”操作,根据用户的响应,您可以采取适当的措施来防止来自任何可疑登录的威胁。有关更多信息,请参阅 预配置的自定义风险指标

备注

  • 地理围栏设置中,当您修改国家/地区时,在 地理围栏风险指示器之外启动的 CVAD 会话 也会更新。

  • 例如,如果您选择国家/地区澳大利亚和印度并将其保存为新的地理围栏国家/地区,则除了美国(默认的地理围栏)之外,风险指示器的预配置条件将更新为新的国家/地区。您还可以删除默认的地理围栏国家/地区美国。

    风险指示器的预配置状况: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    更新 地理围栏设置后,风险指示器的状况:

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • 如果之前从您的帐户中删除了在 地理围栏风险指示器之外启动的 CVAD 会话 ,则启用 Geofence 设置 会再次创建风险指示器。风险指示器的地理围栏国家/地区由 地理围栏设置进行控制。

启用 地理围栏设置后,地图将显示地理围栏区域以及这些区域的唯一用户登录信息。

访问保障位置控制板