自定义风险指示器
您在 Citrix Analytics for Security™ 中会看到两种类型的风险指示器:
-
默认风险指示器:这些风险指示器基于机器学习算法。有关详细信息,请参阅Citrix 用户风险指示器。
-
自定义风险指示器:这些风险指示器由管理员手动创建。
创建自定义风险指示器时,您可以根据用例定义触发条件和参数。如果用户事件与您定义的条件匹配,Citrix Analytics 将触发自定义风险指示器并将其显示在用户的风险时间线中。
为以下数据源创建自定义风险指示器:
- Citrix Gateway
- Citrix Secure Private Access™
- 本地部署的 Citrix Virtual Apps and Desktops™
- Citrix DaaS(以前称为 Citrix Virtual Apps™ and Desktops 服务)
- Citrix Secure Browser
预配置的自定义风险指示器
Citrix 还提供了一些具有预配置条件的自定义风险指示器,可帮助您监控 Citrix 基础架构的安全性。您可以根据用例修改预配置条件。有关详细信息,请参阅预配置的自定义风险指示器。
自定义风险指示器页面
自定义风险指示器页面提供了有关为用户生成的自定义风险指示器、严重性、数据源、策略数量、风险类别、状态以及指示器上次修改日期和时间的所有信息。要创建自定义风险指示器,请参阅创建自定义风险指示器。
选择风险指示器时,您将重定向到修改风险指示器页面。有关详细信息,请参阅修改自定义风险指示器。
分析自定义风险指示器
假设某个用户的操作触发了您定义的自定义风险指示器。Citrix Analytics 会在用户的风险时间线中显示该自定义风险指示器。
在用户的风险时间线中选择自定义风险指示器时,右侧窗格会显示以下信息:
-
已定义条件:显示您在创建自定义风险指示器时定义的条件的摘要。
-
描述:提供您在创建自定义风险指示器时提供的描述摘要。如果在创建自定义风险指示器时未提供任何描述,则此部分将显示无。
-
触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。
-
事件详细信息:显示触发自定义风险指示器的用户事件的时间线和详细信息。您可以单击事件搜索以在自助服务搜索页面上查看用户事件。自助服务搜索页面显示与用户和自定义风险指示器关联的事件。搜索查询显示为自定义风险指示器定义的条件。
注意
自定义风险指示器在用户风险时间线中以标签表示。
可应用于用户的操作
当为用户触发自定义风险指示器时,您可以手动应用操作或创建策略以自动应用操作。有关详细信息,请参阅策略和操作。
自定义风险指示器模板
您可以使用预定义模板之一创建自定义风险指示器,也可以不使用模板。
模板是创建自定义风险指示器的起点。它通过提供预定义查询和参数来指导您创建自定义风险指示器,您可以根据用例选择这些查询和参数。
您可以按原样使用模板,也可以对其进行修改以满足您的要求。使用模板,管理员可以创建感兴趣的风险指示器,而无需额外培训。
模板包含以下信息:
-
描述:指示模板中定义的查询的目的。
-
数据源:指示模板适用的数据源。
-
风险类别:指示与查询搜索的事件关联的风险类别。风险事件分为四类:数据泄露、内部威胁、受感染用户和受感染端点。有关信息,请参阅风险类别。
-
频率:指示查询触发的频率。
-
严重性:指示与事件关联的风险的严重性。风险可以是高、中或低。
-
创建者:指示模板的创建者。模板始终是系统定义的。
-
查询:指示模板中定义的条件。查询检索满足条件的用户事件。
下图显示了 SaaS 应用程序上剪贴板使用情况用例的模板。
如果您没有找到适合您用例的模板,或者想要定义自己的查询,则可以不使用模板。
创建自定义风险指示器
要创建自定义风险指示器:
-
导航到安全 > 自定义风险指示器 > 创建指示器。
-
选择一个模板以查看用例。如果符合您的要求,请选择将模板应用于指示器。
注意
您还可以修改模板的预定义条件和参数。
-
如果您没有找到所需的模板或想要创建自己的条件,请选择不使用模板。
-
按照屏幕上的说明创建指示器。
注意
您最多可以创建 50 个自定义风险指示器。如果达到此最大限制,则必须删除或编辑任何现有自定义风险指示器才能创建自定义风险指示器。
触发自定义风险指示器后,它会立即显示在用户时间线上。但是,用户的风险摘要和风险评分会在几分钟(大约 15-20 分钟)后更新。
定义自定义风险指示器的条件
使用查询框定义自定义风险指示器的条件。根据所选数据源,您将获得相应的维度和有效运算符来定义条件。
当选择某些维度(例如 Event-Type 和 Clipboard-Operation)以及有效运算符时,将自动显示维度的值。您可以从建议的选项中选择一个值,或根据您的要求输入一个新值。
下图显示了维度 Event-Type 的建议值。
如果您使用模板,则条件是预定义的。但是,您可以根据用例追加或修改预定义条件。
在查询框下方,您会看到估计触发器链接。单击该链接可预测将为定义条件触发的自定义风险指示器的近似实例。这些实例是根据 Citrix Analytics 维护并满足定义条件的历史数据计算的。
请务必单击估计触发器以预测上次定义条件的自定义风险指示器发生次数。
使用高级选项
在高级选项部分中,选择事件触发自定义风险指示器的频率。如果您未选择任何选项,Citrix Analytics 会将每次:每次事件发生时生成风险指示器视为默认选项并生成自定义风险指示器。您可以选择以下选项之一:
-
每次:每当事件满足定义的条件时,都会触发风险指示器。
-
首次:当事件首次满足定义的条件时,会触发风险指示器。
-
首次针对新实体:启用此选项可首次检测从新实体接收的事件。实体的一些示例包括客户端 IP、国家/地区、城市和设备 ID。您只能根据数据源选择一个实体。此选项允许您创建风险指示器,而无需为实体指定显式值。例如,当您选择实体为“城市”时,无需指定城市名称。当首次从新城市接收到事件时,将触发风险指示器。
下表列出了与每个数据源对应的实体并描述了触发条件。
数据源 实体 触发条件 Secure Private Access 城市 用户首次从新城市登录时。 客户端 IP 用户首次从新 IP 地址登录时。 国家/地区 用户首次从新国家/地区登录时。 Apps and Desktops 应用程序名称 用户首次打开新的虚拟应用程序或 SaaS 应用程序时。 应用程序 URL 用户首次在其虚拟桌面上的浏览器中输入新的应用程序 URL 时。 城市 用户首次从新城市启动应用程序或桌面时。 客户端 IP 用户首次从新 IP 地址登录时。 国家/地区 用户首次从新国家/地区启动应用程序或桌面时。 设备 ID 用户首次从新设备(例如移动设备、笔记本电脑或台式机)启动虚拟应用程序或虚拟桌面时。 下载设备类型 用户首次使用新的存储介质(例如 USB 驱动器)时。 打印文件格式 打印文件的格式。 打印文件大小 打印文件的大小(以字节为单位)。 打印文件名 打印文件的名称。 打印机名称 使用的打印机名称。 打印总份数 用户打印的总份数。 打印总页数 用户打印的文档总页数。 Gateway 客户端 IP 用户首次从新 IP 地址登录时。 Secure Browser 用户名 启动事件的用户的名称。 访问权限 用户是否被允许或拒绝访问主机服务。 客户端 IP 用户设备的 IP 地址。 访问的主机名 用户通过网络访问的主机服务。 会话 ID 分配给用户会话的唯一编号。 以下示例显示了为 Apps and Desktops 数据源创建的自定义风险指示器。当用户首次从新设备启动虚拟桌面或虚拟应用程序时,将触发风险指示器。
您还可以添加一个条件以及首次针对新实体选项。在这种情况下,当风险指示器首次检测到来自新实体的事件并且事件满足定义的条件时,将触发风险指示器。
以下示例显示了为自定义风险指示器定义的条件,并启用了首次针对新设备 ID选项。当位于印度的用户首次从新设备启动虚拟桌面会话时,将触发风险指示器。
-
-
过度:满足以下条件后,将触发风险指示器:
-
事件满足定义的条件。
-
事件在指定期间内发生指定次数。
-
-
频繁:满足以下条件后,将触发风险指示器:
-
事件满足定义的条件。
-
事件在指定期间内发生指定次数。
-
事件模式重复指定次数。
-
选择风险类别
为自定义风险指示器选择风险类别。
风险指示器根据自定义风险指示器的风险暴露类型进行分组。有关风险类别选择的帮助,请参阅风险类别。
选择严重性
严重性指示风险指示器检测到的风险事件的严重程度。创建自定义风险指示器时,请选择严重性级别:高、中或低。
如果您应用模板,则严重性选项是预先选择的。您可以根据用例修改此预选。
定义条件支持的运算符
定义条件时可以使用以下运算符。
| 运算符 | 描述 | 示例 | 输出 |
|---|---|---|---|
| 为搜索查询分配值。 | User-Name : John | 显示用户 John 的事件。 | |
| = | 为搜索查询分配值。 | User-Name = John | 显示用户 John 的事件。 |
| ~ | 搜索相似值。 | User-Name ~ test | 显示具有相似用户名的事件。 |
| ”” | 括起用空格分隔的值。 | User-Name = “John Smith” | 显示用户 John Smith 的事件。 |
| <, > | 搜索关系值。 | Data Volume > 100 | 显示数据量大于 100 GB 的事件。 |
| AND | 搜索两个条件都为真的值。 | User-Name : John AND Data Volume > 100 | 显示用户 John 的数据量大于 100 GB 的事件。 |
| * | 搜索匹配字符零次或多次的值。 | User-Name = John* | 显示以 John 开头的所有用户名的事件。 |
| User-Name = John | 显示包含 John 的所有用户名的事件。 | ||
| User-Name = *Smith | 显示以 Smith 结尾的所有用户名的事件。 | ||
| !~ | 检查用户事件中是否包含您指定的匹配模式。此 NOT LIKE 运算符返回不包含事件字符串中任何位置的匹配模式的事件。 | User-Name !~ John | 显示除 John、John Smith 或任何包含匹配名称“John”的用户之外的用户的事件。 |
| != | 检查用户事件中是否包含您指定的精确字符串。此 NOT EQUAL 运算符返回不包含事件字符串中任何位置的精确字符串的事件。 | Country != USA | 显示除 USA 之外的国家/地区的事件。 |
| IN | 为维度分配多个值以获取与一个或多个值相关的事件。 | User-Name IN (John, Kevin) | 查找与 John 或 Kevin 相关的所有事件。 |
| NOT IN | 为维度分配多个值并查找不包含指定值的事件。 | User-Name NOT IN (John, Kevin) | 查找除 John 和 Kevin 之外的所有用户的事件。 |
| IS EMPTY | 检查维度的空值或空值。此运算符仅适用于字符串类型维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
Country IS EMPTY | 查找国家/地区名称不可用或为空(未指定)的事件。 |
| IS NOT EMPTY | 检查维度的非空值或特定值。此运算符仅适用于字符串类型维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
Country IS NOT EMPTY | 查找国家/地区名称可用或已指定的事件。 |
| OR | 搜索一个或两个条件都为真的值。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” |
显示以 John 开头或以 Smith 结尾的所有用户名的 Session.Logon 事件。 |
注意
对于 NOT EQUAL 运算符,在条件中输入维度值时,请使用数据源的自助服务搜索页面上提供的精确值。维度值区分大小写。
修改自定义风险指示器
-
导航到安全 > 自定义风险指示器。
-
选择要修改的自定义风险指示器。
-
在修改指示器页面上,根据需要修改信息。
-
单击保存更改。
注意
如果您修改现有自定义风险指示器的属性(例如条件、风险类别、严重性和名称),则在用户时间线中,您仍然可以查看为用户触发的自定义风险指示器的先前发生情况(具有旧属性)。
例如,您创建了一个条件为 Country != India 的自定义风险指示器。因此,当用户从印度境外登录时,将触发此自定义风险指示器。现在,您将自定义风险指示器的条件修改为 Country != “United States”。在这种情况下,您仍然可以在触发风险指示器的用户时间线中查看条件为 Country != India 的自定义风险指示器的先前发生情况。
删除自定义风险指示器
-
导航到安全 > 自定义风险指示器。
-
选择要删除的自定义风险指示器。
-
单击删除。
-
在对话框中,确认删除自定义风险指示器的请求。
注意
如果您删除自定义风险指示器,则在用户时间线中,您仍然可以查看为用户触发的自定义风险指示器的先前发生情况。
例如,您删除了一个条件为 Country != India 的现有自定义风险指示器。在这种情况下,您仍然可以在触发风险指示器的用户时间线中查看条件为 Country != India 的自定义风险指示器的先前发生情况。