自定义风险指示器

Citrix Analytics 默认检测到的用户风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。您可以根据用户事件定义条件并创建自定义风险指示器。如果事件与定义的条件匹配,Citrix Analytics 将触发自定义风险指示器,并将其显示在用户的风险时间线上。

您可以在以下数据源上创建自定义风险指示器:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

自定义风险指示器页面

自定义风险指示器”页面提供了有关为用户生成的所有自定义风险指示器、严重性、数据源、策略数量、风险类别、状态以及指标的上次修改日期和时间的见解。要创建自定义风险指示器,请参阅创建自定义风险指示器

自定义指示器

当您选择风险指示器时,您将被重定向到 修改风险指示器 页面。有关详细信息,请参阅修改自定义风险指示器

分析自定义风险指示器

假设某个用户的操作触发了您已定义的自定义风险指示器。Citrix Analytics 会在用户的风险时间表上显示自定义风险指示器。

当您在用户的风险时间轴上选择自定义风险指示器时,右侧窗格显示以下信息:

  • 已定义的条件:显示您在创建自定义风险指示器时定义的条件的摘要。

  • 描述:提供您在创建自定义风险指示器时提供描述的摘要。如果在创建自定义风险指示器时未提供描述,则此部分将反映

  • 触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。

自定义指示器

注意

用户风险时间表上的标签表示自定义风险指示器。

可以应用于用户的操作

目前,无法对触发自定义风险指示器的用户帐户采取适当操作。

创建自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择创建指标

    自定义指示器

  3. 选择要为其创建自定义风险指示器的数据源。

  4. 使用状况框 运营商 中的维度和有效值定义自定义风险指示器的条件。有关数据源的维度(平面)的详细信息,请参阅 自助搜索

    预计触发器链接将在高级选项部分激活。单击链接可预测定义条件下将触发的自定义风险指示器的近似实例。这些实例是根据 Citrix Analytics 维护并满足您定义的条件的历史数据计算的。

    注意

    确保单击估计触发器以预测最后定义条件的自定义风险指示器出现次数。

  5. 高级选项部分,选择事件的频率以触发自定义风险指示器。如果不选择任何选项,Citrix Analytics 会将每次: 每次事件发生时都将生成风险指示器视为默认选项,并生成自定义风险指示器。您可以选择以下选项之一:

    • 每次:每当事件满足规定的条件时,风险指示器都会触发。

    • 首次:当事件首次满足定义的条件时,会触发风险指示器。

      • 首次使用新的:启用此选项可首次检测从新实体接收的事件。实体的一些示例包括客户端 IP、国家/地区、城市和设备 ID。您只能根据数据源选择一个实体。此选项允许您在不为实体指定明确值的情况下创建风险指示器。例如,当您选择实体作为 “城市” 时,无需指定城市名称。首次收到来自新城市的事件时,将触发风险指标。

        下表列出了与每个数据源对应的实体并描述了触发条件。

        数据源 实体 触发条件
        访问控制、Content Collaboration 客户端-IP 用户首次从新 IP 地址登录时。
          国家/地区 用户首次从新国家/地区登录时。
          城市 用户首次从新城市登录时。
        Virtual Apps and Desktops 设备 ID 用户首次从移动设备、笔记本电脑或台式机等新设备启动虚拟应用程序或虚拟桌面时。
          存储媒体 当用户首次使用 USB 驱动器等新存储介质时。
          应用程序名称 当用户首次打开新的虚拟应用程序或 SaaS 应用程序时。
          App-URL 当用户首次在其虚拟桌面的浏览器上输入新的应用程序 URL 时。
          国家/地区 当用户首次从新国家/地区启动虚拟应用程序或虚拟桌面时。
          城市 用户首次从新城市启动虚拟应用程序或虚拟桌面时。
        网关 客户端-IP 用户首次从新 IP 地址登录时。

        以下示例显示了为 Virtual Apps 程序和桌面数据源创建的自定义风险指示器。当用户首次从新设备启动虚拟桌面或虚拟应用程序时,将触发风险指示器。

        首次使用设备 ID

        您还可以为新选项添加条件以及 首次添 加条件。在这种情况下,当风险指示器首次检测到来自新实体的事件以及事件满足定义的条件时,将触发风险指示器。

        以下示例显示了为自定义风险指示器定义的条件以及启 用新设备 ID 的首次 启用情况。当位于印度的用户首次从新设备启动虚拟桌面会话时,将触发风险指示器。

        第一次有条件

    • 过度:在满足以下条件后触发风险指示器:

      • 事件满足定义的条件。

      • 在指定时间段内,事件发生的次数为指定的次数。

    • 频繁:在满足以下条件后触发风险指示器:

      • 这些活动符合规定的条件。

      • 这些事件在指定时段内发生的次数为指定的次数。

      • 事件模式将重复指定的次数。

  6. 选择自定义风险指示器的风险类别。风险指示器根据自定义风险指示器的风险风险类型进行分组。有关风险类别选择的帮助,请参阅 风险类别

  7. 选择自定义风险指示器的严重性。

  8. 在指示器名称文本框中定义自定义风险 指示器名称

  9. 述文本框中,提供自定义风险指示器的有效描述。

  10. 创建指示器 页面底部,您可以根据需要启用或禁用自定义风险指示器。

  11. 点击 创建指示器

    自定义指示器

注意

您可以创建自定义风险指示器,最大限制为 50。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器才能创建自定义风险指示器。

用于定义条件的支持运算符

定义条件时可以使用以下运算符。

接线员 说明 示例 输出
为搜索查询分配值 用户名:John 显示用户 John 的事件
= 为搜索查询分配值 用户名 = John 显示用户 John 的事件
~ 搜索类似的值 用户名 ~ test 显示具有相似用户名的事件
”” 用空格分隔的值括起来 User-Name = “John Smith” 为用户显示事件约翰·史密斯
<, > 搜索关系价值 数据量 > 100 显示数据量大于 100 GB 的事件
AND 两个条件均为真的搜索值 User-Name : John AND Data Volume > 100 显示数据量大于 100 GB 的用户 John 的事件
* 搜索与字符匹配零次或多次的值 User-Name = John* 显示以 John 开头的所有用户名的事件
    User-Name = *John* 显示包含 John 的所有用户名的事件
    User-Name = *Smith 显示以 Smith 结尾的所有用户名的事件
!= 搜索条件不真的值 Country != USA 显示美国以外国家/地区的事件
将多个值分配给维度以获取与一个或多个值相关的事件 用户名 IN(“约翰”,“凯文”) 查找约翰或凯文所有相关的活动
不在 将多个值分配给维度并查找不包含指定值的事件 用户名不在(“约翰”,“凯文”) 查找除约翰和凯文以外的所有用户的活动

不等于 (!=) 运算符对以下维度有效:

数据源 尺寸
访问控制 国家、城市、操作、URL、URL 类别、声誉、浏览器、操作系统、设备
Content Collaboration 国家、城市、客户操作系统
网关 身份验证阶段,客户端 IP
Virtual Apps and Desktops 国家、城市、应用名称、剪贴板操作、浏览器、操作系统

注意

对于 NOT AQUAL 运算符,在条件中输入维度的值时,请使用 自助搜索 页面上可用于数据源的确切值。维度值区分大小写。

修改自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择要修改的自定义风险指示器。

  3. 修改指示器页面上,根据需要修改信息。

  4. 单击保存更改

删除自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选中自定义风险指示器的复选框。

  3. 单击删除

  4. 在对话框中,确认删除自定义风险指示器的请求。

自定义风险指示器示例

以下示例说明如何为 Citrix Gateway 数据源创建自定义风险指示器。有关 Gateway 数据源可用的维度(方面)和运算符的信息,请参阅 面向网关的自助搜索

网关自定义风险指示器

  • 凭据自定义风险指示器无效:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户输入的凭据无效或错误。

    • 事件频率:事件每天发生三次。

    证书定义的条件无效

    当满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间线上查看风险指示器。

    凭据自定义风险指示器无效

    单击自定义风险指示器上的事件搜索 ,以查看自助搜索页面上的事件详细信息。

    凭据搜索无效

  • 网关用户未找到自定义风险指示器:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户尝试使用未注册的用户名登录 Citrix Gateway。

    • 事件频率:事件每天发生三次,此模式至少重复两次。

    未注册凭据定义的条件

    当满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间线上查看风险指示器。

    未注册的凭据自定义风险指示器

    单击自定义风险指示器上的事件搜索 ,以查看自助搜索页面上的事件详细信息。

    未注册的凭据搜索

预配置的自定义风险指标

Citrix 提供了预配置的自定义风险指示器列表,以帮助您监控 Citrix 基础架构的安全性。这些预先配置的自定义风险指标的条件是根据特定的安全风险场景(例如受影响的用户、内部威胁和数据泄露)定义的。有关详细信息,请参阅预配置的自定义风险指标