Citrix Analytics for Security

自定义风险指示器

您在针对安全性的 Citrix Analytics 中看到两种类型的风险指示器:

  • 默认风险指示器:这些风险指示器基于机器学习算法。有关更多信息,请参阅 Citrix 用户风险指示器

  • 自定义风险指示器:这些风险指示器由管理员手动创建。

创建自定义风险指标时,您可以根据用例定义触发条件和参数。如果用户事件符合您定义的条件,Citrix Analytics 会触发自定义风险指示器并将其显示在用户的风险时间表上。

为以下数据源创建自定义风险指示器:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

预配置的自定义风险指标

Citrix 还提供了一些带有预配置条件的自定义风险指示器,以帮助您监控 Citrix 基础架构的安全性。您可以根据自己的使用案例修改预配置的条件。有关更多信息,请参阅 预配置的自定义风险指标

自定义风险指标页

自定义风险指标 页面提供了对为用户生成的所有自定义风险指标、严重性、数据源、策略数量、风险类别、状态以及指标的最后修改日期和时间的见解。要创建自定义风险指示器,请参阅 创建自定义风险指示器

自定义指示器

当您选择风险指示器时,您将被重定向到 修改风险指示器 页面。有关更多信息,请参阅 修改自定义风险指示器

分析自定义风险指示器

考虑一个用户,其操作触发了您定义的自定义风险指示器。Citrix Analytics 会在用户的风险时间表上显示自定义风险指示器。

当您在用户的风险时间轴上选择自定义风险指示器时,右窗格将显示以下信息:

  • 定义的条件:显示您在创建自定义风险指示器时定义的条件的摘要。

  • 描述:提供您在创建自定义风险指示器时提供的描述的摘要。如果在创建自定义风险指示器时未提供描述,则此部分将反映 “ ”。

  • 触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。

  • 事件详细信息:显示时间表和触发自定义风险指示器的用户事件的详细信息。您可以单击 事件搜索 以在自助搜索页面上查看用户事件。自助搜索页面显示与用户关联的事件和自定义风险指示器。搜索查询显示为自定义风险指标定义的条件。

自定义指示器

注意

自定义风险指示器用用户风险时间表上的标签表示。

可以应用于用户的操作

为用户触发自定义风险指示器时,您可以手动应用操作或创建策略以自动应用操作。有关更多信息,请参阅 策略和操作

创建自定义风险指示器

  1. 导航到 安全 > 自定义风险指示器 > 创建指标。

    创建自定义风险指标

  2. 选择要为其创建自定义风险指示器的数据源。

  3. 使用条件框中的维度和有效 运算符 为自定义风险指示器定义条件。有关数据源的维度(Facet)的详细信息,请参阅 自助搜索

    估计触发器 ” 链接在 “ 高级选项 ” 部分中激活。单击链接可预测在定义的条件下将触发的自定义风险指示器的大致实例。这些实例是根据 Citrix Analytics 维护并满足您定义的条件的历史数据计算得出的。

    注意请

    确保单击 “ 估计触发器 ” 以预测上次定义的条件下自定义风险指示器出现的次数。

  4. 高级选项 部分,选择触发自定义风险指示器的事件频率。如果未选择任何选项,Citrix Analytics 会考虑 每次:每次发生事件时生成风险指示器 作为默认选项,然后生成自定义风险指示器。您可以选择以下选项之一:

    • 每次:只要事件满足定义的条件,就会触发风险指示器。

    • 第一次:当事件首次满足定义的条件时,将触发风险指示器。

      • 第一次使用新实体:启用此选项可首次检测从新实体接收的事件。实体的一些示例包括客户端 IP、国家/地区、城市和设备 ID。您只能根据数据源选择一个实体。此选项允许您创建风险指示器,而无需为实体指定明确的值。例如,当您选择实体作为 “城市” 时,无需指定城市名称。当首次收到来自新城市的事件时,将触发风险指示器。

        下表列出了与每个数据源对应的实体,并描述了触发条件。

        数据源 实体 触发条件
        访问控制、Content Collaboration 城市 当用户首次从新城市登录时。
          Client-IP 当用户首次从新 IP 地址登录时。
          国家/地区 当用户首次从新国家/地区登录时。
        Virtual Apps and Desktops 应用程序名称 当用户首次打开新的虚拟应用程序或 SaaS 应用程序时。
          应用程序 URL 当用户首次在其虚拟桌面的浏览器上输入新的应用程序 URL 时。
          城市 当用户首次从新城市启动虚拟应用程序或虚拟桌面时。
          Client-IP 当用户首次从新 IP 地址登录时。
          国家/地区 当用户首次从新国家/地区启动虚拟应用程序或虚拟桌面时。
          设备 ID 当用户首次从新设备(如移动设备、笔记本电脑或台式计算机)启动虚拟应用程序或虚拟桌面时。
          下载设备类型 当用户首次使用新的存储介质(例如 USB 驱动器)时。
        网关 Client-IP 当用户首次从新 IP 地址登录时。

        以下示例显示了为 Virtual Apps and Desktops 数据源创建的自定义风险指示器。当用户首次从新设备启动虚拟桌面或虚拟应用程序时,将触发风险指示器。

        首次使用设备 ID

        您还可以在 首次为新选项添加条件的同时 添加条件。在这种情况下,当风险指示器首次检测到来自新实体的事件并且事件满足定义的条件时,就会触发风险指示器。

        以下示例显示了为自定义风险指示器定义的条件以及 首次启用新设备 ID 选项的条件。当位于印度的用户首次从新设备启动虚拟桌面会话时,将触发风险指示器。

        第一次有条件

    • 过度:在满足以下条件后触发风险指示器:

      • 事件符合规定的条件。

      • 在指定的时间段内,事件发生的次数为指定的次数。

    • 频繁:在满足以下条件后触发风险指示器:

      • 这些事件符合定义的条件。

      • 这些事件在指定时间段内发生指定的次数。

      • 事件模式重复指定的次数。

  5. 选择自定义风险指示器的风险类别。风险指标根据自定义风险指标的风险敞口类型进行分组。有关选择风险类别的帮助,请参阅 风险类别。

  6. 选择自定义风险指示器的严重性。

  7. 在指标名称文本框中定义自定义风险 指标名称

  8. 述文本框中,提供自定义风险指示器的有效描述。

  9. 创建指标 页面的底部,您可以根据需要启用或禁用自定义风险指示器。

  10. 点击 创建指标

    自定义指示器

备注

  • 您可以创建最多 50 个自定义风险指示器。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器以创建自定义风险指示器。

  • 触发自定义风险指示器时,它会立即显示在 用户时间轴 上。但是,用户的风险摘要和风险评分会在几分钟后(大约 15 至 20 分钟)更新。

支持用于定义条件的运算符

定义条件时可以使用以下运算符。

操作员 说明 示例 输出
为搜索查询分配一个值。 用户名:John 显示用户 John 的事件。
= 为搜索查询分配一个值。 用户名 = John 显示用户 John 的事件。
~ 搜索类似的值。 用户名 ~ test 显示具有相似用户名的事件。
”” 用空格分隔的值括起来。 User-Name = “John Smith” 显示用户约翰·史密斯的事件。
<, > 搜索关系价值。 数据量 > 100 显示数据量大于 100 GB 的事件。
在两个条件都为真的情况下搜索值。 User-Name : John AND Data Volume > 100 显示用户 John 的事件,其中数据量大于 100 GB。
* 搜索与字符零次或更多次匹配的值。 User-Name = John* 显示以 John 开头的所有用户名的事件。
    User-Name = *John* 显示包含 John 的所有用户名的事件。
    User-Name = *Smith 显示以 Smith 结尾的所有用户名的事件。
!~ 检查用户事件中指定的匹配模式。此 NOT LIKE 运算符返回事件字符串中任意位置不包含匹配模式的事件。 User-Name !~ John 显示除 John、John Smith 或包含匹配名称 “John” 的任何此类用户以外的用户的事件。
!= 检查用户事件是否确切指定的字符串。此 NOT EQUAL 运算符返回事件字符串中任意位置不包含确切字符串的事件。 Country != USA 显示除美国以外国家/地区的事件。
为一个维度分配多个值以获取与一个或多个值相关的事件。 User-Name IN (John, Kevin) 查找与约翰或凯文相关的所有事件。
不在 为一个维度分配多个值,然后查找不包含指定值的事件。 User-Name NOT IN (John, Kevin) 查找除 John 和 Kevin 之外的所有用户的事件。
是空的 检查维度的空值或空值。此运算符仅适用于字符串类型的维度,例如 App-NameBrowserCountry。它不适用于非字符串(数字)类型的维度,例如 Upload-File-SizeDownload-File-SizeClient-IP 国家/地区是空的 查找国家名称不可用或为空(未指定)的事件。
不是空的 检查维度的非空值或特定值。此运算符仅适用于字符串类型的维度,例如 App-NameBrowserCountry。它不适用于非字符串(数字)类型的维度,例如 Upload-File-SizeDownload-File-SizeClient-IP 国家/地区不是空的 查找可用或指定了国家/地区名称的事件。

注意

对于 NOT 等 于运算符,在为条件中的维度输入值时,请使用 自助搜索 页面上提供的数据源的精确值。尺寸值区分大小写。

修改自定义风险指示器

  1. 导航到 安全 > 自定义风险指示器

  2. 选择要修改的自定义风险指示器。

  3. 修改指标 页面上,根据需要修改信息。

  4. 单击 “ 保存更改”。

注意

如果在用户时间轴上修改现有自定义风险指示器的状况、风险类别、严重性和名称等属性,您仍然可以查看先前为用户触发的自定义风险指示器(使用旧属性)的出现次数。

例如,您已经创建了一个自定义风险指标,条件为 “ 国家/地区”!= 印度。因此,当用户从印度以外的国家/地区登录时,将触发此自定义风险指示器。现在,您将自定义风险指示器的条件修改为 国家/地区!= “美国”。在这种情况下,您仍然可以查看先前出现的自定义风险指示器的条件为 C ountry!= 触发风险指示器的用户时间轴上的印度

删除自定义风险指示器

  1. 导航到 安全 > 自定义风险指示器

  2. 选择要删除的自定义风险指示器。

  3. 单击删除

  4. 在对话框中,确认删除自定义风险指示器的请求。

注意

如果删除自定义风险指示器,则仍然可以在用户时间轴上查看先前为用户触发的自定义风险指示器的出现次数。

例如,您删除条件为 “ 国家/地区” 的现有自定义风险指标!= 印度。在这种情况下,您仍然可以查看先前出现的自定义风险指示器的条件为 C ountry!= 触发风险指示器的用户时间轴上的印度

自定义风险指标示例

以下示例说明如何为 Citrix Gateway 数据源创建自定义风险指示器。有关可用于 Gateway 数据源的维度(平面)和运算符的信息,请参阅 G ateway 的自助搜索

网关自定义风险指标

  • 凭据自定义风险指示器无效:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户输入的凭据无效或错误。

    • 事件频率:事件每天发生三次。

    证书定义的条件无效

    满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间表上查看风险指示器。

    凭据自定义风险指示器无效

    单击自定义风险指示器上的 事件搜索 可在自助搜索页面上查看事件详细信息。

    凭据搜索无效

  • 找不到网关用户自定义风险指示器:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户尝试使用未注册的用户名登录 Citrix Gateway。

    • 事件频率:事件每天发生三次,此模式至少重复两次。

    未注册的凭证定义的条件

    满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间表上查看风险指示器。

    未注册的凭据自定义风险指示器

    单击自定义风险指示器上的 事件搜索 可在自助搜索页面上查看事件详细信息。

    未注册的凭据搜索