自定义风险指示器

Citrix Analytics 默认检测到的用户风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。您可以根据用户事件定义条件并创建自定义风险指示器。如果事件与定义的条件匹配,Citrix Analytics 会触发自定义风险指标并将其显示在用户的风险时间线上。

您可以在以下数据源上创建自定义风险指示器:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

自定义风险指示器页面

自定义风险指示器页面提供了有关为用户生成的所有自定义风险指示器、严重性、数据源、策略数量、状态以及指示器的上次修改日期和时间的见解。要创建自定义风险指示器,请参阅创建自定义风险指示器

自定义指示器

当您选择风险指示器时,您将被重定向到 修改风险指示器 页面。有关详细信息,请参阅修改自定义风险指示器

分析自定义风险指示器

考虑其操作触发了您定义的自定义风险指示器的用户。检测到此行为时,Citrix Analytics 会为相应用户生成自定义风险指示器。

当您在用户的风险时间轴上选择自定义风险指示器时,右侧窗格显示以下信息:

  • 已定义的条件:显示您在创建自定义风险指示器时定义的条件的摘要。

  • 描述:提供您在创建自定义风险指示器时提供描述的摘要。如果在创建自定义风险指示器时未提供描述,则此部分将反映

  • 触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。

自定义指示器

注意

用户风险时间表上的标签表示自定义风险指示器。

您可以应用于用户的操作

目前,无法对生成自定义风险指示器的用户账户采取适当行动。

创建自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择创建指标

    自定义指示器

  3. 选择要为其创建自定义风险指示器的数据源。

  4. 使用搜索框中的维度定义条件。有关面和维度的详细信息,请参阅自助搜索

    预计触发器链接将在高级选项部分激活。单击链接可预测定义条件下将触发的自定义风险指示器的近似实例。这些实例是基于 Citrix Analytics 维护的历史数据并满足您定义的条件进行计算的。

    注意

    确保单击估计触发器以预测最后定义条件的自定义风险指示器出现次数。

  5. 高级选项部分,选择事件的频率以触发自定义风险指标。如果不选择任何选项,Citrix Analytics 会考虑每次: 每次事件发生时都将生成风险指示器作为默认选项,并生成自定义风险指示器。您可以选择以下选项之一:

    • 每次:只要事件满足定义条件,风险指标就会触发。

    • 首次:当事件首次满足定义条件时,风险指标会触发。

    • 过度:在满足以下条件后触发风险指标:

      • 事件满足定义的条件。

      • 在指定的时间段内,事件发生的次数为指定的次数。

    • 频繁:在满足以下条件后触发风险指标:

      • 事件满足定义的条件。

      • 事件在指定时间段内发生的指定次数。

      • 事件模式重复指定次数。

  6. 选择自定义风险指示器的严重性。

  7. 在指示器名称文本框中定义自定义风险 指示器名称

  8. 述文本框中,提供自定义风险指示器的有效描述。

  9. 创建指示器 页面底部,您可以根据需要启用或禁用自定义风险指示器。

  10. 点击 创建指示器

    自定义指示器

修改自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择要修改的自定义风险指示器。

  3. 修改指示器页面上,根据需要修改信息。

  4. 点击保存更改

删除自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选中自定义风险指示器的复选框。

  3. 单击删除

  4. 在对话框中,确认删除自定义风险指示器的请求。

自定义风险指标示例

以下示例说明如何创建自定义风险指标。

网关自定义风险指标

  • 无效凭据自定义风险指标:您可以通过定义以下条件创建自定义风险指标:

    • 事件:用户输入无效或错误的凭据。

    • 事件频率:事件每天发生三次。

    证书定义的条件无效

    当满足指定条件时,Analytics 会触发自定义风险指标,您可以在用户的风险时间表上查看风险指标。

    凭据自定义风险指标无效

    单击自定义风险指标上的 事件搜索 ,以查看自助搜索页面上的事件详细信息。

    凭据搜索无效

  • Gateway 用户未找到自定义风险指标:您可以通过定义以下条件创建自定义风险指标:

    • 事件:用户尝试使用未注册的用户名登录 Citrix Gateway。

    • 事件频率:事件每天发生三次,此模式至少重复两次。

    未注册证书定义的条件

    当满足指定条件时,Analytics 会触发自定义风险指标,您可以在用户的风险时间表上查看风险指标。

    未注册凭据自定义风险指标

    单击自定义风险指标上的事件搜索 ,以查看自助搜索页面上的事件详细信息。

    未注册证书搜索