自定义风险指示器

Citrix Analytics 默认检测到的用户风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。您可以根据用户事件定义条件并创建自定义风险指示器。如果事件与定义的条件匹配,Citrix Analytics 将触发自定义风险指示器,并将其显示在用户的风险时间线上。

您可以在以下数据源上创建自定义风险指示器:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

自定义风险指示器页面

自定义风险指示器”页面提供了有关为用户生成的所有自定义风险指示器、严重性、数据源、策略数量、风险类别、状态以及指标的上次修改日期和时间的见解。要创建自定义风险指示器,请参阅创建自定义风险指示器

自定义指示器

当您选择风险指示器时,您将被重定向到 修改风险指示器 页面。有关详细信息,请参阅修改自定义风险指示器

分析自定义风险指示器

假设某个用户的操作触发了您已定义的自定义风险指示器。Citrix Analytics 会在用户的风险时间表上显示自定义风险指示器。

当您在用户的风险时间轴上选择自定义风险指示器时,右侧窗格显示以下信息:

  • 已定义的条件:显示您在创建自定义风险指示器时定义的条件的摘要。

  • 描述:提供您在创建自定义风险指示器时提供描述的摘要。如果在创建自定义风险指示器时未提供描述,则此部分将反映

  • 触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。

自定义指示器

注意

用户风险时间表上的标签表示自定义风险指示器。

可以应用于用户的操作

目前,无法对触发自定义风险指示器的用户帐户采取适当操作。

创建自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择创建指标

    自定义指示器

  3. 选择要为其创建自定义风险指示器的数据源。

  4. 使用搜索框中的维度和运算符定义自定义风险指示器的条件。有关尺寸(小平面)和有效运算符的详细信息,请参阅 自助搜索

    预计触发器链接将在高级选项部分激活。单击链接可预测定义条件下将触发的自定义风险指示器的近似实例。这些实例是根据 Citrix Analytics 维护并满足您定义的条件的历史数据计算的。

    注意

    确保单击估计触发器以预测最后定义条件的自定义风险指示器出现次数。

  5. 高级选项部分,选择事件的频率以触发自定义风险指示器。如果不选择任何选项,Citrix Analytics 会将每次: 每次事件发生时都将生成风险指示器视为默认选项,并生成自定义风险指示器。您可以选择以下选项之一:

    • 每次:每当事件满足规定的条件时,风险指示器都会触发。

    • 首次:当事件首次满足定义的条件时,会触发风险指示器。

    • 过度:在满足以下条件后触发风险指示器:

      • 事件满足定义的条件。

      • 在指定时段内,事件发生指定次数的次数。

    • 频繁:在满足以下条件后触发风险指示器:

      • 事件满足定义的条件。

      • 事件在指定时间段内发生指定次数。

      • 事件模式将重复指定次数。

  6. 选择自定义风险指示器的风险类别。风险指示器根据自定义风险指示器的风险风险类型进行分组。有关风险类别选择的帮助,请参阅 风险类别

  7. 选择自定义风险指示器的严重性。

  8. 在指示器名称文本框中定义自定义风险 指示器名称

  9. 述文本框中,提供自定义风险指示器的有效描述。

  10. 创建指示器 页面底部,您可以根据需要启用或禁用自定义风险指示器。

  11. 点击 创建指示器

    自定义指示器

修改自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选择要修改的自定义风险指示器。

  3. 修改指示器页面上,根据需要修改信息。

  4. 单击保存更改

删除自定义风险指示器

  1. 导航至设置 > 自定义风险指示器和策略

  2. 指示器选项卡上,选中自定义风险指示器的复选框。

  3. 单击删除

  4. 在对话框中,确认删除自定义风险指示器的请求。

自定义风险指示器示例

以下示例说明如何为 Citrix Gateway 数据源创建自定义风险指示器。有关网关数据源可用的维度(小平面)和运算符的信息,请参阅 面向网关的自助搜索

网关自定义风险指示器

  • 凭据自定义风险指示器无效:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户输入的凭据无效或错误。

    • 事件频率:事件每天发生三次。

    无效的凭据定义条件

    当满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间线上查看风险指示器。

    凭据自定义风险指示器无效

    单击自定义风险指示器上的事件搜索 ,以查看自助搜索页面上的事件详细信息。

    凭据搜索无效

  • 网关用户未找到自定义风险指示器:您可以通过定义以下条件来创建自定义风险指示器:

    • 事件:用户尝试使用未注册的用户名登录 Citrix Gateway。

    • 事件频率:事件每天发生三次,此模式至少重复两次。

    未注册的凭据定义的条件

    当满足指定条件时,Analytics 会触发自定义风险指示器,您可以在用户的风险时间线上查看风险指示器。

    未注册的凭据自定义风险指示器

    单击自定义风险指示器上的事件搜索 ,以查看自助搜索页面上的事件详细信息。

    未注册的凭据搜索