Citrix Analytics for Security

Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

Virtual Apps and Desktops 数据源表示组织中的本地 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。

Citrix Analytics for Security 支持这两种产品,并从数据源接收用户事件。本文将向您介绍在这两种产品上启用 Analytics 的必备条件和步骤。

Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的以下组件接收用户事件:

  • 用户设备上安装的 Citrix Workspace 应用程序

  • 适用于本地部署的 Citrix Director

  • Citrix 监视器服务

  • Session Recording 服务器

当用户使用虚拟应用程序或虚拟桌面时,将在 Citrix Analytics for Security 中实时接收用户事件。

支持的客户版本

当在用户终端节点上使用受支持的客户端版本时,Citrix Analytics 会收到用户事件。如果用户使用的是任何不受支持的客户端版本,则必须将其客户端升级到以下版本之一:

  • 适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本

  • 适用于 Mac 的 Citrix Workspace 应用程序 1910.2 或更高版本

  • 适用于 HTML5 的 Citrix Workspace 2007 或更高版本

  • 适用于 Chrome 的 Citrix Workspace 应用程序-Chrome Web Store 中提供最新版本

  • 适用于 Android 的 Citrix Workspace 应用程序 Google Play 中提供了最新版本

  • 适用于 iOS 的 Citrix Workspace 应用程序 - Apple App Store 中提供的最新版本

  • 适用于 Linux 的 Citrix Workspace 2006 或更高版本

在 Citrix DaaS 上启用分析

必备条件

  • 订阅在 Citrix Cloud 上提供的 Citrix DaaS。要了解如何开始使用 Citrix DaaS,请参阅 安装和配置

  • 查看 系统要求 部分并确保满足要求。

查看数据源并打开数据处理

Citrix Analytics 会自动发现与您的 Citrix Cloud 帐户相关联的 Citrix DaaS。

要查看数据源,请执行以下操作

在顶栏中,单击 设置 > 数据源 > 安全性

Virtual Apps and Desktops-Workspace 应用程序 站点卡片显示在“数据源”页面上。单 击打开数据处理 以允许 Citrix Analytics 开始处理此数据源的数据。

链接的数据源

查看云站点、用户和接收的事件

站点卡显示应用程序和桌面用户的数量、发现的云站点以及过去一小时(默认时间选择)内收到的事件。还可以选择 1 周并查看数据。

单击接收的事件数可在 自助搜索 页面上查看事件。

链接的数据源

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

在本地的 Citrix Virtual Apps and Desktops 上启用分析

Citrix Analytics 从添加到工作区的本地站点和通过 StoreFront 部署访问的站点接收用户事件。

如果您的组织正在使用本地站点,则必须使用以下方法之一来加载站点,以便 Analytics 发现站点:

必备条件

  • 您必须拥有许可证才能使用 Citrix Virtual Apps and Desktops 本地解决方案。要了解如何开始使用 Citrix Virtual Apps and Desktops 本地,请参阅安装和配置

  • 查看 系统要求 部分并确保满足要求。

  • 您的 Delivery Controller 和 Director 在版本 1912 CU2 或更高版本中提供。有关详细信息,请参阅功能兼容性列表

  • 订阅 Citrix Workspace。如果要将站点添加到 Citrix Workspace,则必须需要 Workspace 订阅。

    要购买 Citrix Workspace 订阅,请访问 https://www.citrix.com/products/citrix-workspace/get-started.html 并联系可以为您提供帮助的 Citrix Workspace 专家。

  • 已添加到工作区的站点。Citrix Analytics 会自动发现添加到Citrix Workspace 站点。在继续在 Citrix Analytics 上进行入职之前,将站点添加到 Citrix Work 此过程称为 站点聚合

    站点聚合要求您安装 Cloud Connector,配置 NetScaler Gateway STA 服务器以实现与 Workspace 资源的内部和外部连接,然后将站点添加到 Workspace 中。有关站点聚合的详细说明,请参阅聚合工作区中的本地虚拟应用程序和桌面

  • StoreFront 版本。如果您正在为站点使用 StoreFront 部署,请确保 StoreFront 版本为 1906 或更高版本。

  • Citrix Analytics 的站点凭据。在为 Citrix Analytics 的“操作”功能配置站点时,必须为本地站点提供 Citrix 管理员凭据。这些凭证必须具有以下权限:

    1. Citrix 管理员角色:完全管理员

    2. Active Directory:域用户

  • Citrix Director 的服务器 URL。Citrix Analytics 使用此信息访问可用的实时数据,以便对站点中的用户行为进行深入分析。

  • Delivery Controller。在为站点配置高级 Citrix Analytics 功能(例如策略和操作)的过程中,必须在本地站点的 Delivery Controller 上安装策略代理。此代理使您的站点能够通过端口 443 (HTTPS) 与 Citrix Analytics 进行通信。

    确保托管代理的 Delivery Controller 满足以下要求:

    • 支持 PowerShell 3.0 或更高版本。

    • 允许 TCP 端口 443 (HTTPS) 上的出站连接。

使用 Workspace 上载 Citrix Virtual Apps and Desktops 本地站点

已添加到 Citrix Workspace 的站点

Citrix Analytics 会自动发现已添加到 Citrix Workspace 的本地站点,并将其显示在数据源站点卡片上。

要查看数据源,请执行以下操作

在顶栏中,单击 设置 > 数据源 > 安全性

Virtual Apps and Desktops 站点卡显示添加到 Workspace 的站点数量以及连接到这些站点的用户。单击站点计数以查看发现的站点。单击用户计数可在“用户”页面上查看发现的 用户

链接的数据源

未添加到 Citrix Workspace 的站点

如果您尚未将本地站点添加到 Workspace,Analytics 将无法发现您的站点。站点卡片显示 0 个已发现的站点。

要将站点添加到工作区,请执行以下操作:

  1. 单击站点卡片上的 +。

    数据源

  2. 在“工作 区配置”页面上,单击“+添加站点”。

    工作区

  3. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  4. 添加站点后,重新登录到 Citrix Analytics 并刷新“数据源”页面以在站点卡片上查看最近添加的站点。

打开数据处理并查看接收的事件

要允许 Analytics 开始处理已发现站点的数据,请单击站点卡片上的“打开数据处理”,然后按照屏幕上的提示进行操作。

如果您有多个站点添加到同一个工作区,Analytics 将处理并存储工作区中所有站点的数据。在所有网站上成功启用 Analytics 后,您会收到一条成功消息。

成功启用分析

站点卡片显示最近一小时内收到的事件,这是默认的时间选择。您还可以选择 1 周 (1 W) 并查看数据。单击接收的事件数可在相应的 自助搜索 页面上查看事件。

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

在站点上配置策略代理

当发现的站点上 未安装策略代理时,站点卡会显示“策略配置 未完成”消息。策略代理使您能够对从您的站点接收到的用户事件应用 策略和操作

注意

只有配置策略时才需要策略代理,在从站点传输数据时不具备任何角色。站点载入后,无论是否安装了策略代理,Citrix Analytics 都会接收数据。

连接要求:

  • 如果在 Citrix 环境中使用代理服务器,请确保满足以下连接要求:

    • 代理服务器必须使用基本的身份验证方法。

    • 代理服务器必须在不作任何更改的情况下转发策略代理的 HTTPS 或 HTTP 请求。

    • https://manage-disc.citrix.com 地址必须是可访问的。访问地址时不得出现任何代理错误。

      注意

      但是,通过 Web 浏览器访问地址时,您可能会收到页面不安全或连接不是私人警告消息。你可以继续发出警告来查看页面。该页面不包含任何要显示的信息。策略代理使用此地址连接到 Citrix 环境中的应用程序服务器。

    • 策略代理使用为安装策略代理的计算机定义的代理配置详细信息。确保 Web 浏览器和计算机的代理配置详细信息相同。

  • 如果要在其上安装策略代理的计算机位于防火墙之后,请在防火墙例外列表中添加以下地址。要在计算机上的策略代理与 Citrix 环境中的应用程序服务器之间建立连接,需要这些地址:

    • https://smart.cloud.com

    • https://rttf.citrix.com

    • https://citrixworkspacesapi.net

    • https://ctxsym.citrix.com

    • https://manage-disc.citrix.com

    • 13.82.89.73

    • 40.87.65.119

    • 52.168.86.226

    • 13.92.86.28

要安装和配置策略代理:

  1. 单击 点卡片上的“站点”或“策略配置未完成”以查看“已发现的站 点”页以安装策略代理。

    继续设置

  2. 单击显示“策略配置未完成”消息的站点。

    发现的代理

  3. 单击继续。此时将显示 安装和配置 Analytics 策略代理 向导。

    安装代理

  4. 单击 下载代理 并保存策略代理程序包。在站点中的一个交付控制器上安装策略代理。为了获得高可用性和可靠性,Citrix 建议您在每个站点上安装多个策略代理。

    注意:请

    确保将浏览器设置配置为不阻止弹出窗口,否则策略代理可能无法下载到系统。

    下载代理

  5. 安装完成后,单击“连接到已安装的代理”。代理向 Citrix Analytics 注册您的站点。此过程可能需要几分钟时间。

  6. 输入站点管理员帐户的用户名和密码,然后单击“下一步”。Citrix Analytics 会验证您的输入内容。

    控制器凭证

  7. 输入站点的 Director URL,然后单击“下一步”。

    提供 Director URL

  8. 查看配置摘要,验证您的站点是否可用于 Citrix Analytics,并且策略代理处于联机状态。单击“完成”关闭向导。

    评论摘要

站点设置已成功完成。

添加站点

如果要向 Workspace 添加另一个本地站点,可以通过 Analytics 进行添加:

  1. 在站点卡上,单击站点数以查看“已 发现的站点”页面。

    选址

  2. 在“发现的站点”页面上,单击 + 向 Workspace 添加更多 Virtual Apps and Desktops 站点。

    多个站点

  3. 在“工作区配置”页面上,单击 + 添加站点。

    工作区

  4. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  5. 添加站点后,请转到 Citrix Analytics 并刷新“数据源”页面以查看站点卡上最近添加的站点。

使用 StoreFront 载入 Citrix Virtual Apps and Desktops 本地站点

有关必备条件和入门步骤的信息,请参阅 Citrix Analytics 平台文档中的 Citrix Virtual Apps and Desktops 数据源 文章。

连接到适用于本地站点的 Citrix Director

Citrix Director 是 Citrix Virtual Apps and Desktops 的监视和故障排除控制台。您可以使用 Director 为 Citrix Analytics for Security (Security Analytics). 配置本地站点。配置站点后,Director 会将监视事件发送到 Security Analytics。

如果您正在使用 Citrix DaaS,Citrix Monitor 服务会将事件从您的云站点发送到安全分析。

在同时进行云和本地部署的混合环境中,安全分析会接收来自 Citrix Monitor 服务和 Citrix Director 上载站点的事件。

先决条件和配置步骤

备注

  • 目前,Director 用户界面显示与 Citrix Analytics for Performance (Performance Analytics) 相关的配置步骤。这些配置步骤也适用于 Citrix Analytics for Security (Security Analytics)。如果您拥有 Security Analytics 的有效 Citrix Cloud 授权,则可以按照以下步骤连接到 Citrix Director。

  • 如果您的 Citrix Cloud 帐户具有安全分析和性能分析的有效授权,并且您已经为站点配置了性能分析,则无需再次为安全分析配置 Director。

有关必备条件和配置步骤的信息,请参阅 Citrix Analytics for Performance 文档

查看已连接的站点和接收的事件

  1. 在 Citrix Analytics 中,转到“数 据源”页面。

  2. 单击安全选项卡。

  3. 在“Virtual Apps and Desktops-监视”站点卡片上,您可以查看本地站点或云站点(如果适用)。您还可以查看从站点接收的事件。

    连接的监控站点

    备注

    • 首次在 Director 上配置本地站点时,来自该站点的事件可能需要一些时间(大约一个小时)才能得到处理;这会导致连接的站点在 Virtual Apps and Desktops - 监视站点卡片上的显示延迟。

    • 在监视站点卡片上,默认情况下启用监视器服务或 Director 数据源的数据处理。您还可以根据需要关闭数据处理。但是,建议继续进行数据处理,以便从安全分析中获得最大收益。

  4. 单击这些站点以查看详细信息。

    监控站点详情

连接到会话录制部署

会话录制”允许您在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 中录制任何用户会话的屏幕活动。您可以将 Session Recording 服务器配置为将用户事件发送给 Citrix Analytics for Security。处理用户事件以提供有关用户危险行为的切实可行的见解。

必备条件

在开始之前,请确保执行以下操作:

  • 您的 Session Recording 服务器和 VDA 代理必须为 2103 或更高版本。

  • Session Recording 服务器必须能够连接到以下地址:

  • Session Recording 部署必须为出站 Internet 连接打开端口 443。网络上的任何代理服务器都必须允许与 Citrix Analytics for Security 进行此通信。

  • 如果您使用的是 Citrix Virtual Apps and Desktops 7 1912 LTSR,则支持的会话录制版本为 2103 或更高版本。

配置 Session Recording 服务器

  1. Virtual Apps and Desktops - Session Recording 站点卡上,单击连接 Session Recording 服务器

    Session Recording 连接

  2. Connect Session Recording Server(连接 Session Recording 服务器)页面上,查看核对清单,然后选择所有必须满足的要求。如果不选择强制性要求,则会禁用 下载文件 选项。

    会话录制清单

  3. 如果您的网络中有代理服务器,请在 Session Recording 服务器的 ssrecStorageManager.exe.config 文件中输入代理地址。

    配置文件位于 <Session Recording Server installation path>\bin\SsRecStorageManager.exe.config

    例如: C:\Program Files\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe.config

    配置文件路径

  4. 单击 下载文件 以下载 会话录制配置文件 .json 文件。

    注意

    该文件包含敏感信息。请将该文件保存在安全的位置。

  5. 请将该文件复制到要连接到 Citrix Analytics for Security 的 Session Recording 服务器。

  6. 如果您的部署中有多个 Session Recording 服务器,则必须在要连接的每台服务器中复制该文件,然后按照步骤配置每台服务器。

  7. 在 Session Recording 服务器上,运行以下命令以导入设置:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Import_SRCasConfigurations <configuration file path>
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Import_SRCasConfigurations C:\Users\administrator \Downloads\SessionRecordingConfigurationFile.json

  8. 重新启动以下服务:

    • Citrix Session Recording Analytics Service

    • Citrix Session Recording Storage Manager

  9. 配置成功后,转到 Citrix Analytics for Security 查看连接的 Session Recording 服务器。单击打开数据处理以允许 Citrix Analytics for Security 处理数据。

    注意

    如果使用的是 Session Recording 服务器版本 2103 或 2104,则必须首先启动应用程序和桌面会话,才能在 Citrix Analytics for Security 上查看连接的 Session Recording 服务器。否则,连接的 Session Recording 服务器将无法显示。此要求不适用于 Session Recording 服务器版本 2106 及更高版本。

查看已连接的部署

仅当配置成功时,服务器部署才会显示在 Session Recording 站点卡片上。站点卡片显示已与 Citrix Analytics for Security 建立连接的已配置服务器的数量。

如果即使在配置成功之后仍看不到 Session Recording 服务器,请参阅 故障排除一文

会话录制部署

在站点卡片上,单击部署数量以查看与 Citrix Analytics for Security 连接的服务器组。例如,单击 1 Session Recording Deployment(1 Session Recording 部署)可查看连接的一个或多个服务器组。每个 Session Recording 服务器都由一个基本 URL 和一个 ServerGroupID 表示。

SR 部署详细信息

查看收到的事件

站点卡片显示连接的 Session Recording 部署以及过去一小时(默认时间选择)从这些部署接收的事件。还可以选择 1 周并查看数据。单击接收的事件数量可在自助搜索页面上查看事件。

启用数据处理后,站点卡片可能会显示 No data received(未收到数据)状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Citrix Analytics 在过去一小时内未收到来自数据源的任何事件。

添加 Session Recording 服务器

要添加 Session Recording 服务器,请执行以下操作之一:

  • Connected Session Recording Deployments(已连接的 Session Recording 部署)页面上,单击 Connect to Session recording server(连接到 Session Recording 服务器)。

    连接部署

  • Virtual Apps and Desktops - Session Recording 站点卡片上,单击垂直省略号 (⋮),然后选择 Connect Session Recording server(连接 Session Recording 服务器)。

    Session Recording 连接

按照步骤下载配置文件并配置 Session Recording 服务器。

删除 Session Recording 服务器

要删除 Session Recording 服务器,请执行以下操作:

  1. 在 Citrix Analytics for Security 上,转到 Connected Session Recording Deployments(已连接的 Session Recording 部署)页面,然后选择要删除的服务器部署。

  2. 单击垂直省略号 (⋮),然后选择 Remove Session Recording server from Analytics(从 Analytics 中选择删除 Session Recording 服务器)。

    删除 Session Recording 服务器

  3. 在已从 Citrix Analytics 中删除的 Session Recording 服务器上,运行以下命令:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Remove_SRCasConfigurations
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Remove_SRCasConfigurations

打开或关闭数据源上的数据处理

您可以随时停止特定数据源(Director 和 Workspace 应用程序)的数据处理。在数据源站点卡片上,单击垂直省略号 (⋮) > 关闭数据处理。Citrix Analytics 停止处理该数据源的数据。您还可以从“Virtual Apps and Desktops”站点卡片停止数据处理。此选项适用于数据源 Director 和 Workspace 应用程序。

要再次启用数据处理,请单击“打开数据处理”。