策略和操作
注意
请注意:Citrix Content Collaboration™ 和 ShareFile 已达到其生命周期终止,不再向用户提供。
您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动化应用操作的过程,例如禁用用户和将用户添加到观察列表。当您启用策略时,在异常事件发生且策略条件满足后,将立即应用相应的操作。您还可以手动对具有异常活动的用户帐户应用操作。
什么是策略
策略是一组必须满足才能应用操作的条件。一个策略包含一个或多个条件和一个单一操作。您可以创建一个包含多个条件和一个可应用于用户帐户的操作的策略。
风险评分是一个全局条件。全局条件可以应用于特定用户的特定数据源。您可以监视显示任何异常活动的用户帐户。其他条件特定于数据源及其风险指标。这些条件包含风险评分、默认风险指标和自定义风险指标的组合。创建策略时,最多可以添加 4 个条件。
例如,如果您的组织使用敏感数据,您可能希望限制用户内部共享或访问的数据量。但是,如果您的组织规模庞大,单个管理员管理和监视大量用户是不可行的。您可以创建一个策略,其中,任何过度共享敏感数据的人都可以被添加到观察列表或立即禁用其帐户。
默认策略
默认策略是预定义的,并在策略仪表板上启用。它们是根据预定义条件创建的,并且每个默认策略都分配有相应的操作。您可以根据自己的要求使用或修改默认策略。
Citrix Analytics 支持以下默认策略:
- 凭据利用成功
- 潜在数据泄露
- 来自可疑 IP 的异常访问
- 首次从设备访问
- Virtual Apps and Desktops 和 Citrix DaaS - 访问时不可能的行程
- Gateway - 身份验证时不可能的行程
有关上述默认策略的预设条件和操作的信息,请参阅持续风险评估。
有关地理围栏用例的预定义策略的信息,请参阅预配置策略。
如何添加或删除条件
要添加更多条件,请在满足以下条件时部分的创建策略页面中选择添加条件。要删除条件,请选择条件旁边显示的 - 图标。
默认和自定义风险指标
条件菜单根据创建策略页面上的默认风险指标和自定义风险指标选项卡进行分隔。使用这些选项卡,您可以轻松识别在选择策略配置条件时要选择的风险指标类型。
什么是操作
操作是对可疑事件的响应,可防止未来异常事件的发生。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户帐户应用操作,也可以从用户的风险时间线手动应用特定操作。
您可以查看全局操作或每个 Citrix 数据源的操作。您还可以随时禁用先前为用户应用的操作。
注意
无论触发风险指标的数据源是什么,都可以应用与其他数据源相关的操作。
下表描述了您可以执行的操作。
| 操作名称 | 描述 | 适用数据源 |
|---|---|---|
| 全局操作 | ||
| 添加到观察列表 | 当您希望监视用户以防范未来潜在威胁时,可以将其添加到观察列表。 | 所有数据源 |
| 观察列表中的用户窗格显示您希望根据其帐户上的异常活动监视潜在威胁的所有用户。根据您组织的策略,您可以使用“添加到观察列表”操作将用户添加到观察列表。 | ||
| 要将用户添加到观察列表,请导航到用户配置文件,从操作菜单中,选择添加到观察列表。单击应用以强制执行操作。 | ||
| 通知管理员 | 当用户的风险指标被触发时,您可以手动通知管理员或创建策略以进行自动通知。您可以从 Citrix Cloud 域和组织中的其他非 Citrix Cloud 域中选择管理员。如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,您的 Citrix Cloud 帐户的电子邮件通知处于禁用状态。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关更多信息,请参阅接收电子邮件通知。如果您是具有自定义访问权限(只读和完全访问)以管理 Security Analytics 的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户的电子邮件通知处于启用状态。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问管理员将您的姓名从通知管理员分发列表中删除。有关信息,请参阅电子邮件分发列表。 | |
| 请求最终用户响应 | 当用户的帐户上出现任何异常或可疑活动时,您可以通知用户确认用户是否识别该活动。根据活动,您可以确定要对用户帐户采取的下一步操作。有关更多信息,请参阅请求最终用户响应。 | |
| 通知最终用户 | 当用户的帐户上发生任何异常或可疑活动时,您可以通过电子邮件通知最终用户。有关更多信息,请参阅通知最终用户。 | |
| Citrix Gateway 操作 | ||
| 注销活动会话 | 应用此操作后,它会注销当前活动的会话。它不会阻止任何未来的用户会话。 | Citrix Gateway 本地部署和 Citrix Application Delivery Management |
| 锁定用户帐户 | 当用户的帐户因异常行为而被锁定时,他们无法通过 Citrix Gateway 访问任何资源,直到 Gateway 管理员解锁该帐户。 | Citrix Gateway 本地部署 |
| 解锁用户帐户 | 当用户的帐户被意外锁定,尽管未检测到异常行为时,您可以应用此操作来解锁它并恢复对帐户的访问。 | Citrix Gateway 本地部署 |
| Citrix Virtual Apps and Desktops™ 和 Citrix DaaS 操作 | ||
| 注销活动会话 | 应用此操作后,它会注销当前活动的会话。它不会阻止任何未来的用户会话。 | Citrix DaaS(以前称为 Citrix Virtual Apps™ and Desktops 服务) |
| 开始会话录制 | 如果用户的 Virtual Desktops 帐户上发生异常事件,管理员可以开始录制用户当前的活动会话。如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,并且已登录到虚拟会话,则管理员可以从 Citrix Analytics for Security 动态触发“开始会话录制”操作,该操作将开始录制用户当前的活动会话。 | Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务) |
注意
您可以对风险指标应用任何操作,无论数据源是什么。
- 管理员现在可以在 Citrix DaaS 站点上运行动态会话录制操作,并动态录制用户的虚拟会话。
- 请求最终用户响应和通知最终用户操作不能应用于匿名用户,因为他们在 Active Directory 中没有电子邮件地址。因此,请确保您的用户的电子邮件地址在 Active Directory 中可用,并且您的 Active Directory 与 Citrix Cloud 之间已建立连接。
仅限查看共享
在对用户帐户应用将链接更改为仅限查看共享操作之前,请确保满足以下条件:
先决条件
-
管理员必须在 Content Collaboration 中拥有企业帐户才能使用将链接更改为仅限查看共享操作。
-
仅限查看共享是 Citrix Content Collaboration 企业帐户中按请求提供的功能。在 Citrix Analytics 中应用将链接更改为仅限查看共享操作之前,请确保已在用户和管理员的 Content Collaboration 企业帐户中启用仅限查看共享功能。有关更多信息,请参阅 Citrix 支持文章 - CTX208601。
支持的文件类型
仅限查看共享操作仅适用于以下文件类型:
-
Microsoft Office 文件
-
PDF
-
图像文件(需要 SZC v3.4.1 或更高版本):
-
BMP
-
GIF
-
JPG
-
JPEG
-
PNG
-
TIF
-
TIFF
-
-
存储在 Citrix 管理的存储区域中的音频和视频文件。
配置策略和操作
例如,按照以下步骤,您可以创建“过度文件共享”策略。使用此策略,当您组织中的用户共享异常大量数据时,共享链接将自动过期。当用户共享的数据超出该用户的正常行为时,您会收到通知。通过应用“过度文件共享”策略并立即采取行动,您可以防止任何用户帐户中的数据泄露。
要创建策略,请执行以下操作:
-
登录 Citrix Analytics 后,转到安全 > 策略 > 创建策略。
-
从满足以下条件时列表框中,选择您希望应用操作的默认或自定义风险指标条件。
-
从然后执行以下操作列表中,选择一个操作。
-
在策略名称文本框中,提供一个名称并使用提供的切换按钮启用策略。
-
单击创建策略。
创建策略后,该策略将显示在策略仪表板上。
策略仪表板显示与已成功发现并连接到 Citrix Analytics 的数据源关联的策略。仪表板不显示为未发现的数据源定义了条件的策略。
但是,关闭已连接数据源的数据处理不会影响策略仪表板上的现有策略。
请求最终用户响应
请求最终用户响应是一个全局操作,您可以使用它在检测到 Citrix 帐户中的异常活动后立即提醒用户。当您应用此操作时,会向用户发送一封电子邮件通知。用户需要通过电子邮件回复以确认其活动的合法性。
确定要为用户应用的操作:
根据用户的响应,您可以确定要采取的下一步操作。您可以应用全局操作,例如“添加到观察列表”、“通知管理员”。或者您可以应用特定于数据源的操作,例如 Citrix Gateway - 锁定用户。
如果您收到用户执行了报告活动的响应,则该活动并非可疑,您无需对用户帐户采取行动。每天向用户发送安全警报的限制是三封电子邮件。
考虑一个 Citrix Content Collaboration 用户,其风险评分在 80 分钟内超过 80。您可以通过应用请求最终用户响应操作来提醒用户此异常行为。安全警报将从电子邮件 ID security-analytics@cloud.com 发送给用户。
电子邮件包含以下信息:
-
触发风险指标的用户活动
-
用户设备
-
用户活动的日期和时间
-
成功访问产品或服务的地点(城市和国家/地区)。如果城市或国家/地区不可用,则相应值显示为“未知”
请求最终用户响应操作已添加到用户的风险时间线。
如果用户未识别其 Citrix 帐户中检测到的活动,Citrix Analytics 将应用您定义的操作。
如果用户未能在收到电子邮件后一小时内发送回复,Citrix Analytics 会将用户添加到观察列表。您可以监视用户及其帐户是否存在任何可疑活动并采取相应措施。
如何设置用户响应时间
您可以配置用户对安全警报电子邮件的响应时间。如果用户未能在指定时间内回复报告的活动,则该用户将被添加到观察列表进行监视。
请按照以下步骤配置用户响应时间:
-
单击设置 > 警报设置 > 最终用户电子邮件设置。
-
在最终用户电子邮件设置页面上,在文本框中输入分钟数。
-
单击保存更改。
您还可以在安全警报电子邮件中添加横幅、页眉文本和页脚文本,使其看起来合法,吸引用户注意并增加响应时间。有关更多信息,请参阅最终用户电子邮件设置。
通知最终用户
通知最终用户是一个全局操作,您可以使用它在检测到用户的 Citrix 帐户上出现异常或可疑行为时向最终用户发送电子邮件通知。电子邮件主题行和消息正文是可自定义的。当策略触发后应用此操作时,会向用户发送一封电子邮件通知。不会请求最终用户响应,也不会对用户帐户执行任何破坏性操作。
此操作可以帮助基于内置或自定义风险指标触发器服务各种合规性用例。凭借可自定义的电子邮件主题行和消息正文,它还足够灵活,可以服务许多通用最终用户通知用例,这些用例不需要响应或对用户帐户执行破坏性操作。
电子邮件包含以下信息:
-
与操作关联的策略名称。
-
用户设备(如果可用)
-
用户活动的日期和时间
最终用户电子邮件通知将从电子邮件 ID security-analytics@cloud.com 发送。
注意
每天跨策略的限制是每个用户三封电子邮件。一旦超过此阈值,将不应用该操作,并且不会向最终用户发送电子邮件通知。该操作在用户的时间线视图中可见,并显示消息已达到用户的每日电子邮件限制。
该操作已添加到用户的风险时间线。但是,它不是手动操作,不能从时间线视图应用于用户。
最终用户电子邮件内容的自定义
以前,Citrix Analytics 管理员需要手动联系最终用户,以在检测到可疑活动时提供补救说明,这对于关闭事件来说是一个耗时的过程。
最终用户电子邮件内容的自定义功能已引入,用于请求最终用户响应、通知最终用户和信息性电子邮件。最终用户响应电子邮件旨在寻求用户验证/响应,而信息性电子邮件则显示可疑活动的类型以及已采取的补救措施。通知最终用户电子邮件通知最终用户其 Citrix 帐户上的合规性违规/可疑活动,而无需请求他们响应。
借助最终用户电子邮件内容的自定义功能,Citrix Analytics 管理员可以在请求最终用户响应/通知最终用户/信息性电子邮件正文模板中添加自定义消息。使用富文本框编辑器,管理员可以使用各种编辑工具(例如粗体、斜体、超链接等)根据策略更改内容。
注意
最终用户电子邮件内容的自定义功能仅适用于基于策略的操作,而不适用于手动操作。
您可以自定义三种类型的电子邮件内容:
- 请求最终用户响应电子邮件。
- 通知最终用户电子邮件
- 执行以下任何最终用户操作时发送的电子邮件:
- Citrix Apps and Desktop 下的注销操作
- Citrix Gateway 下的注销和锁定用户
您可以在安全 > 策略选项卡中查看策略列表。
可以通过单击现有策略或在创建新策略时查看自定义电子邮件正文。在右侧窗格中,您可以预览更新后的电子邮件内容。
注意
管理员可以通过单击重置为默认值链接将内容设置为默认模板。自定义正文的字符限制为 1000。
对于通知最终用户操作,主题行字段也可以由管理员自定义。可以通过单击重置为默认值链接将其重置为默认值。自定义电子邮件主题的字符限制为 500。
单击保存更改以创建/更新策略。当策略触发时,将向最终用户发送以下电子邮件通知:
- 请求最终用户响应电子邮件:发送电子邮件请求用户响应的策略操作。
- 通知最终用户电子邮件:向最终用户发送电子邮件通知,告知他们其 Citrix 帐户上的合规性问题、可疑活动等。
- 信息性电子邮件:在最终用户操作后发送的信息性电子邮件。
最终用户可以阅读电子邮件并完成管理员请求的补救措施。
注意
只读访问权限的管理员无法编辑/添加电子邮件正文。
应用破坏性操作后通知用户
在此操作类型中,当检测到异常活动时,您可以对用户帐户应用破坏性操作,例如注销用户和锁定用户。当对用户帐户应用操作时,其帐户的服务可能会中断。在这种情况下,用户必须联系管理员才能像以前一样访问其帐户。
考虑一个 Citrix Content Collaboration 用户,其风险评分在 80 分钟内超过 80。您可以注销该用户。完成此任务后,用户无法访问其帐户,并且会从电子邮件 ID security-analytics@cloud.com 向用户发送电子邮件通知。电子邮件包含事件的详细信息,例如活动、设备、日期和时间以及 IP 地址。用户必须联系管理员才能像以前一样访问其帐户。
手动应用操作
考虑一个用户 Lemuel,她第一次使用新设备登录网络。为了监视她的帐户,因为她的行为异常,您可以使用通知管理员操作。
要手动对用户应用操作,您必须:
导航到用户配置文件并选择适当的风险指标。从操作菜单中,选择通知管理员操作,然后单击应用。
电子邮件通知将发送给所有或选定的管理员以监视她的帐户。应用的操作将添加到她的风险时间线中,并且操作详细信息将显示在风险时间线页面的右侧窗格中。
注意
如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,您的 Citrix Cloud 帐户的电子邮件通知处于禁用状态。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关更多信息,请参阅接收电子邮件通知。
如果您是具有自定义访问权限(只读和完全访问)以管理 Security Analytics 的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户的电子邮件通知处于启用状态。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问管理员将您的姓名从通知管理员分发列表中删除。有关信息,请参阅电子邮件分发列表。
管理策略
您可以查看“策略”仪表板,以管理在 Citrix Analytics 上创建的所有策略,以监视和识别网络中的不一致之处。在“策略”仪表板上,您可以:
-
查看策略列表
-
策略详细信息
-
策略名称
-
状态 – 已启用或已禁用。
-
策略持续时间 – 策略处于活动或非活动状态的天数。
-
发生次数 – 策略触发的次数。
-
已修改 – 时间戳,仅当策略已修改时。
-
-
删除策略
-
要删除策略,您可以选择要删除的策略,然后单击删除。
-
或者,您可以单击策略名称以转到“修改策略”页面。单击删除策略。在对话框中,确认您删除策略的请求。
-
-
单击策略名称以查看更多详细信息。您也可以在单击其名称时修改策略。可以进行的其他修改如下:
-
更改策略名称。
-
策略条件。
-
要应用的操作。
-
启用或禁用策略。
-
删除策略。
-
注意
如果您不想删除策略,可以选择禁用策略。
要在“策略”仪表板上重新启用策略,请执行以下操作:
在“策略”仪表板上,单击状态滑块按钮并刷新页面。状态滑块按钮变为绿色。
在“修改策略”页面上,单击页面底部的已启用滑块按钮。
支持的模式
Citrix Analytics 支持以下策略模式:
-
强制模式 - 在此模式下,配置的策略会影响用户帐户。
-
监视模式 - 在此模式下,配置的策略不会影响用户帐户。如果您想测试任何策略配置,可以将策略设置为此模式。
使用以下说明配置策略模式:
-
导航到安全 > 策略。
-
在策略页面上,选择搜索栏旁边显示的右上角图标。将显示选择模式窗口。
-
选择您选择的模式,然后单击保存设置。
注意
Analytics 创建的默认策略设置为监视模式。因此,现有策略也继承此模式。您可以评估所有策略的影响,然后将其更改为强制模式。
策略的自助搜索
在自助搜索页面上,您可以查看已满足策略中定义的条件的用户事件。该页面还显示应用于这些用户事件的操作。根据应用的操作筛选用户事件。