策略和操作
注意
注意:Citrix Content Collaboration™ 和 ShareFile 已达到其生命周期终止,不再对用户可用。
您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动化应用操作的过程,例如禁用用户和将用户添加到监视列表。当您启用策略时,在异常事件发生且满足策略条件后,会立即应用相应的操作。您还可以手动对具有异常活动的用户帐户应用操作。
什么是策略
策略是必须满足才能应用操作的一组条件。一个策略包含一个或多个条件以及一个操作。您可以创建一个包含多个条件和一个操作的策略,该操作可以应用于用户的帐户。
风险评分是一个全局条件。全局条件可以应用于特定用户的特定数据源。您可以监视显示任何异常活动的用户帐户。其他条件特定于数据源及其风险指示器。这些条件包含风险评分、默认风险指示器和自定义风险指示器的组合。您在创建策略时最多可以添加 4 个条件。
例如,如果您的组织使用敏感数据,您可能希望限制用户内部共享或访问的数据量。但是,如果您有一个大型组织,单个管理员管理和监视许多用户是不可行的。您可以创建一个策略,其中,任何过度共享敏感数据的人都可以被添加到监视列表或立即禁用其帐户。
默认策略
默认策略是预定义并在“策略”控制板上启用的。它们是根据预定义条件创建的,并且每个默认策略都分配有相应的操作。您可以选择使用默认策略或根据您的要求对其进行修改。
Citrix Analytics 支持以下默认策略:
- 凭据利用成功
- 潜在数据泄露
- 来自可疑 IP 的异常访问
- 首次从设备访问
- Virtual Apps and Desktops 和 Citrix DaaS - 访问时不可能的行程
- Gateway - 身份验证时不可能的行程
有关上述默认策略的预设条件和操作的信息,请参阅持续风险评估。
有关地理围栏用例的预定义策略的信息,请参阅预配置策略。
如何添加或删除条件
要添加更多条件,请在“创建策略”页面的“如果满足以下条件”部分中选择“添加条件”。要删除条件,请选择条件旁边显示的“-”图标。
默认和自定义风险指示器
条件菜单根据“创建策略”页面上的“默认风险指示器”和“自定义风险指示器”选项卡进行区分。使用这些选项卡,您可以轻松识别在选择策略配置条件时要选择的风险指示器类型。
什么是操作
操作是对可疑事件的响应,可防止未来异常事件的发生。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户帐户应用操作,也可以从用户的风险时间线手动应用特定操作。
您可以查看全局操作或每个 Citrix 数据源的操作。您还可以随时禁用以前为用户应用的操作。
注意
无论触发风险指示器的数据源是什么,都可以应用与其他数据源相关的操作。
下表描述了您可以执行的操作。
| 操作名称 | 描述 | 适用数据源 |
|---|---|---|
| 全局操作 | ||
| 添加到监视列表 | 当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。 | 所有数据源 |
| “监视列表中的用户”窗格显示您要根据其帐户上的异常活动监视所有潜在威胁的用户。根据您组织的策略,您可以使用“添加到监视列表”操作将用户添加到监视列表。 | ||
| 要将用户添加到监视列表,请导航到用户配置文件,从“操作”菜单中选择“添加到监视列表”。单击“应用”以强制执行该操作。 | ||
| 通知管理员 | 当用户的风险指示器被触发时,您可以手动通知管理员或创建自动通知策略。您可以从 Citrix Cloud 域和组织中的其他非 Citrix Cloud 域中选择管理员。如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,您的 Citrix Cloud 帐户的电子邮件通知处于禁用状态。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关详细信息,请参阅接收电子邮件通知。如果您是具有自定义访问权限(只读和完全访问)以管理 Security Analytics 的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户的电子邮件通知处于启用状态。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问管理员将您的姓名从通知管理员分发列表中删除。有关信息,请参阅电子邮件分发列表。 | |
| 请求最终用户响应 | 当用户的帐户上出现任何异常或可疑活动时,您可以通知用户以确认用户是否识别该活动。根据活动,您可以确定对用户帐户采取的下一步操作。有关详细信息,请参阅请求最终用户响应。 | |
| 通知最终用户 | 当用户的帐户上发生任何异常或可疑活动时,您可以通过电子邮件通知最终用户。有关详细信息,请参阅通知最终用户。 | |
| Citrix Gateway 操作 | ||
| 注销活动会话 | 应用此操作时,它会注销当前活动的用户会话。它不会阻止任何未来的用户会话。 | 本地 Citrix Gateway 和 Citrix Application Delivery Management |
| 锁定用户帐户 | 当用户的帐户因异常行为而被锁定时,他们无法通过 Citrix Gateway 访问任何资源,直到 Gateway 管理员解锁该帐户。 | 本地 Citrix Gateway |
| 解锁用户帐户 | 当用户的帐户意外锁定,但未检测到异常行为时,您可以应用此操作来解锁它并恢复对帐户的访问。 | 本地 Citrix Gateway |
| Citrix Virtual Apps and Desktops™ 和 Citrix DaaS 操作 | ||
| 注销活动会话 | 应用此操作时,它会注销当前活动的用户会话。它不会阻止任何未来的用户会话。 | Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务) |
| 开始会话录制 | 如果用户的 Virtual Desktops 帐户上发生异常事件,管理员可以开始录制用户当前的活动会话。如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,并且已登录到虚拟会话,则管理员可以从 Citrix Analytics for Security 动态触发“开始会话录制”操作,从而开始录制用户当前的活动会话。 | Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务) |
注意
无论数据源如何,您都可以对风险指示器应用任何操作。
- 管理员现在可以在 Citrix DaaS 站点上运行动态会话录制操作,并动态录制用户的虚拟会话。
- “请求最终用户响应”和“通知最终用户”操作不能应用于匿名用户,因为他们在 Active Directory 中没有电子邮件地址。因此,请确保您的用户的电子邮件地址在 Active Directory 中可用,并且您的 Active Directory 与 Citrix Cloud 之间已建立连接。
仅限查看共享
在对用户帐户应用“将链接更改为仅限查看共享”操作之前,请确保满足以下条件:
先决条件
-
管理员必须在 Content Collaboration 中拥有企业帐户才能使用“将链接更改为仅限查看共享”操作。
-
仅限查看共享是 Citrix Content Collaboration 企业帐户中按请求提供的一项功能。在 Citrix Analytics 中应用“将链接更改为仅限查看共享”操作之前,请确保用户和管理员的 Content Collaboration 企业帐户中已启用仅限查看共享功能。有关详细信息,请参阅 Citrix 支持文章 - CTX208601。
支持的文件类型
仅限查看共享操作仅适用于以下文件类型:
-
Microsoft Office 文件
-
PDF
-
图像文件(需要 SZC v3.4.1 或更高版本):
-
BMP
-
GIF
-
JPG
-
JPEG
-
PNG
-
TIF
-
TIFF
-
-
存储在 Citrix 管理的存储区域中的音频和视频文件。
配置策略和操作
例如,按照以下步骤,您可以创建过度文件共享策略。使用此策略,当您组织中的用户共享异常大量数据时,共享链接会自动过期。当用户共享的数据超出其正常行为时,您会收到通知。通过应用过度文件共享策略并立即采取行动,您可以防止任何用户帐户中的数据泄露。
要创建策略,请执行以下操作:
-
登录 Citrix Analytics 后,转到“安全 > 策略 > 创建策略”。
-
从“如果满足以下条件”列表框中,选择要应用操作的默认或自定义风险指示器条件。
-
从“然后执行以下操作”列表中,选择一个操作。
-
在“策略名称”文本框中,提供一个名称,并使用提供的切换按钮启用策略。
-
单击“创建策略”。
创建策略后,该策略将显示在“策略”控制板上。
“策略”控制板显示与已成功发现并连接到 Citrix Analytics 的数据源关联的策略。控制板不显示为未发现数据源定义了条件的策略。
但是,关闭已连接数据源的数据处理不会影响“策略”控制板上的现有策略。
请求最终用户响应
请求最终用户响应是一项全局操作,您可以使用它在检测到用户的 Citrix 帐户中存在异常活动后立即向用户发出警报。当您应用此操作时,系统会向用户发送一封电子邮件通知。用户需要通过电子邮件回复其活动的合法性。
确定要为用户应用的操作:
根据用户的响应,您可以确定要采取的下一步操作。您可以应用全局操作,例如“添加到监视列表”、“通知管理员”。或者您可以应用特定于数据源的操作,例如 Citrix Gateway - 锁定用户。
如果您收到用户执行了所报告活动的响应,则该活动并非可疑活动,您无需对用户帐户采取行动。向用户发送安全警报的每日限制为三封电子邮件。
假设 Citrix Content Collaboration 用户的风险评分在 80 分钟内超过 80。您可以通过应用“请求最终用户响应”操作来提醒用户此异常行为。安全警报将从电子邮件 ID security-analytics@cloud.com 发送给用户。
该电子邮件包含以下信息:
-
触发风险指示器的用户活动
-
用户设备
-
用户活动的日期和时间
-
成功访问产品或服务的地点(城市和国家/地区)。如果城市或国家/地区不可用,则相应值显示为“未知”。
“请求最终用户响应”操作已添加到用户的风险时间线。
如果用户不识别其 Citrix 帐户中检测到的活动,Citrix Analytics 将应用您定义的操作。
如果用户未能在收到电子邮件后一小时内发送响应,Citrix Analytics 会将用户添加到监视列表。您可以监视用户及其帐户是否存在任何可疑活动,并相应地采取行动。
如何设置用户响应时间
您可以配置用户对安全警报电子邮件的响应时间。如果用户未在指定时间内响应所报告的活动,则该用户将被添加到监视列表以进行监视。
请按照以下步骤配置用户的响应时间:
-
单击“设置 > 警报设置 > 最终用户电子邮件设置”。
-
在“最终用户电子邮件设置”页面上,在文本框中输入分钟数。
-
单击“保存更改”。
您还可以在安全警报电子邮件中添加横幅、页眉文本和页脚文本,使其看起来合法,吸引用户注意,并增加响应时间。有关详细信息,请参阅最终用户电子邮件设置。
通知最终用户
通知最终用户是一项全局操作,您可以使用它在检测到用户的 Citrix 帐户中存在异常或可疑行为时向最终用户发送电子邮件通知。电子邮件主题行和邮件正文是可自定义的。当策略触发后应用此操作时,系统会向用户发送一封电子邮件通知。不要求最终用户响应,也不对用户帐户执行任何破坏性操作。
此操作可以帮助满足基于内置或自定义风险指示器触发器(一个或多个)的各种合规性用例。凭借可自定义的电子邮件主题行和邮件正文,它还足够灵活,可以满足许多通用最终用户通知用例,这些用例不需要响应或对用户帐户执行破坏性操作。
该电子邮件包含以下信息:
-
与操作关联的策略名称。
-
用户设备(如果可用)
-
用户活动的日期和时间
最终用户电子邮件通知将从电子邮件 ID security-analytics@cloud.com 发送。
注意
所有策略的每日限制为每个用户三封电子邮件。一旦超过此阈值,将不应用该操作,并且不会向最终用户发送电子邮件通知。该操作在用户的时间线视图中可见,并显示消息“已达到用户的每日电子邮件限制”。
该操作已添加到用户的风险时间线。但是,它不是手动操作,不能从时间线视图应用于用户。
最终用户电子邮件内容的自定义
以前,Citrix Analytics 管理员手动联系最终用户,以在检测到可疑活动时提供补救说明,这是一种耗时的事件关闭过程。
引入了“最终用户电子邮件内容的自定义”功能,用于请求最终用户响应、通知最终用户和信息性电子邮件。最终用户响应电子邮件旨在寻求用户验证/响应,而信息性电子邮件则显示可疑活动的类型以及已采取的补救措施。通知最终用户电子邮件会告知最终用户其 Citrix 帐户上的合规性违规/可疑活动,而无需他们响应。
借助“最终用户电子邮件内容的自定义”功能,Citrix Analytics 管理员可以在请求最终用户响应/通知最终用户/信息性电子邮件正文模板中添加自定义消息。管理员可以使用富文本框编辑器,通过粗体、斜体、超链接等各种编辑工具,根据策略修改内容。
注意
- 最终用户电子邮件内容的自定义功能仅适用于基于策略的操作,不适用于手动操作。
您可以自定义三种类型电子邮件的内容:
- 请求最终用户响应电子邮件。
- 通知最终用户电子邮件
- 执行以下任何最终用户操作时发送的电子邮件:
- Citrix Apps and Desktop 下的注销操作
- Citrix Gateway 下的注销和锁定用户
您可以在“安全 > 策略”选项卡中查看策略列表。
可以通过单击现有策略或在创建新策略时查看自定义电子邮件正文。在右侧窗格中,您可以预览更新的电子邮件内容。
注意
管理员可以通过单击“重置为默认值”链接将内容设置为默认模板。自定义正文的字符限制为 1000。
对于“通知最终用户”操作,“主题行”字段也可以由管理员自定义。可以通过单击“重置为默认值”链接将其重置为默认值。自定义电子邮件主题的字符限制为 500。
单击“保存更改”以创建/更新策略。当策略触发时,以下电子邮件通知将发送给最终用户:
- 请求最终用户响应电子邮件:发送电子邮件请求用户响应的策略操作。
- 通知最终用户电子邮件:向最终用户发送的电子邮件通知,告知他们其 Citrix 帐户上的合规性问题、可疑活动等。
- 信息性电子邮件:在最终用户操作后发送的信息性电子邮件。
最终用户可以阅读电子邮件并根据管理员的要求完成补救措施。
注意
只读访问权限的管理员无法编辑/添加电子邮件正文。
应用破坏性操作后通知用户
在此操作类型中,当检测到异常活动时,您可以对用户帐户应用破坏性操作,例如“注销用户”和“锁定用户”。当对用户帐户应用操作时,其帐户的服务可能会中断。在这种情况下,用户必须联系管理员才能像以前一样访问其帐户。
假设 Citrix Content Collaboration 用户的风险评分在 80 分钟内超过 80。您可以注销用户。执行此任务后,用户无法访问其帐户,并且会从电子邮件 ID security-analytics@cloud.com 向用户发送电子邮件通知。该电子邮件包含事件详细信息,例如活动、设备、日期和时间以及 IP 地址。用户必须联系管理员才能像以前一样访问其帐户。
手动应用操作
假设用户 Lemuel 首次使用新设备登录网络。为了监视她的帐户,因为她的行为异常,您可以使用“通知管理员”操作。
要手动将操作应用于用户,您必须:
导航到用户配置文件并选择相应的风险指示器。从“操作”菜单中选择“通知管理员”操作,然后单击“应用”。
电子邮件通知将发送给所有或选定的管理员以监视她的帐户。应用的操作将添加到她的风险时间线,操作详细信息显示在风险时间线页面的右侧窗格中。
注意
如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,您的 Citrix Cloud 帐户的电子邮件通知处于禁用状态。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关详细信息,请参阅接收电子邮件通知。
如果您是具有自定义访问权限(只读和完全访问)以管理 Security Analytics 的 Citrix Cloud 管理员,则您的 Citrix Cloud 帐户的电子邮件通知处于启用状态。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问管理员将您的姓名从通知管理员分发列表中删除。有关信息,请参阅电子邮件分发列表。
管理策略
您可以查看“策略”控制板,以管理在 Citrix Analytics 上创建的所有策略,从而监视和识别网络上的不一致之处。在“策略”控制板上,您可以:
-
查看策略列表
-
策略详细信息
-
策略名称
-
状态 – 已启用或已禁用。
-
策略持续时间 – 策略处于活动或非活动状态的天数。
-
发生次数 – 策略被触发的次数。
-
修改时间 – 时间戳,仅当策略已修改时。
-
-
删除策略
-
要删除策略,您可以选择要删除的策略,然后单击“删除”。
-
或者,您可以单击策略名称以转到“修改策略”页面。单击“删除策略”。在对话框中,确认您删除策略的请求。
-
-
单击策略名称以查看更多详细信息。您也可以在单击策略名称时修改策略。可以进行的其他修改如下:
-
更改策略名称。
-
策略条件。
-
要应用的操作。
-
启用或禁用策略。
-
删除策略。
-
注意
如果您不想删除策略,可以选择禁用策略。
要在“策略”控制板上重新启用策略,请执行以下操作:
在“策略”控制板上,单击“状态”滑块按钮并刷新页面。“状态”滑块按钮变为绿色。
在“修改策略”页面上,单击页面底部的“已启用”滑块按钮。
支持的模式
Citrix Analytics 支持以下策略模式:
-
强制模式 - 在此模式下,配置的策略会影响用户帐户。
-
监视模式 - 在此模式下,配置的策略不会影响用户帐户。如果您想测试任何策略配置,可以将策略设置为此模式。
使用以下说明配置策略模式:
-
导航到“安全”>“策略”。
-
在“策略”页面上,选择“搜索”栏旁边显示的右上角图标。将显示“选择模式”窗口。
-
选择您选择的模式,然后单击“保存设置”。
注意
Analytics 创建的默认策略设置为监视模式。因此,现有策略也继承此模式。您可以一起评估所有策略的影响,然后将其更改为强制模式。
策略的自助搜索
在自助搜索页面上,您可以查看已满足策略中定义条件的用户事件。该页面还显示应用于这些用户事件的操作。根据应用的操作筛选用户事件。