Citrix Analytics for Security

策略和操作

您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动执行应用操作的过程,例如禁用用户、将用户添加到监视列表。启用策略后,将在异常事件发生并满足策略条件后立即应用相应的操作。您还可以对具有异常活动的用户帐户手动应用操作。

什么是策略?

策略是应用操作必须满足的一组条件。策略包含一个或多个条件和单个操作。您可以创建具有多个条件的策略和一个可应用于用户帐户的操作。

风险评分是一个全局条件。全局条件可应用于特定数据源的特定用户。您可以关注显示任何异常活动的用户帐户。其他条件是数据源及其风险指示器所特有的。这些条件包含风险评分、默认风险指示器和自定义风险指示器的组合。创建策略时,您最多可以添加 4 个条件。

创建策略

例如,如果您的组织使用敏感数据,则可能需要限制用户内部共享或访问的数据量。但是,如果你有一个庞大的组织,单个管理员管理和监控许多用户是不可行的。您可以创建一个策略,其中任何过度共享敏感数据的人都可以添加到监视列表或立即禁用其帐户。

默认策略

默认策略在“ 略”控制板上预定义并启用。它们是根据预定义的条件创建的,并为每个默认策略分配相应的操作。您可以使用默认策略,也可以根据自己的要求对其进行修改。

Citrix Analytics 支持以下默认策略:

  • 成功利用凭证
  • 潜在的数据泄露
  • 来自可疑 IP 的异常访问
  • 来自不寻常位置的不寻常的应用
  • 低风险用户-首次从新 IP 访问
  • 首次从设备访问

有关前述默认策略的预设条件和操作的信息,请参阅 持续的风险评估

默认策略

有关地理围栏使用案例的预定义策略的信息,请参阅 预配置的策略

如何添加或删除条件?

要添加更多条件,请在“创建策略”页面的“如果满足以下条 件”部分中选择“ 加条件”。要删除条件,请选择条件旁边显示的 - 图标。

添加和删除条件

默认和自定义风险指示器

条件菜单根据“创建策略”页面上的“默认风险指示器”和“自定义风险指示器”选项卡进行隔离。使用这些选项卡,您可以轻松识别在选择策略配置条件时要选择的风险指示器类型。

添加和删除条件

什么是行动?

行动是对可疑事件的反应,防止未来发生异常事件。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户的帐户应用操作,也可以从用户的风险时间表手动应用特定操作。

您可以查看每个 Citrix 数据源的全局操作或操作。您还可以随时为用户禁用以前应用的操作。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

下表介绍了您可以执行的操作。

操作名称 说明 适用于
全球行动    
添加到播放列表 当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。 所有数据源
  Watchlist 中的用户”窗格显示您希望根据其帐户上的异常活动监视潜在 威胁的所有用户。根据组织的政策,您可以使用 “添加至监视列表” 操作将用户添加到监视列表中。  
  要将用户添加到监视列表,请导航到该用户的个人资料,从 “ 操作 ” 菜单中选择 “ 添加到监视列表”。单击“应用”以强制执行操作。  
通知管理员 当用户帐户中存在任何异常或可疑活动时,Citrix Analytics 会向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择要通知的管理员。注意:默认情况下,Citrix Cloud 帐户的电子邮件通知处于禁用状态。要接收电子邮件通知,您需要在云帐户上启用它。有关详细信息,请参阅接收电子邮件通知  
请求用户响应 当用户帐户中存在任何异常或可疑活动时,您可以通知用户确认用户是否识别了该活动。根据活动,您可以确定对用户帐户采取的下一个操作方案。只有在配置策略时,才能应用此操作。您无法手动应用此操作。注意:要使用此操作,您必须将 Active Directory 与 Citrix Cloud 连接起来,并确保用户的电子邮件在 Active Directory 中可用。 所有数据源
Citrix Gateway 操作    
注销用户 当用户从其帐户注销时,在网关管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。此操作注销应用该操作时处于活动状态的用户会话。它不会阻止将来的任何用户会话。 Citrix Gateway 本地和 Citrix Application Delivery Management
锁定用户 当用户的帐户由于异常行为而被锁定时,他们无法通过 Citrix Gateway 访问任何资源,直到网关管理员解锁该帐户。 Citrix Gateway 本地
解锁用户 如果用户的帐户在没有检测到异常行为的情况下被意外锁定,则可以应用此操作来解锁该帐户并恢复对该帐户的访问权限。 Citrix Gateway 本地
Citrix Content Collaboration 操作    
禁用用户 Citrix Analytics 使您能够通过禁用其 Content Collaboration 帐户来限制或撤消他们的访问权限。 Citrix Content Collaboration
  禁用帐户后,用户将看到通知。帐户登录页面上的通知要求他们联系其 Content Collaboration 管理员以了解更多信息信息。  
使所有链接过期 当用户触发过多的文件共享指示器时,Citrix Analytics 使您能够使与该指示器关联的所有链接过期。 Citrix Content Collaboration
  当用户过度共享文件时,将触发过多文件共享风险指示器,共享链接将过期。当共享链接过期时,链接将变为无效,与之共享链接的用户无法访问该链接。  
将链接更改为仅查看共享 当用户过度共享文件时,您可以应用此操作。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关详细信息,请参阅仅查看共享  
Citrix Virtual Apps and Desktops 操作    
注销用户 当用户从其帐户注销时,在 Virtual Desktops 管理员清除“注销用户”操作之前,他们无法通过 Virtual Desktops 访问资源。此操作注销应用该操作时处于活动状态的用户会话。它不会阻止将来的任何用户会话。 本地 Virtual Apps and Desktops 以及 Citrix Virtual Apps and Desktops 服务
开始会话录制 如果用户的虚拟桌面帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的活动。如果用户使用的是 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止录制用户的当前登录会话。 本地 Virtual Apps and Desktops
Citrix Endpoint Management 操作    
锁定设备 当设备上出现异常活动导致用户的风险评分超过指定值时,可以使用 “锁定设备” 操作 Citrix Endpoint Management 服务
  应用该操作时,所有用户的设备都将被锁定。但是,用户可以在设备的屏幕上滑动,输入密码,然后继续工作。  

注意

  • 如果对 Content Collaboration 用户应用 “禁用 用户” 操作,则在 Content Collaboration 管理员看到通知之前,才会禁用该用户的帐户。在过渡期间,用户可以使用其 Content Collaboration 帐户,数据将继续由 Citrix Analytics 处理。Content Collaboration 管理员禁用用户的帐户后,用户必须联系其 Content Collaboration 管理员以重新激活其帐户。Citrix Analytics 管理员无法启用已禁用的 Content Collaboration 帐户。

  • 对于本地 Virtual Apps and Desktops,您必须从 Citrix Analytics 下载代理并将其安装到 Delivery Controller 上才能执行注销用户和启动会话录制操作。有关代理的详细信息,请参阅在 Virtual Apps and Desktops 站点上启用 Analytics

仅查看共享

您可以通过以下方式将共享链接更改为仅查看共享模式:

  • 在用户的风险时间表上,选择 文件共享风险指示器过多。单击 操作 > 将链接更改为仅查看共享 操作。该操作将应用于触发风险指示器的用户帐户。

    注意

    更改至仅查看共享” 操作的链接仅 适用于 “ 过多的文件共享 风险” 指示器。对于任何其他风险指标,如果您应用此操作,则不会生效。

    仅应用操作视图共享

  • “共享链接”控制板 上,单击共享 URL。您将被重定向到 分享链接风险时间表。单击 操作 > 将链接更改为仅查看共享。该操作将应用于特定的共享链接。

    仅在共享链接上应用操作视图共享

必备条件

  • 管理员必须在 Content Collaboration 中拥有一个企业帐户才能使用 “ 更改链接以进行仅查看共享” 操作。

  • “仅查看共享” 是 Citrix Content Collaboration 的企业帐户中应请求提供的一项功能。在 Citrix Analytics 中将 链接应用于仅查看共享 操作之前,请确保用户和管理员的 Content Collaboration 企业帐户中已启用 “仅查看共享” 功能。有关更多信息,请参阅 Citrix 支持文章- CTX208601

当你应用此操作时会发生什么

此操作可防止其他用户下载、复制或打印与共享链接关联的文件。

仅查看共享操作仅适用于以下文件类型:

  • Microsoft Office 文件

  • PDF

  • 映像文件(需要 SZC v3.4.1 或更高版本):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • 存储在 Citrix 管理的存储区域中的音频和视频文件。

配置策略和操作

例如,按照以下步骤,您可以创建过多的文件共享策略。使用此策略,当组织中的用户共享异常大量的数据时,共享链接将自动过期。当用户共享的数据超过该用户正常行为时,会收到通知。通过应用 “过多的文件共享” 策略并立即采取行动,您可以防止数据从任何用户的帐户中泄露。

要创建策略,请执行以下操作:

  1. 登录 Citrix Analytics 后,在工具栏上,转到设置 > 自定义风险指示器和策略

    设置策略

  2. 在“策略”控制板上,单击“创建策略”。

    “创建策略”按钮

  3. 如果满足以下条件列表框中,选择要应用操作的默认或自定义风险指示器条件。

    添加和删除条件

  4. 从“然后执行以下操作”列表中,选择一个操作。

    然后执行以下操作

  5. 在“策略名称”文本框中,提供名称并使用提供的切换按钮启用策略。

    创建策略

  6. 单击创建策略

创建策略后,策略将显示在 “策略” 控制面板上。

策略 仪表板显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。仪表板不显示为未发现的数据源定义了条件的策略。

例如,您已从 Content Collaboration 中选择了风险指示器作为策略的条件。但是,您没有使用 Citrix Content Collaboration 的订阅,因此 Citrix Analytics 无法发现此数据源。因此,您的策略不会显示在 “ 略” 控制面板上。

但是,关闭已连接的数据源的数据处理不会影响策略仪表板上的现有 策略

请求用户响应

请求最终用户响应 是一项全局操作,您可以使用该操作在检测到异常活动后立即向用户发出警报。

先决条件:要使用此操作,您必须将 Active Directory 与 Citrix Cloud 连接起来,并确保用户的电子邮件在 Active Directory 中可用。有关如何连接 Active Directory 的信息,请参阅 将 Active Directory 连接到 Citrix Cloud

根据用户的回应,您可以确定要采取的下一个操作方案。如果您收到用户执行了报告的活动的响应,则表示该活动不可疑,您无需对用户的帐户采取措施。向用户发送安全警报的每日限制为三封电子邮件。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以通过应用 “ 请求最终用户响应” 操作来提醒用户 有关此异常行为。将从电子邮件 ID security-analytics@citrix.com 向用户发送安全警报。

该电子邮件包含以下信息:

  • 触发风险指示器的用户活动

  • 用户的设备

  • 用户活动的日期和时间

  • 成功访问产品或服务的位置(城市和国家/地区)。如果城市或国家/地区不可用,相应的值将显示为 “未知”

请求最终用户响应 操作将添加到用户的风险时间表中。

请求用户响应

注意

仅当您的组织加入到美国区域时,才支持 “ 请求最终用户响应 ” 操作。如果您的组织已在 Citrix Cloud 中加入欧盟区域,则无法使用此操作。

如何设置用户响应时间?

您可以使用以下步骤配置用户对安全警报电子邮件的响应时间:

  1. 导航至设置 > 自定义风险指示器和策略

  2. 在“策略”页面上,选择“设置”菜单并更新文本框中的分钟数。

  3. 点击 保存设置

    用户响应时间

应用中断性操作后通知用户

在此操作类型中,您可以应用中断性措施,例如在检测到异常活动时 注销用户锁定 用户帐户上的用户。对用户的帐户应用操作时,用户帐户的服务可能会中断。在这种情况下,用户必须联系管理员才能像之前一样访问其帐户。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以将用户注销。执行此任务后,用户将无法访问其帐户,并从电子邮件 ID security-analytics@citrix.com 向用户发送电子邮件通知。该电子邮件包含活动的详细信息,例如活动、设备、日期和时间以及 IP 地址。用户必须像以前一样联系管理员才能访问其帐户。

应用破坏性行动

手动应用操作

以首次使用新设备登录网络的用户为例。要监视她的帐户,因为她的行为不寻常,您可以使用“通知管理员”操作。

要手动将操作应用于用户,您必须:

导航到用户的个人资料,然后选择适当的风险指示器。从“操作”菜单中,选择“通知管理员”操作,然后单击“应用”。

操作列表

由于 Lemuel 帐户上的异常和可疑活动,系统会向所有 Citrix Cloud 管理员发送电子邮件通知以监控其帐户。应用的操作将添加到她的风险时间表中,操作详细信息显示在风险时间表页面的右侧窗格中。

应用的操作

注意

默认情况下,系统会为 Citrix Cloud 帐户禁用电子邮件通知。要接收电子邮件通知,您需要在云帐户上启用它。有关详细信息,请参阅接收电子邮件通知

管理策略

您可以查看“策略”控制板来管理 Citrix Analytics 上创建的所有策略,以监视和识别网络中的不一致性。在“策略”控制板上,您可以:

  1. 查看策略列表

  2. 策略详情

    • 保单的名称

    • 状态 — 已启用或禁用。

    • 策略的持续时间 — 策略处于活动状态或非活动的天数。

    • 发生次数 — 策略被触发的次数。

    • 已修改 — 时间戳,仅当策略已修改时。

  3. 删除策略

    • 要删除策略,您可以选择要删除的策略,然后单击“删除”。

    • 或者,您可以单击要定向到“修改策略”页面的策略名称。单击删除策略。在对话框中,确认删除策略的请求。

  4. 创建策略

  5. 单击策略的名称可查看更多详细信息。您还可以在单击策略名称时修改策略。可以进行的其他修改如下:

    • 更改策略的名称。

    • 策略的条件。

    • 要应用的操作。

    • 启用或禁用该策略。

    • 删除策略。

注意

  • 如果您不想删除策略,则可以选择禁用该策略。

  • 要在“策略”控制板上重新启用策略,请执行以下操作:

    • 在 “策略” 控制面板上,单击 状态 滑块按钮并刷新页面。状态 滑块按钮变为绿色。

    • 在修改策略页面上,单击页面底部的已启用滑块按钮。

支持的模式

Citrix Analytics 在策略上支持以下模式:

  • 强制模式 -在此模式下,配置的策略会影响用户帐户。

  • 监视模式 -在此模式下,配置的策略不会影响用户帐户。如果要测试任何策略配置,可以将策略设置为此模式。

按照以下说明在策略上配置模式:

  1. 导航至设置 > 自定义风险指示器和策略

  2. 在“策略”页面上,选择“搜索”栏旁边显示的右上角的图标。此时将显示“选择模式”窗口。

  3. 选择您选择的模式,然后单击“保存设置”。

注意

Analytics 创建的默认策略设置为监控模式。因此,现有策略也会继承此模式。您可以一起评估所有策略的影响,然后将其更改为实施模式。

策略模式

面向策略的自助搜索

自助搜索 页面上,您可以查看满足策略中定义的条件的用户事件。该页面还显示应用于这些用户事件的操作。根据应用的操作筛选用户事件。

策略和操作