策略和操作

您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动执行应用操作的过程,例如禁用用户、将用户添加到监视列表。启用策略后,将在异常事件发生且满足策略条件后立即应用相应的操作。您还可以对具有异常活动的用户帐户手动应用操作。

什么是策略?

策略是执行操作必须满足的一组条件。策略包含一个或多个条件和一个操作。您可以创建具有多个条件和一个可应用于用户帐户的操作的策略。

风险评分是一个全局条件。全局条件可应用于特定数据源的特定用户。您可以保持显示任何异常活动的用户帐户观看. 其他条件是数据源及其风险指示器所特有的。这些条件包含风险评分、默认风险指示器和自定义风险指示器的组合。创建策略时,最多可以添加 4 个条件。

创建策略

例如,如果您的组织使用敏感数据,则可能希望限制用户在内部共享或访问的数据量。但是,如果您有一个庞大的组织,单个管理员管理和监视许多用户是不可行的。您可以创建一个策略,其中任何过度共享敏感数据的人都可以添加到监视列表中,或者立即禁用他们的帐户。

默认策略

默认策略在“ 略”控制板上预定义并启用。它们是根据预定义的条件创建的,并为每个默认策略分配相应的操作。您可以使用默认策略,也可以根据您的要求对其进行修改。

Citrix Analytics 支持以下默认策略:

  • 成功利用凭据漏洞
  • 潜在的数据泄漏
  • 来自可疑 IP 的异常访问
  • 从一个不寻常的位置访问不寻常的应用程序
  • 低风险用户-从新 IP 首次访问
  • 首次从设备访问

有关默认策略的预设条件和操作的信息,请参阅 持续风险评估

默认策略

如何添加或删除条件?

要添加更多条件,请在“创建策略”页面的“如果满足以下条 件”部分中选择“ 加条件”。要删除条件,请选择条件旁边显示的 - 图标。

添加和删除条件

默认和自定义风险指示器

条件菜单根据“创建策略”页面上的“默认风险指示器”和“自定义风险指示器”选项卡进行隔离。使用这些选项卡,您可以轻松识别在选择策略配置条件时要选择的风险指示器类型。

添加和删除条件

什么是行动?

操作是针对可疑事件的响应,防止将来发生异常事件。您可以对显示异常或可疑行为的用户帐户应用操作。您可以将策略配置为自动对用户帐户执行操作,也可以从用户的风险时间表手动应用特定操作。

您可以查看每个 Citrix 数据源的全局操作或操作。您也可以随时禁用用户以前应用的操作。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

下表介绍了您可以执行的操作。

操作名称 说明 适用于的数据源
全球行动    
添加到播放列表 当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。 所有数据源
  Watchlist 中的用户”窗格显示您希望根据其帐户上的异常活动监视潜在 威胁的所有用户。根据组织的策略,您可以使用“添加到监视列表”操作将用户添加到监视列表。  
  要将用户添加到监视列表,请导航到用户的配置文件,从“ 作”菜单中选择“添加到监视列表”。单击“应用”以强制执行操作。  
通知管理员 当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。  
请求用户响应 当用户帐户上存在任何异常或可疑活动时,您可以通知用户以确认用户是否识别该活动。根据活动,您可以确定要对用户帐户执行的下一步操作。 所有数据源
Citrix Gateway 操作    
注销用户 当用户从其帐户注销时,在网关管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。 Citrix Gateway 本地和 Citrix Application Delivery Management
锁定用户 当用户帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。 Citrix Gateway
解锁用户 当用户的帐户被意外锁定(尽管未检测到异常行为)时,您可以应用此操作将其解锁并恢复对帐户的访问权限。 Citrix Gateway
Citrix Content Collaboration 操作    
禁用用户 通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。 Citrix Content Collaboration
  禁用他们的帐户后,用户将看到通知。帐户登录页面上的通知要求他们联系其 Content Collaboration 管理员以了解更多信息信息。  
过期所有共享链接 当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。 Citrix Content Collaboration
  当用户过度共享文件时,将触发过多文件共享风险指示器,共享链接将过期。当共享链接过期时,链接将变为无效,并且与之共享链接的用户无法访问该链接。  
Citrix Virtual Apps and Desktops 操作    
注销用户 当用户从其帐户注销时,在 Virtual Desktops 管理员清除“注销用户”操作之前,他们无法通过 Virtual Desktops 访问资源。 本地 Virtual Apps and Desktops 以及 Citrix Virtual Apps and Desktops 服务
开始会话录制 如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。如果用户使用的是 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。 本地 Virtual Apps and Desktops
Citrix Endpoint Management 操作    
锁定设备 当设备上存在异常活动,导致用户的风险评分超过指定值时,您可以使用“锁定设备”操作 Citrix Endpoint Management 服务
  应用操作后,用户的所有设备都将被锁定。但是,用户可以在设备的屏幕上轻扫、输入密码并继续工作。  

注意

  • 如果对 Content Collaboration 用户应用禁用用户操作,则在 Content Collaboration 管理员看到通知之前,不会禁用用户的帐户。在过渡期间,用户可以使用其 Content Collaboration 帐户,并且数据将由 Citrix Analytics 继续处理。Content Collaboration 管理员禁用用户帐户后,用户必须与其 Content Collaboration 管理员联系以重新激活其帐户。Citrix Analytics 管理员无法启用已禁用的 Content Collaboration 帐户。

  • 对于本地 Virtual Apps and Desktops,必须从 Citrix Analytics 下载代理并将其安装在 Delivery Controller 上,以执行“注销用户”和“开始会话录制”操作。有关代理的详细信息,请参阅在 Virtual Apps and Desktops 站点上启用 Analytics

配置策略和操作

例如,按照以下步骤,您可以创建过多的文件共享策略。使用此策略时,当组织中的用户共享异常大量的数据时,共享链接将自动过期。当用户共享超出该用户正常行为的数据时,系统会通知您。通过应用过多的文件共享策略并立即采取措施,您可以防止任何用户帐户中的数据泄漏。

要创建策略,请执行以下操作:

  1. 登录 Citrix Analytics 后,在工具栏上,转到设置 > 自定义风险指示器和策略

    设置策略

  2. 在“策略”控制板上,单击“创建策略”。

    “创建策略”按钮

  3. 如果满足以下条件列表框中,选择要应用操作的默认或自定义风险指示器条件。

    添加和删除条件

  4. 从“然后执行以下操作”列表中,选择一个操作。

    然后执行以下操作

  5. 在“策略名称”文本框中,提供名称并使用提供的切换按钮启用策略。

    创建策略

  6. 单击创建策略

请求用户响应

请求用户响应是一种全局操作,您可以在检测到异常活动后立即通知用户。根据用户的响应,您可以确定要采取的下一个操作方案。如果您收到用户执行报告的活动的响应,则该活动不可疑,您不需要对用户的帐户执行操作。向用户发送安全警报的每日限制为三封电子邮件。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以通过应用“请求用户响应”操作来警告用户此 异常行为。将从电子邮件 ID security-analytics@citrix.com 向用户发送安全警报。电子邮件包含活动、设备、日期和时间以及 IP 地址等信息。此外, 请求用户响应 操作将添加到用户的风险时间表中。

请求用户响应

如何设置用户响应时间?

您可以使用以下步骤配置用户对安全警报电子邮件的响应时间:

  1. 导航至设置 > 自定义风险指示器和策略

  2. 在“策略”页面上,选择“设置”菜单并更新文本框中的分钟数。

  3. 单击“保存设置”。

    用户响应时间

应用中断操作后通知用户

在此操作类型中,您可以在检测到异常活动时应用破坏性操作,例如“注销用户”和“锁定用户”在用户帐户上。在用户帐户上应用操作时,对其帐户的服务可能会中断。在这种情况下,用户必须与管理员联系才能像以前一样访问他们的帐户。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以将用户注销。执行此任务后,用户将无法访问其帐户,并从电子邮件 ID security-analytics@citrix.com 向用户发送电子邮件通知。电子邮件包含事件的详细信息,如活动、设备、日期和时间以及 IP 地址。用户必须像以前一样联系管理员才能访问他们的帐户。

应用中断性操作

手动应用操作

假设用户 Lemuel Kildow 首次使用新设备登录到网络。要监视她的帐户,因为她的行为不寻常,您可以使用“通知管理员”操作。

要手动将操作应用于用户,您必须:

导航到用户的配置文件并选择相应的风险指示器。从“操作”菜单中,选择“通知管理员”操作,然后单击“应用”。

操作列表

由于 Lemuel 帐户上的异常和可疑活动,系统会向所有 Citrix Cloud 管理员发送电子邮件通知,以监视她的帐户。应用的操作将添加到她的风险时间表中,操作详细信息显示在风险时间表页面的右窗格中。

应用的操作

管理策略

您可以查看“策略”控制板来管理 Citrix Analytics 上创建的所有策略,以监视和识别网络中的不一致性。在“策略”控制板上,您可以:

  1. 查看策略列表

  2. 策略详情

    • 策略的名称

    • 状态 — 已启用或已禁用。

    • 策略的持续时间 — 策略处于活动状态或非活动状态的天数。

    • 命中 — 触发策略的次数。

    • 修改 — 时间戳,仅当策略已被修改时。

  3. 删除策略

    • 要删除策略,您可以选择要删除的策略,然后单击“删除”。

    • 或者,您可以单击要定向到“修改策略”页面的策略名称。单击删除策略。在对话框中,确认删除策略的请求。

  4. 创建策略

  5. 单击策略的名称可查看更多详细信息。您还可以在单击策略名称时修改策略。其他可以做的修改如下:

    • 更改策略的名称。

    • 策略的条件。

    • 要应用的操作。

    • 启用或禁用策略。

    • 删除策略。

注意

  • 如果您不想删除策略,可以选择禁用策略。

  • 要在“策略”控制板上重新启用策略,请执行以下操作:

    • 在“策略”控制板上,单击“状态”滑块按钮以绿色。

    • 在修改策略页面上,单击页面底部的已启用滑块按钮。

支持的模式

Citrix Analytics 支持以下策略模式:

  • 强制模式 -在此模式下,配置的策略会影响用户帐户。

  • 监视模式 -在此模式下,配置的策略不会影响用户帐户。如果要测试任何策略配置,可以将策略设置为此模式。

使用以下说明配置策略上的模式:

  1. 导航至设置 > 自定义风险指示器和策略

  2. 在“策略”页面上,选择“搜索”栏旁边显示的右上角的图标。此时将显示“选择模式”窗口。

  3. 选择您选择的模式,然后单击“保存设置”。

注意

分析创建的默认策略设置为监视模式。因此,现有策略也会继承此模式。您可以一起评估所有策略的影响,然后将它们更改为强制模式。

策略模式

面向策略的自助搜索

自助搜索 页面上,您可以查看满足策略中定义的条件的用户事件。此页面还显示应用于这些用户事件的操作。根据应用的操作筛选用户事件。

策略和操作