策略和操作

您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动执行应用操作的过程,例如禁用用户、将用户添加到监视列表。启用策略时,会在发生异常事件并满足策略条件后立即应用相应的操作。您还可以在具有异常活动的用户帐户上手动应用操作。

什么是策略?

策略是执行操作必须满足的一组条件。策略包含一个或多个条件和一个操作。您可以创建具有多个条件和一个可应用于用户帐户的操作的策略。

风险评分 是一个全球性条件。全局条件可应用于特定数据源的特定用户。您可以保持显示任何不寻常的活动用户帐户的手表. 其他条件是数据源及其风险指示器所特有的。这些条件包含风险评分、默认风险指标和自定义风险指标的组合。创建策略时,您最多可以添加 4 个条件。

创建策略

例如,如果您的组织使用敏感数据,您可能希望限制用户在内部共享或访问的数据量。但是,如果您拥有一个大型组织,则单个管理员无法管理和监视多个用户。您可以创建一个策略,其中任何过度共享敏感数据的人都可以添加到监视列表中,或立即禁用其帐户。

默认策略

默认策略在“ 略”控制板上预定义并启用。它们基于预定义的条件创建,并为每个默认策略分配相应的操作。您可以使用默认策略,也可以根据您的要求对其进行修改。

Citrix Analytics 支持以下默认策略:

  • 成功的证书利用
  • 潜在的数据泄露
  • 从可疑 IP 进行异常访问
  • 从不寻常的位置访问不寻常的应用程序
  • 低风险用户-首次访问新 IP
  • 从设备首次访问

有关策略的条件和操作的信息,请参阅持续风险评估

默认策略

如何添加或删除条件?

要添加更多条件,请在创建策略页面的如果满足以下条 件部分中选择 加条件。要删除条件,请选择条件旁边显示的 - 图标。

添加和删除状况

默认和自定义风险指标

条件菜单根据 创建策略 页面上的 默认风险指标自定义风险指标 选项卡进行隔离。使用这些选项卡,您可以轻松识别在为策略配置选择条件时要选择的风险指标类型。

添加和删除状况

什么是行动?

行动是对可疑事件的响应,防止未来发生异常事件。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户帐户执行操作,也可以从用户的风险时间表手动应用特定操作。

您可以查看每个 Citrix 数据源的全局操作或操作。您还可以随时禁用用户之前应用的操作。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

下表描述了您可以执行的操作。

操作名称 说明 数据源适用于
全球行动    
添加到播放列表 当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。 所有数据源
  Watchlist 中的用户”窗格显示您希望根据其帐户上的异常活动监控潜在 威胁的所有用户。根据组织的策略,您可以使用“添加到监视列表”操作将用户添加到监视列表。  
  要将用户添加到监视列表,请导航到用户的配置文件,从“ 作”菜单中选择“ 添加到监视列表 ”。单击 应用 以强制执行操作。  
通知管理员 当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。  
请求用户响应 当用户帐户上存在任何异常或可疑活动时,您可以通知用户以确认用户是否识别该活动。根据活动,您可以确定对用户帐户采取的下一个操作方案。 所有数据源
Citrix Gateway 操作    
注销用户 当用户从其帐户注销时,在网关管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。 Citrix Gateway 本地和 Citrix Application Delivery Management
锁定用户 当用户帐户因异常行为而被锁定时,在网关管理员解锁该帐户之前,用户无法通过 Citrix Gateway 访问任何资源。 Citrix Gateway
解锁用户 如果用户的帐户被意外锁定,尽管没有检测到异常行为,您可以应用此操作解锁该帐户并恢复对该帐户的访问权限。 Citrix Gateway
Citrix Content Collaboration 操作    
禁用用户 通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。 Citrix Content Collaboration
  他们的帐户被禁用后,用户将看到通知。帐户登录页面上的通知要求他们联系其 Content Collaboration 管理员以了解更多信息信息。  
过期所有共享链接 当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。 Citrix Content Collaboration
  当用户过度共享文件时,将触发过多文件共享风险指示器,共享链接将过期。当共享链接过期时,链接将变为无效,并且与其共享链接的用户无法访问该链接。  
Citrix Virtual Apps and Desktops 操作    
注销用户 当用户从其帐户注销时,在 Virtual Desktops 管理员清除“注销用户”操作之前,他们无法通过 Virtual Desktops 访问资源。 本地 Virtual Apps 和桌面以及 Citrix Virtual Apps and Desktops 服务
开始会话录制 如果用户的 Virtual Desktops 帐户上存在异常事件,管理员可以开始记录用户未来登录会话的活动。如果用户使用的是 Virtual Apps 和桌面 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。 本地 Virtual Apps and Desktops
Citrix Endpoint Management 操作    
锁定设备 当设备上存在异常活动,导致用户的风险评分超过指定值时,您可以使用“锁定设备”操作 Citrix Endpoint Management 服务
  应用该操作时,将锁定用户的所有设备。但是,用户可以在设备屏幕上滑动,输入密码,然后继续工作。  

注意

  • 如果对 Content Collaboration 用户应用禁用用户操作,则在 Content Collaboration 管理员看到通知之前,不会禁用用户的帐户。在过渡期间,用户可以使用其 Content Collaboration 帐户,数据将继续由 Citrix Analytics 处理。Content Collaboration 管理员禁用用户的帐户后,用户必须联系其 Content Collaboration 管理员以重新激活其帐户。Citrix Analytics 管理员无法启用已禁用的 Content Collaboration 帐户。

  • 对于本地 Virtual Apps 和桌面,必须从 Citrix Analytics 下载代理并将其安装在 Delivery Controller 上,以执行“注销用户”和“开始会话录制”操作。有关代理的详细信息,请参阅在 Virtual Apps and Desktops 站点上启用 Analytics

配置策略和操作

例如,按照以下步骤,您可以创建过多的文件共享策略。使用此策略时,当组织中的用户共享异常大量的数据时,共享链接将自动过期。当用户共享超出该用户正常行为的数据时,系统会通知您。通过应用过多的文件共享策略并立即采取措施,您可以防止任何用户帐户中的数据外泄。

要创建策略,请执行以下操作:

  1. 登录 Citrix Analytics 后,在工具栏上,转到设置 > 自定义风险指示器和策略

    设置策略

  2. 在“策略”控制板上,单击“ 创建策略”。

    创建策略按钮

  3. 如果满足以下条件列表框中,选择要应用操作的默认或自定义风险指标条件。

    添加和删除状况

  4. 从“ 然后执行以下操作 ”列表中,选择一个操作。

    然后执行以下操作

  5. 在“ 策略名称 ”文本框中,提供名称并使用提供的切换按钮启用策略。

    创建策略

  6. 单击创建策略

请求用户响应

请求用户响应 是一种全局性操作,您可以在检测到异常活动后立即向用户发出警告。根据用户的响应,您可以确定要采取的下一个操作方案。如果您收到用户执行报告的活动的响应,则该活动不可疑,您不需要对用户的帐户执行操作。向用户发送安全警报的每日限制是三封电子邮件。

考虑风险评分在 80 分钟的持续时间内超过 80 的 Citrix Content Collaboration 用户。您可以通过应用“ 请求用户响应”操作来警告用户此 异常行为。将从电子邮件 ID security-analytics@citrix.com 向用户发送安全警报。电子邮件包含活动、设备、日期和时间以及 IP 地址等信息。此外, 请求用户响应操作 将添加到用户的风险时间表中。

请求用户响应

如何设置用户响应时间?

您可以使用以下步骤配置用户对安全警报电子邮件的响应时间:

  1. 导航至 设置 > 自定义风险指示器和策略

  2. 策略 页面上,选择 设置 菜单并更新文本框中的分钟数。

  3. 点击 保存设置

    用户响应时间

应用破坏性操作后通知用户

在此操作类型中,您可以在检测到异常活动时对 用户帐户应用破坏性操作,例如注销用户和锁定 用户。对用户帐户应用操作时,对其帐户的服务可能会中断。在这种情况下,用户必须与管理员联系,才能像以前一样访问他们的帐户。

考虑风险评分在 80 分钟的持续时间内超过 80 的 Citrix Content Collaboration 用户。您可以将用户注销。执行此任务后,用户将无法访问其帐户,并从电子邮件 ID security-analytics@citrix.com 向用户发送电子邮件通知。电子邮件包含事件的详细信息,如活动、设备、日期和时间以及 IP 地址。用户必须与管理员联系才能像以前一样访问他们的帐户。

应用破坏性行动

手动应用操作

考虑第一次使用新设备登录网络的用户 Lemuel Kildow。要监视她的帐户,因为她的行为不寻常,您可以使用“ 通知管理员”操作。

要将操作手动应用于用户,您必须:

导航到用户的个人资料并选择相应的风险指标。从“操作”菜单中,选择“通 知管理员”操 作,然后单击“ 应用 ”。

操作列表

由于 Lemuel 帐户的异常和可疑活动,系统会向所有 Citrix Cloud 管理员发送电子邮件通知,以监控其帐户。应用的操作将添加到她的风险时间轴,并且操作详细信息显示在风险时间轴页面的右窗格中。

已采取的行动

管理策略

您可以查看“策略”控制板来管理 Citrix Analytics 上创建的所有策略,以监视和识别网络中的不一致性。在“策略”控制板上,您可以:

  1. 查看策略列表

  2. 策略详情

    • 策略名称

    • 状态 — 已启用或已禁用。

    • 策略的持续时间 — 策略处于活动状态或非活动状态的天数。

    • 点击量 — 策略被触发的次数。

    • 已修改 — 时间戳,仅当策略已修改时。

  3. 删除策略

    • 要删除策略,您可以选择要删除的策略,然后单击“ 删除”。

    • 或者,您可以单击要定向到“修改策略”页面的策略名称。点击 删除策略。在对话框中,确认删除策略的请求。

  4. 创建策略

  5. 单击策略名称以查看更多详细信息。您还可以在单击策略名称时修改策略。其他可以做的修改如下:

    • 更改策略的名称。

    • 策略的条件。

    • 要应用的操作。

    • 启用或禁用策略。

    • 删除策略。

注意

  • 如果您不想删除策略,可以选择禁用策略。

  • 要在“策略”控制板上重新启用策略,请执行以下操作:

    • 在“策略”控制板上,单击“ 状态”滑块按钮以绿色。

    • 在修改策略页面上,单击页面底部的 启用 滑块按钮。

支持的模式

Citrix Analytics 支持以下策略模式:

  • 强制模式 -在此模式下,配置的策略会影响用户帐户。

  • 监控模式 -在此模式下,配置的策略不会影响用户帐户。如果要测试任何策略配置,则可以将策略设置为此模式。

使用以下说明配置策略上的模式:

  1. 导航至“ 设置 ”>“ 自定义风险指示器和策略 ”。

  2. 在“ 策略 ”页面上,选择“ 搜索 ”栏旁边显示的右上角的图标。此时将显示 选择模式 窗口。

  3. 选择您选择的模式,然后单击“ 保存设置”。

注意

Analytics 创建的默认策略设置为监视模式。因此,现有策略也会继承此模式。您可以一起评估所有策略的影响,然后将其更改为强制模式。

策略模式

面向策略的自助搜索

在自助搜索页面上,您可以查看符合您定义策略的用户事件,并查看对这些异常事件应用的操作。有关详细信息,请参阅面向策略的自助搜索