策略和操作

您可以在 Citrix Analytics 上创建策略，以帮助您在发生异常或可疑事件时对用户帐户执行操作。通过策略，您可以自动执行应用操作的过程，例如禁用用户、将用户添加到监视列表。启用策略后，会在发生异常事件并满足策略条件后立即应用相应的操作。您还可以手动对具有异常事件的用户帐户应用操作。

注意

功能删除：自 2023 年 4 月 1 日起，Citrix Analytics for Security 将不再对本地 Delivery Controller 执行操作

。自 2023 年 4 月起，Analytics for Security 将不再通过本地 Delivery Controller 的手动和策略模式执行注销活动会话和开始会话录制操作。将继续支持在 DaaS 上执行相同的操作，对其他数据源的操作不会产生任何影响。

自 2023 年 4 月起，本地 Delivery Controller 不会触发使用注销活动会话或开始会话录制的现有策略，可以在策略视图中通过其他操作删除或修改。

要了解有关其他操作的更多详细信息，请参阅操作是什么一文。

政策是什么

策略是应用操作必须满足的一组条件。策略包含一个或多个条件和单个操作。您可以创建具有多个条件的策略和一个可应用于用户帐户的操作。

风险评分是一个全局条件。全局条件可应用于特定数据源的特定用户。您可以密切关注显示任何异常事件的用户帐户。其他条件特定于数据源及其风险指示器。这些条件包含风险评分、默认风险指示器和自定义风险指示器的组合。创建策略时，您最多可以添加 4 个条件。

例如，如果您的组织使用敏感数据，则可能需要限制用户内部共享或访问的数据量。但是，如果你有一个庞大的组织，单个管理员管理和监控许多用户是不可行的。您可以创建一个策略，其中任何过度共享敏感数据的人都可以添加到监视列表或立即禁用其帐户。

默认策略

默认策略是预先定义的，并在策略控制板上启用。它们是根据预定义的条件创建的，并为每个默认策略分配相应的操作。您可以使用默认策略，也可以根据需要对其进行修改。

Citrix Analytics 支持以下默认策略：

• 成功利用凭证
• 潜在的数据泄露
• 来自可疑 IP 的异常访问
• 首次从设备访问
• Virtual Apps and Desktops 以及 Citrix DaaS - 访问时不可能旅行
• Gateway-无法通过身份验证传输
• Content Collaboration - 不可能的旅行

有关上述默认策略的预设条件和操作的信息，请参阅 持续风险评估。

有关地理围栏用例的预定义策略的信息，请参阅 预配置的策略。

如何添加或删除条件

要添加更多条件，请在创建策略页面的如果满足以下条件部分中选择添加条件。要删除条件，请选择条件旁边显示的 - 图标。

默认和自定义风险指示器

条件菜单根据 创建策略 页面上的 默认风险指示器 和 自定义风险指示器 选项卡进行隔离。使用这些选项卡，您可以轻松确定在选择策略配置条件时要选择的风险指示器类型。

有什么行动

操作是对可疑事件的响应，可防止将来发生异常事件。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户的帐户应用操作，也可以从用户的风险时间表手动应用特定操作。

您可以查看每个 Citrix 数据源的全局操作或操作。您还可以随时为用户禁用以前应用的操作。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

下表介绍了您可以执行的操作。

动作名称	说明	适用的数据源
全球行动
添加到播放列表	当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。	所有数据源
	“Watchlist 中的用户”窗格显示您希望根据其帐户上的异常事件监视潜在 威胁的所有用户。根据组织的政策，您可以使用“添加至监视列表”操作将用户添加到监视列表中。
	要将用户添加到监视列表，请导航到该用户的个人资料，从“操作”菜单中选择“添加到监视列表”。单击“应用”以强制执行操作。
通知管理员	当触发用户的风险指示器时，您可以手动通知管理员或创建自动通知策略。您可以从组织中的 Citrix Cloud 域和其他非 Citrix Cloud 域中选择管理员。如果您是具有完全访问权限的 Citrix Cloud 管理员，则默认情况下，将为您的 Citrix Cloud 帐户禁用电子邮件通知。要接收电子邮件通知，请在您的 Citrix Cloud 帐户上启用它。有关详细信息，请参阅 接收电子邮件通知。如果您是具有管理 Security Analytics 的自定义访问权限（只读和完全访问权限）的 Citrix Cloud 管理员，则会为您的 Citrix Cloud 帐户启用电子邮件通知。要停止接收来自 Citrix Analytics 的电子邮件通知，请请求您的 Citrix Cloud 完全访问权限管理员从通知管理员通讯组列表中删除您的姓名。有关信息，请参阅电子邮件通讯组列表。
请求最终用户响应	当用户帐户中存在任何异常或可疑事件时，您可以通知用户确认用户是否识别了该事件。根据事件，您可以确定对用户帐户采取的下一个操作方案。有关详细信息，请参阅请求最终用户响应。
Citrix Gateway 操作
注销活动会话	应用操作后，它会注销当前处于事件状态的用户会话。它不会阻止将来的任何用户会话。	Citrix Gateway 本地和 Citrix Application Delivery Management
锁定用户帐户	当用户的帐户由于异常行为而被锁定时，他们无法通过 Citrix Gateway 访问任何资源，直到网关管理员解锁该帐户。	Citrix Gateway 本地
解锁用户帐户	如果用户的帐户在没有检测到异常行为的情况下被意外锁定，则可以应用此操作来解锁该帐户并恢复对该帐户的访问权限。	Citrix Gateway 本地
Citrix Content Collaboration 操作
禁用用户帐户	Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。	Citrix Content Collaboration
	他们的帐户被禁用后，用户将看到一条通知。帐户登录页面上的通知要求他们联系其 Content Collaboration 管理员以了解更多信息信息。
使所有链接过期	Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。注意：仅当存在与用户帐户关联的有效共享链接时，此操作才有效。	Citrix Content Collaboration
将链接更改为仅查看共享	Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。注意：仅当存在与用户帐户关联的有效共享链接时，此操作才有效。
移除文件夹访问权限	当用户上传受感染文件时，您可以阻止该用户的访问权限。用户的访问权限仅限于上传受感染文件的文件夹。
移除文件夹的上传权限	当用户上传受感染文件时，您可以阻止该用户的上传权限。用户的上传权限仅限于上传受感染文件的文件夹。
Citrix Virtual Apps and Desktops 以及 Citrix DaaS 操作
注销活动会话	应用操作后，它会注销当前处于事件状态的用户会话。它不会阻止将来的任何用户会话。	本地 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）
开始会话录制	如果用户的 Virtual Desktops 帐户出现异常事件，管理员可以开始记录用户当前的活动会话。如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本并登录到虚拟会话，则管理员可以动态触发 Citrix Analytics for Security 的启动会话录制操作，该操作开始录制用户的当前活动会话。	本地 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）

备注

• 无论数据源如何，您都可以对风险指示器应用任何操作。

• 如果对 Content Collaboration 用户应用“禁用 用户”操作，则在 Content Collaboration 管理员看到通知之前，才会禁用该用户的帐户。在过渡期间，用户可以使用其 Content Collaboration 帐户，数据将继续由 Citrix Analytics 处理。Content Collaboration 管理员禁用用户的帐户后，用户必须联系其 Content Collaboration 管理员以重新激活其帐户。Citrix Analytics 管理员 无法 启用已禁用的Content Collaboration 帐户。

• 对于本地 Citrix Virtual Apps and Desktops，必须从 Citrix Analytics 下载代理并将其安装在 Delivery Controller 上才能执行“注销用户”和“开始会话录制”操作。有关代理的详细信息，请参阅 在 Virtual Apps and Desktops 站点上启用分析。
• 管理员现在可以在 Citrix DaaS 站点上运操作态会话录制操作以及动态录制用户的虚拟会话。

仅查看共享

在对用户帐户应用“将链接更改为仅供查看”共享 操作之前，请确保满足以下条件：

必备条件

• 管理员必须在 Content Collaboration 中拥有一个企业帐户才能使用“更改链接以进行仅查看共享”操作。

• “仅查看共享”是 Citrix Content Collaboration 的企业帐户中应请求提供的一项功能。在 Citrix Analytics 中将 链接应用于仅查看共享 操作之前，请确保用户和管理员的 Content Collaboration 企业帐户中已启用“仅查看共享”功能。有关更多信息，请参阅 Citrix 支持文章- CTX208601。

受支持的文件类型

仅查看共享操作仅适用于以下文件类型：

• Microsoft Office 文件

• PDF

• 映像文件（需要 SZC v3.4.1 或更高版本）：

  • BMP

  • GIF

  • JPG

  • JPEG

  • PNG

  • TIF

  • TIFF

• 存储在 Citrix 管理的存储区域中的音频和视频文件。

配置策略和操作

例如，按照以下步骤操作，您可以创建过多的文件共享策略。使用此策略，当组织中的用户共享异常大量的数据时，共享链接将自动过期。当用户共享的数据超过该用户正常行为时，会收到通知。通过应用“过多的文件共享”策略并立即采取行动，您可以防止数据从任何用户的帐户中泄露。

要创建策略，请执行以下操作：

1. 登录 Citrix Analytics 后，转到安全 > 策略 > 创建策略。

   

2. 从如果满足以下条件列表框中，选择要应用操作的默认或自定义风险指示器条件。

   

3. 从则执行以下操作列表中，选择一个操作。

   

4. 在 策略名称 文本框中，提供名称并使用提供的切换按钮启用策略。

   

5. 单击创建策略。

创建策略后，该策略将显示在“策略”控制板上。

策略 控制板显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。控制面板不显示为未发现的数据源定义了条件的策略。

例如，您已从 Content Collaboration 中选择了风险指示器作为策略的条件。但是，您没有使用 Citrix Content Collaboration 的订阅，因此 Citrix Analytics 无法发现此数据源。因此，您的策略不会显示在“策 略”控制面板上。

但是，关闭已连接的数据源的数据处理不会影响“策略”控制板上的现有 策略 。

请求最终用户响应

请求最终用户响应 是一项全局操作，您可以在检测到用户的 Citrix 帐户中存在异常活动后立即向用户发出警报。应用操作时，系统会向用户发送电子邮件通知。用户需要通过电子邮件回复其活动的合法性。

必备条件：

在对用户应用“请求最终用户响应”操作之前，请确保满足以下条件之一：

• 用户的电子邮件地址在Active Directory 中可用。而且您必须 将Active Directory 与 Citrix Cloud 连接起来。

• 您的用户（员工和客户）的电子邮件地址可在他们的Content Collaboration 帐户中找到。有关如何在Content Collaboration 中创建和管理用户的信息，请参阅 人员设置。

您无法将此操作应用于匿名用户。这些用户在 Active Directory 或Content Collaboration 中都没有电子邮件地址。

确定要为用户应用的操作：

根据用户的回应，您可以确定要采取的下一个操作方案。您可以应用全局操作，例如“添加到监视列表”、“通知管理员”。或者，您可以应用特定于数据源的操作，例如 Citrix Gateway-锁定用户、Citrix Content Collaboration-禁用用户。

如果您收到用户执行了报告的事件的响应，则表示该事件不可疑，您无需对用户的帐户采取措施。向用户发送安全警报的每日限制为三封电子邮件。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以通过应用“请求最终用户响应”操作向用户 发出有关此异常行为的警报。安全警报将通过电子邮件 ID security-analytics@citrix.com 发送给用户。

该电子邮件包含以下信息：

• 触发风险指示器的用户事件

• 用户的设备

• 用户事件的日期和时间

• 成功访问产品或服务的位置（城市和国家/地区）。如果城市或国家/地区不可用，相应的值将显示为“未知”

请求最终用户响应 操作将添加到用户的风险时间表中。

如果用户无法识别其 Citrix 帐户中检测到的活动，Citrix Analytics 将应用您定义的操作。

如果用户在收到电子邮件后的一小时内未能发送响应，Citrix Analytics 会将该用户添加到监视列表中。您可以监视用户及其帐户中的任何可疑活动，并采取相应的措施。

如何设置用户响应时间

您可以配置用户对安全警报电子邮件的响应时间。如果用户在指定时间段内没有对报告的事件做出回应，则该用户将被添加到监视列表中进行监控。

按照以下步骤配置用户的响应时间：

1. 单击 设置 > 警报设置 > 最终用户电子邮件设置。

   

2. 在“最 终用户电子邮件设置”页面上，在文本框中输入分钟数。

   

3. 单击保存更改。

您还可以在安全警报电子邮件中添加横幅、标题文本和页脚文本，使其看起来合法、吸引用户的注意力并延长响应时间。有关详细信息，请参阅 最终用户电子邮件设置

自定义最终用户电子邮件内容

以前，Citrix Analytics 管理员会手动联系最终用户，以提供有关检测可疑活动的补救说明，这是关闭事件的耗时过程。

为 最终用户响应和信息性电子邮件引入了自定义最终用户电子邮件内容 功能。最终用户回复电子邮件会寻求用户验证/回复，但信息性电子邮件会显示可疑活动的种类以及已采取何种补救措施。

借助 自定义最终用户电子邮件内容 功能，Citrix Analytics 管理员可以在最终用户/信息性电子邮件正文模板中添加自定义消息。使用富文本框编辑器，管理员可以使用各种编辑工具（如粗体、斜体、超链接等）来更改每个策略的内容。

注意

自定义最终用户电子邮件内容功能仅适用于 基于策略的操作 ，不适用于手动操作。

您可以自定义两种类型的电子邮件的内容：

• 最终用户回复电子邮件。
• 执行以下任一最终用户操作时发送的电子邮件：
  • Citrix Apps and Desktops 下的注销操作
  • 在 Citrix Gateway下注销并锁定用户

您可以在安全 > 策略选项卡中查看策略列表。

可以通过单击现有策略或在创建新策略时查看自定义电子邮件正文。在右侧窗格中，您可以预览更新的电子邮件内容。

注意

管理员可以通过单击重置为默认值链接将内容设置为默认模板。自定义正文的字符数限制为 1000。

单击保存更改以创建/更新策略。触发策略时，将向最终用户发送以下电子邮件通知：

• 最终用户电子邮件：发送请求用户回复的电子邮件的策略操作。

• 信息性电子邮件：在最终用户执行操作后发送的信息性电子邮件。

最终用户可以阅读电子邮件并根据管理员的请求完成补救操作。

注意

具有只读权限的管理员无法编辑/添加电子邮件正文。

应用中断性操作后通知用户

在此操作类型中，您可以应用中断性措施，例如在检测到异常事件时 注销用户 和 锁定 用户帐户上的用户。对用户的帐户应用操作时，用户帐户的服务可能会中断。在这种情况下，用户必须联系管理员才能像之前一样访问其帐户。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以将用户注销。执行此任务后，用户将无法访问其帐户，并且会通过电子邮件 ID security-analytics@citrix.com 向用户发送电子邮件通知。该电子邮件包含事件的详细信息，例如事件、设备、日期和时间以及 IP 地址。用户必须像以前一样联系管理员才能访问其帐户。

手动应用操作

考虑一个用户，即 Lemuel，他首次使用新设备登录网络。由于她的行为异常，要监视她的帐户，您可以使用“通知管理员”操作。

要手动将操作应用于用户，您必须：

导航到用户的个人资料，然后选择相应的风险指示器。从“操 作”菜单中，选择“通知管理员”操作，然后单击“应用”。

系统会向所有管理员或选定的管理员发送电子邮件通知，以监视其帐户。应用的操作将添加到她的风险时间表中，操作详细信息显示在风险时间表页面的右侧窗格中。

备注

• 如果您是具有完全访问权限的 Citrix Cloud 管理员，则默认情况下，将为您的 Citrix Cloud 帐户禁用电子邮件通知。要接收电子邮件通知，请在您的 Citrix Cloud 帐户上启用它。有关详细信息，请参阅 接收电子邮件通知。

• 如果您是具有管理 Security Analytics 的自定义访问权限（只读和完全访问权限）的 Citrix Cloud 管理员，则会为您的 Citrix Cloud 帐户启用电子邮件通知。要停止接收来自 Citrix Analytics 的电子邮件通知，请请求您的 Citrix Cloud 完全访问权限管理员从通知管理员通讯组列表中删除您的姓名。有关信息，请参阅电子邮件通讯组列表。

管理策略

您可以查看“策略”控制板来管理在 Citrix Analytics 上创建的所有策略，从而监视和识别网络中的不一致情况。在政策控制面板上，您可以：

1. 查看策略列表

2. 该政策的详细信息

   • 策略的名称

   • 状态 — 已启用或禁用。

   • 策略的持续时间 — 策略处于事件状态或非事件状态的天数。

   • 发生次数 — 触发策略的次数。

   • 已修改 — 时间戳，仅当策略已修改时。

3. 删除策略

   • 要删除策略，您可以选择要删除的策略，然后单击 删除。

   • 或者，您可以单击策略的名称以定向到修改策略页面。单击 删除策略。在对话框中，确认删除策略的请求。

4. 创建策略

5. 单击策略的名称可查看更多详细信息。您也可以在单击策略名称时对其进行修改。可以进行的其他修改如下：

   • 更改策略的名称。

   • 保单的条件。

   • 要应用的操作。

   • 启用或禁用策略。

   • 删除策略。

注意

• 如果您不想删除策略，则可以选择禁用该策略。

• 要在“策略”控制板上重新启用策略，请执行以下操作：

  • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

  • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

支持的模式

Citrix Analytics 在策略上支持以下模式：

• 强制模式 -在此模式下，配置的策略会影响用户帐户。

• 监控模式 -在此模式下，配置的策略不会影响用户帐户。如果要测试任何策略配置，可以将策略设置为此模式。

使用以下说明在策略上配置模式：

1. 导航到 安全 > 策略。

2. 在“策略”页面上，选择右上角的图标，该图标显示在 搜 索栏旁边。此时将显示“选择模式”窗口。

3. 选择您选择的模式，然后单击 保存设置。

注意

Analytics 创建的默认策略设置为监控模式。因此，现有策略也会继承此模式。您可以一起评估所有策略的影响，然后将它们更改为强制模式。

面向策略的自助搜索

在 自助搜索 页面上，您可以查看满足策略中定义的条件的用户事件。该页面还显示对这些用户事件应用的操作。根据应用的操作过滤用户事件。