预配置的自定义风险指标和策略

Citrix 提供了预配置的列表 自定义风险指标 和一个, 政策 以帮助您监控 Citrix 基础架构的安全性。这些预配置的自定义风险指标和策略的条件是根据特定的安全风险场景(例如受损的用户、内部威胁和数据泄露)定义的。您还可以根据自己的安全要求修改这些条件,并使用自定义风险指标来降低风险。

用于地理围栏的预配置自定义风险指示器

每当用户从常规操作国家/地区以外访问 Citrix 产品时,都会触发预配置的自定义风险指示器。默认情况下,操作国家/地区设置为 “美国”。您可以为地理围栏设置所需的国家/地区。

默认情况下,预配置的自定义风险指示器处于禁用状态。切换 状态 按钮以启用它们。

预配置的自定义风险指标

下表介绍了各种预配置的自定义风险指示器。

自定义风险指标名称 场景 自定义指标条件 数据源 风险类别
cvad-会话在地理围栏之外开始 用户已在其运营国家/地区以外开始虚拟会话 事件类型 = Session.logon 国家!= “美国” Citrix Workspace 应用程序 受影响的用户
GW-GeoFence 穿越 用户在运营国家/地区以外成功进行身份验证 事件类型 = “VPN_AI” 和国家!= “美国” Citrix Gateway(本地) 受影响的用户
CCC-GeoFence 穿越 从运营国家/地区以外的非员工登录 Is-员工 = “假” 和操作名称 = “登录” 和国家/地区!= “美国” Citrix Content Collaboration 受影响的用户

用于地理围栏的预配置策略

Citrix 提供了一个预配置的策略,该策略将 “ 请求最终用户响应 ” 操作应用于用户帐户,只要用户从其操作国家/地区以外启动虚拟会话。用户会收到一封电子邮件,并根据用户的响应,采取适当的操作,例如将用户添加到监视列表或通知管理员采取进一步措施。有关详细信息,请参阅请求用户响应

预配置的策略

下表介绍了预配置的策略。

策略名称 场景 保单条件 应用的操作
会话在地理围栏之外开始 管理员能够在用户在其操作所在国家/地区之外启动虚拟会话时,通过 “请求最终用户响应” 操作来验证用户的合法性 与预配置的自定义风险指标一起使用-“cvad-Session 在地理围栏之外启动” 请求最终用户响
      根据以下用户的响应,将应用相应的操作:
      如果用户无法识别活动: 添加到监视列表
      如果用户识别了活动: 无需任何操作
      如果用户在收到电子邮件后 60 分钟内没有回复: 将用户添加到监视列表

注意

请求最终用户响应 ” 操作仅在美国区域受支持。因此,如果您的组织已在 Citrix Cloud 中加入欧盟区域,则预配置的策略不会应用于您的帐户。要使用预配置的策略,请修改策略并选择您选择的其他操作。

使用预配置的自定义风险指标创建自己的策略

您还可以使用这些预配置的自定义风险指示器创建自己的策略,并在触发指标时应用锁定用户或注销用户等操作。有关如何创建策略的信息,请参阅 配置策略和操作

以下示例显示了一个策略,该策略将锁定尝试从美国境外访问 Citrix 服务的用户。如果用户无法识别其访问活动,则用户访问权限将被锁定。

条件:GW-GeoFence 穿越

操作:请求最终用户响应

下一个操作:如果用户无法识别活动,则锁定用户

地理围栏示例

注意

请求最终用户响应 ” 操作仅在美国区域受支持。因此,如果您的组织已加入欧盟地区,请选择您选择的其他操作,而不是 “ 请求最终用户响应 ” 操作。

预配置的自定义风险指标和策略