Citrix Analytics for Security

预配置的自定义风险指标和策略

Citrix Analytics for Security 供了预配置的自定义风险指示器列表和策略,以帮助您监视 Citrix 基础架构的安全性。这些预配置的自定义风险指标和策略的条件已根据特定的安全风险场景(例如受到攻击的用户、内部威胁和数据泄露)来定义。您还可以修改这些预配置的条件,或根据自己的安全要求添加自己的条件,并使用自定义风险指示器来降低风险。

目前,预配置的自定义风险指标可用于以下情况:

  • 地理围栏

  • 首次访问

为地理围栏场景预先配置了自定义风险指标

使用以下预配置的自定义风险指示器来检测来自地理围栏区域之外的用户事件。

  • cvad-会话在地理围栏之外开始

  • GW-Geofence 穿越

  • CCC-GeoFence 穿越

每当用户从其常规运营国家或地理围栏以外的地方访问 Citrix 产品时,都会触发预配置的自定义风险指示器。默认情况下,地理围栏设置为 “美国”。您可以将所需的国家/地区设置为地理围栏。

注意

地理围栏风险指示器之外启动的 CVAD 会话 链接到访问保证位 置功能的地理围栏 设置。因此,您不能在风险指示器的条件下直接修改地理围栏的国家/地区。要更新风险指示器中的地理围栏国家/地区,请在访问保证位置仪表板 的地理围栏设置 中选择国家/地区。有关详细信息,请参阅 访问保证位置仪表板

默认情况下,预配置的自定义风险指示器处于禁用状态。使用 状态 按钮启用它们。

预配置的自定义风险指标

下表介绍了用于地理围栏的各种预配置的自定义风险指标。

自定义风险指标名称 场景 自定义指标条件 数据源 风险类别
cvad-会话在地理围栏之外开始 用户在运作国家/地区外开始虚拟会话 Event-Type = Session.logon Country != “United States” Citrix Workspace 应用程序 受影响的用户
GW-Geofence 穿越 用户在运作国家/地区外成功身份验证 Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway(本地) 受影响的用户
CCC-GeoFence 穿越 从运作国家/地区外的非员工登录 Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration 受影响的用户

针对地理围栏场景的预配置策略

Citrix 提供了一个预配置的策略,该策略将 “ 请求最终用户响应 ” 操作应用于用户帐户,只要用户从其操作国家/地区以外启动虚拟会话。用户会收到一封电子邮件,并根据用户的回复采取适当的操作,例如将用户添加到监视列表或通知管理员采取进一步措施。有关详细信息, 请参阅请求用户响应

预配置的策略

下表介绍了用于地理围栏的预配置策略。

策略名称 场景 保单条件 应用的操作
会话在地理围栏之外开始 当用户在其运营国家/地区之外启动虚拟会话时,管理员能够通过 “请求最终用户响应” 操作来验证用户的合法性 与预配置的自定义风险指示器一起使用-“CVAD 会话在地理围栏之外启动” 请求最终用户响
      根据以下用户的响应,将应用相应的操作:
      如果用户无法识别活动: 添加到关注列表
      如果用户识别出活动: 无需执行任何操作
      如果用户在收到电子邮件后 60 分钟内没有回复: 将用户添加到监视列表

注意

请求最终用户响应 ” 操作仅在美国区域受支持。因此,如果您的组织已加入 Citrix Cloud 中的欧盟区域,则预配置的策略不会应用于您的帐户。要使用预配置的策略,请修改策略并选择您选择的其他操作。

使用预配置的自定义风险指标来创建自己的策略,用于地理围

您还可以使用这些预配置的自定义风险指示器创建自己的策略,并在触发指标时应用锁定用户或注销用户等操作。有关如何创建策略的信息,请参阅 配置策略和操作

以下示例显示了一个策略,该策略可锁定尝试从美国境外访问 Citrix 服务的用户。如果用户无法识别其访问活动,则用户访问权限将被锁定。

条件:GW-Geofence 穿越

操作:请求最终用户回复

下一步操作:如果用户无法识别活动,则锁定用户

地理围栏示例

注意

请求最终用户响应 ” 操作仅在美国区域受支持。因此,如果您的组织已加入欧盟地区,请选择您选择的其他操作,而不是 “ 请求最终用户响应 ” 操作。

首次访问场景预先配置的自定义风险指示器

使用以下自定义风险指示器在首次访问场景中检测用户事件:

  • CVAD-首次从新设备访问

  • 网关-从新 IP 首次访问

默认情况下,这些预配置的自定义风险指示器处于启用状态。如果要禁用它们,请使用 STATUS 按钮。

首次访问清单 ci

下表介绍了首次访问的预配置的自定义风险指示器。

自定义指标名称 场景 预配置的条件 数据源 风险类别
CVAD-首次从新设备访问 当 Citrix Workspace 应用程序用户从以下选项之一登录时: 默认情况下,启用以下条件: Citrix Virtual Apps and Desktops 受影响的用户
  一款新设备 第一次使用新的设备 ID。    
  过去 90 天未使用的现有设备。 Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
网关-从新 IP 首次访问 Citrix Gateway 用户成功从以下其中一项签名时: 默认情况下,启用以下条件: Citrix Gateway 受影响的用户
  新的公有 IP 地址 第一次使用新的 Client-IP    
  过去 90 天未使用的现有公有 IP 地址。 Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

在条件栏上,除了预配置的条件之外,您还可以添加自己的条件,以便根据自己的要求识别威胁。

例如,如果要识别来自特定国家/地区的用户事件,可以添加国家/地区维度以及预配置的条件:

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

预配置的自定义风险指标和策略