Citrix Analytics for Security

Citrix 用户风险指示器

用户风险指示器是看起来可疑或可能对组织构成安全威胁的用户活动。这些风险指示器涵盖部署中使用的所有 Citrix 产品。当用户的行为偏离正常情况时,会触发风险指示器。每个风险指标都可以有一个或多个与之相关的风险因素。这些风险因素可帮助您确定用户事件中的异常类型。风险指示器及其相关的风险因素决定用户的风险评分。

以下是与风险指标相关的风险因素:

  • 基于设备的风险指示器:当用户从根据用户的设备历史记录被视为异常的设备登录时触发。

  • 基于位置的风险指示器:当用户使用与根据用户的位置历史记录被视为不寻常的位置关联的 IP 地址登录时触发。

  • 基于 IP 的风险指示器:当用户尝试从已确定为可疑的 IP 地址访问资源时触发,无论该 IP 地址对用户来说是否异常。

  • 基于登录失败的风险指示器:当用户出现过多或异常登录失败的模式时触发。

  • 基于数据的风险指示器:当用户尝试从 Workspace 会话中泄露数据时触发。正在观察的用户行为包括复制或粘贴事件、下载模式等。

  • 基于文件的风险指示器:根据用户的历史访问模式,当用户在 Content Collaboration 上有关文件访问的行为被视为异常时触发。正在观察的用户行为包括下载模式,对敏感内容的访问,表示勒索软件的活动等。

  • 自定义风险指示器:当满足预配置的条件或用户定义的条件时触发。有关详细信息,请参阅以下文章:

  • 其他风险指示器-不属于任何一个预定义风险因素的风险指示器,例如基于设备、基于位置和基于登录失败的风险指示器。

风险指标也根据性质相似的风险分为风险类别。有关更多信息,请参阅 风险类别

下表显示了风险指标、风险因素和风险类别之间的相关性。

Citrix 产品 用户风险指示器 风险因素 风险类别
Citrix Content Collaboration 从不寻常的位置访问 基于位置的风险指标 受影响的用户
  过度访问敏感文件 基于文件的风险指标 数据泄露
  过多的文件共享 其他风险指标 数据泄露
  删除过多的文件或文件夹 基于文件的风险指标 内幕威胁
  文件上载过多 其他风险指标 内幕威胁
  文件下载过多 基于文件的风险指标 数据泄露
  怀疑勒索软件活动 基于文件的风险指标 受影响的用户
  异常的验证失败 基于登录失败的风险指示器 受影响的用户
Citrix Gateway 从不寻常的位置访问 基于位置的风险指标 受影响的用户
  端点分析 (EPA) 扫描失败 其他风险指标 受影响的用户
  验证失败过多 基于登录失败的风险指示器 受影响的用户
  从可疑 IP 登录 基于 IP 的风险指标 受影响的用户
  异常的身份验证 基于登录失败的风险指示器 受影响的用户
Citrix Endpoint Management 检测到已列入黑名单的应用 其他风险指标 受损的端点
  检测到越狱或获得 Root 权限的设备 其他风险指标 受损的端点
  检测到非受管设备 其他风险指标 受损的端点
Citrix Virtual Apps and Desktops/Citrix Workspace 潜在的数据泄露 基于数据的风险指标 数据泄露
  可疑登录 基于设备的风险指标、基于 IP 的风险指示器、基于位置的风险指示器和其他风险指标 受影响的用户
Citrix 访问控制 尝试访问列入黑名单的 URL 其他风险指标 内幕威胁
  数据下载过多 其他风险指标 内幕威胁
  网站访问风险 其他风险指标 内幕威胁
  不寻常的上传量 其他风险指标 内幕威胁
Citrix 用户风险指示器