Citrix Analytics for Security

Citrix 用户风险指示器

用户风险指示器是看起来可疑或可能对组织构成安全威胁的用户活动。这些风险指示器涵盖部署中使用的所有 Citrix 产品。当用户的行为偏离正常情况时,会触发风险指示器。每个风险指标都可以有一个或多个与之相关的风险因素。这些风险因素可帮助您确定用户事件中的异常类型。风险指示器及其相关的风险因素决定用户的风险评分。

以下是与风险指标相关的风险因素:

  • 基于设备的风险指示器:当用户从根据用户的设备历史记录被视为异常的设备登录时触发。

  • 基于位置的风险指示器:当用户使用与根据用户的位置历史记录被视为不寻常的位置关联的 IP 地址登录时触发。

  • 基于 IP 的风险指示器:当用户尝试从已确定为可疑的 IP 地址访问资源时触发,无论该 IP 地址对用户来说是否异常。

  • 基于登录失败的风险指示器:当用户出现过多或异常登录失败的模式时触发。

  • 基于数据的风险指示器:当用户尝试从 Workspace 会话中泄露数据时触发。正在观察的用户行为包括复制或粘贴事件、下载模式等。

  • 基于文件的风险指示器:根据用户的历史访问模式,当用户在 Content Collaboration 上有关文件访问的行为被视为异常时触发。正在观察的用户行为包括下载模式,对敏感内容的访问,表示勒索软件的活动等。

  • 自定义风险指示器:当满足预配置的条件或用户定义的条件时触发。有关详细信息,请参阅以下文章:

  • 其他风险指示器-不属于任何一个预定义风险因素的风险指示器,例如基于设备、基于位置和基于登录失败的风险指示器。

风险指标也根据性质相似的风险分为风险类别。有关更多信息,请参阅 风险类别

下表显示了风险指标、风险因素和风险类别之间的相关性。

| 产品 | 用户风险指示器 | 风险因素 | 风险类别 | | ——————- | ——————- |——-|————| | Citrix Content Collaboration | 过度访问敏感文件 | 基于文件的风险指标 | 数据泄露 | | | 过多的文件共享 | 其他风险指标 | 数据泄露 | | | 删除过多的文件或文件夹 | 基于文件的风险指标 | 内幕威胁 | | | 文件上载过多 | 其他风险指标 | 内幕威胁 | | | 文件下载过多 | 基于文件的风险指标 | 数据泄露 | | | 不可能旅行 | 基于位置的风险指标 | 受影响的用户 | | | 检测到恶意软件文件 | 基于文件的风险指标 | 内幕威胁 | | | 怀疑勒索软件活动 | 基于文件的风险指标 | 受影响的用户 | | | 可疑登录 |基于设备的风险指标、基于 IP 的风险指示器、基于位置的风险指示器和其他风险指标 |受影响的用户| | | 异常的验证失败 | 基于登录失败的风险指示器 | 受影响的用户 | |Citrix Endpoint Management | 检测到已列入黑名单的应用 |其他风险指标|受损的端点| | | 检测到越狱或获得 Root 权限的设备 |其他风险指标 |受损的端点| | | 检测到未托管设备 |其他风险指标|受损的端点| |Citrix Gateway | 端点分析 (EPA) 扫描失败 | 其他风险指标|受影响的用户| | | 验证失败过多 |基于登录失败的风险指示器|受影响的用户| | | 不可能旅行 | 基于位置的风险指标 | 受影响的用户 | | | 从可疑 IP 登录 |基于 IP 的风险指标|受影响的用户| | | 可疑登录 |基于设备的风险指标、基于 IP 的风险指示器、基于位置的风险指示器和其他风险指标 |受影响的用户| | | 异常的身份验证 | 基于登录失败的风险指示器|受影响的用户| | Citrix Secure Private Access| 尝试访问列入黑名单的 URL | 其他风险指标| 内幕威胁| | | 数据下载过多 |其他风险指标|内幕威胁| | | 网站访问风险 |其他风险指标|内幕威胁| | | 不寻常的上传量 |其他风险指标|内幕威胁| | Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)和本地 Citrix Virtual Apps and Desktops | 不可能旅行 | 基于位置的风险指标 |受感染的用户 |) | |潜在的数据泄 露 |基于数据的风险指示器 |数据泄露 | | | 可疑登录 | 基于设备的风险指示器、基于 IP 的风险指示器、基于位置的风险指示器和其他风险指示器 | 入侵用户 |

Citrix 用户风险指示器

在本文中