Citrix Analytics for Security

Citrix Access Control 风险指示器

网站访问风险

Citrix Analytics 基于用户访问的风险网站检测数据访问威胁,并触发相应的风险指示器。

当组织中的用户尝试 访问 具有较高信誉评级的恶意、可疑或风险网站时,会报告“风险网站访问风险指示器”。

存在风险的网站访问风险指示器何时触发?

访问控制支持根据 URL 分类数据库是否将网站标记为以下内容,为网站设置信誉评分:

  • 恶意

  • 潜在危险

  • 未知

  • 标准

有关详细信息,请参阅URL 信誉分数

当组织中的用户尝试访问有风险的网站时,访问控制会向 Citrix Analytics 报告这些事件。Citrix Analytics 会监控所有这些事件,如果它确定用户至少访问了一个信誉评分为 3 或 4 的网站,即潜在危险的站点或恶意站点。Citrix Analytics 提高了用户的风险评分。风 险网站访问 风险指示器已添加到用户的风险时间表中。

如何分析网站访问风险指示器?

假设用户 Georgina Kalou 试图访问一个有风险的网站。访问控制将这些事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。风 险网站访问 风险指示器已添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的风 险网站访问 风险指示器。活动的原因与上传事件的详细信息一起显示,例如活动的时间和网站。

若要查看用户的风 险网站访问 风险指示器条目,请导航到“安全”>“用户”,然后选择用户。

当您从时间轴中选择风险网站访问风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

访问控制有风险的网站访问

  • 发生了什么”部分简要介绍了风险指示器。它包括用户在选定时段内访问的有风险网站的数量。

访问控制风险网站访问发生了什么

  • 事件详细信息部分包括在所选时段内发生的各个事件的时间轴可视化。此外,您可以查看有关每个事件的以下关键信息:

    • 时间。事件发生的时间。

    • 网站。用户访问的有风险的网站。

    • 类别组。访问控制分配了有风险网站的类别组。

    • Category(类别)。访问控制为有风险的网站指定的类别。

    • 声誉评级。访问控制返回的风险网站的声誉评级。有关详细信息,请参阅URL 信誉分数

    访问控制风险网站访问事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

尝试访问列入黑名单的 URL

Citrix Analytics 会根据用户访问的列入黑名单的 URL 检测数据访问威胁,并触发相应的风险指示器。

当用户尝试访问在访问控制中配置的列入黑名单的 URL 时,Citrix Analytics 中会报告尝试访问列入黑名单的 URL 风险指示器。

尝试访问列入黑名单的 URL 风险指示器何时触发

访问控制包括 URL 分类功能,该功能提供基于策略的控制,以限制对列入黑名单的 URL 的访问。当用户尝试访问列入黑名单的 URL 时,访问控制将此事件报告给 Citrix Analytics。Citrix Analytics 会更新用户的风险评分,并将 尝试访问列入黑名单的 URL 风险指示器条目添加到用户的风险时间表中。

如何分析尝试访问列入黑名单的 URL 风险指示器

假设用户 Georgina Kalou 访问在访问控制中配置的黑名单 URL。访问控制将此事件报告给 Citrix Analytics,该分析将更新的风险评分分配给 Georgina Kalou。尝试访问列入黑名单的 URL 风险指示器已添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 尝试访问黑名单 URL 风险指示器。活动的原因与活动的详细信息一起显示,例如活动的时间、网站详细信息。

要查看“尝试访问用户列入黑名单的 URL 条目,请导航到“安全”>“用户”,然后选择用户。

当您从时间轴中选择“尝试访问列入黑名单的 URL 风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

访问控制尝试访问列入黑名单的 URL

  • 发生了什么”部分简要介绍了风险指示器。它包括用户在选定时段内访问的列入黑名单的 URL 的详细信息。

访问控制尝试访问列入黑名单的 URL 发生了什么

  • 事件详细信息部分包括在所选时段内发生的各个事件的时间轴可视化。此外,您可以查看有关每个事件的以下关键信息:

    • 时间。事件发生的时间。

    • 网站。用户访问的有风险的网站。

    • Category(类别)。访问控制为列入黑名单的 URL 指定的类别。

    • 声誉评级。访问控制为列入黑名单的 URL 返回的信誉评级。有关详细信息,请参阅URL 信誉分数

    访问控制尝试访问被列入黑名单的 URL 事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

不寻常的上载卷

Citrix Analytics 基于异常上载卷活动检测数据访问威胁,并触发相应的风险指示器。

当用户将多余数据 上载到应用程序或网站时,将报告异常 上载量风险指示器。

何时触发异常上载量风险指示器?

您可以将访问控制配置为监视用户活动,例如访问过的恶意、危险或未知网站、消耗的带宽以及高风险的下载和上载。当组织中的用户将数据上载到应用程序或网站时,访问控制将这些事件报告给 Citrix Analytics。

Citrix Analytics 会监控所有这些事件,如果它确定此用户活动与用户的通常行为相反,它将更新用户的风险评分。不寻常的上传量 风险指示器已添加到用户的风险时间表中。

如何分析异常上载量风险指示器?

考虑一个用户 Adam Maxwell,他将过多的数据上传到应用程序或网站。访问控制将这些事件报告给 Citrix Analytics,Citrix Analytics 将更新的风险评分分配给 Adam Maxwell。异常上传量 风险指示器添加到亚当·麦克斯韦的风险时间表中。

从亚当·麦克斯韦的风险时间表中,您可以选择报告的 “ 异常上传量 风险指标”。事件的原因与事件的详细信息一起显示,例如事件的时间和域名。

要查看“异常上载量 风险”指示器,请导航到“安全”>“用 户”,然后选择用户。

当您从时间轴中选择“异常上载量 风险指示器”条目时,右侧窗格中会显示相应的详细信息面板。

访问控制异常上载卷

  • 发生了什么”部分简要介绍了风险指示器,包括所选时段内上载的数据量。

访问控制不寻常的上载卷发生了什么

  • 事件详细信息部分包括在选定时间段内发生的单个数据上载事件的时间线可视化。此外,您可以查看有关每个事件的以下关键信息:

    • 时间。过多数据上载到应用程序或网站的时间。

    • 。用户将数据上载到的域。

    • Category(类别)。域名类别。

    • 上载大小。上载到域的数据量。

    访问控制异常上载卷事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

数据下载过多

Citrix Analytics 会根据网络中用户下载的过多数据检测数据访问威胁,并触发相应的风险指示器。

当组织中的用户从应用程序或网站下载过多数据时,会报告风险指示器。

何时触发“过多数据下载风险指示器”?

您可以将访问控制配置为监视用户活动,例如访问过的恶意、危险或未知网站、消耗的带宽以及高风险的下载和上载。当组织中的用户从应用程序或网站下载数据时,访问控制将这些事件报告给 Citrix Analytics。

Citrix Analytics 会监控所有这些事件,如果它确定用户活动与用户的通常行为相反,它将更新用户的风险评分。数据下载过多风险指示器已添加到用户的风险时间表中。

如何分析数据下载过多风险指标

假设用户 Georgina Kalou 从应用程序或网站下载过剩数据量。访问控制将这些事件报告给 Citrix Analytics,后者为 Georgina Kalou 分配更新的风险评分,并将 过多的数据下载 风险指示器条目添加到用户的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 过多数据下载 风险指标。事件的原因与事件的详细信息一起显示,例如时间和域名详细信息。

要查看数据下载过多风险指示器,请导航到“安全性”>“用户”,然后选择用户。

当您从时间轴中选择 过多的数据下载 风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

访问控制过多的数据下载

  • 发生了什么”部分简要介绍了风险指示器,包括所选时段内下载的数据量。

访问控制下载过多的数据发生了

  • 事件详细信息部分包括在所选时间段内发生的各个数据下载事件的时间线可视化。此外,您可以查看有关每个事件的以下关键信息:

    • 时间。过多数据下载到应用程序或网站的时间。

    • 。用户下载数据的域。

    • Category(类别)。域名类别。

    • 下载大小。下载到域的数据量。

    访问控制过多的数据下载事件详

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Access Control 风险指示器