Citrix Analytics for Security

Citrix 访问控制风险指示器

网站访问风险

Citrix Analytics 会根据用户访问的有风险的网站检测数据访问威胁,并触发相应的风险指示器。

当组织中的用户尝试 访问信誉评级较高的恶意、可疑或风险网 站时,会报告风险网站访问风险指示器。

与风险 网站访问风险 指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

什么时候触发有风险的网站访问风险指示器

访问控制支持根据 URL 分类数据库是否将其标记为以下内容来设置网站的信誉分数:

  • 恶意

  • 潜在危险

  • 未知

  • 标准

有关详细信息,请参阅 URL 信誉得分

当组织中的用户尝试访问有风险的网站时,访问控制会通过 Citrix Analytics 报告这些事件。Citrix Analytics 会监控所有这些事件,如果它确定用户访问了至少一个信誉得分为 3 或 4 的网站,即潜在危险的网站或恶意站点。Citrix Analytics 提高了用户的风险评分。风 险网站访问 风险指示器已添加到用户的风险时间表中。

如何分析网站访问风险指示器?

考虑一个试图访问危险网站的用户 Georgina Kalou。访问控制将这些事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。风 险网站访问 风险指示器已添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的风 险网站访问 风险指示器。活动的原因与上传事件的详细信息一起显示,例如活动的时间和网站。

要查看用户的风 险网站访问 风险指示器条目,请导航到 “ 安全” > “用户”,然后选择该用户。

当您从时间轴中选择风险网站访问风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

访问控制风险网站访问

  • 发生了什么 部分提供了风险指标的简要摘要。它包括用户在所选期间访问的有风险的网站的数量。

    访问控制风险网站访问发生了什么

  • “事 件详细信息 ” 部分包括在选定时间段内发生的各个事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。事件发生的时间。

    • Web 站点站。用户访问的有风险的网站。

    • 类别组。访问控制分配给有风险的网站的类别组。

    • Category(类别)。访问控制为存在风险的网站指定的类别。

    • 声誉评级。访问控制为存在风险的网站返回的信誉等级。有关详细信息,请参阅 URL 信誉得分

      访问控制风险网站访问事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

尝试访问列入黑名单的 URL

Citrix Analytics 会根据用户访问的列入黑名单的 URL 检测数据访问威胁,并触发相应的风险指示器。

当用户 尝试访问在访问控制中配置的黑名单 URL 时,Citrix Analytics 中会报告尝试访问列入黑名单的 URL 风险指示器。

尝试访问列入黑名单的 URL 风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

何时触发尝试访问列入黑名单的 URL 风险指示器

访问控制包括 URL 分类功能,该功能提供基于策略的控制,以限制对列入黑名单的 URL 的访问。当用户尝试访问列入黑名单的 URL 时,访问控制将此事件报告给 Citrix Analytics。Citrix Analytics 会更新用户的风险评分,并将 尝试访问列入黑名单的 URL 风险指示器条目添加到用户的风险时间表中。

如何分析尝试访问列入黑名单的 URL 风险指示器

考虑一个用户 Georgina Kalou 访问了访问控制中配置的黑名单 URL。访问控制将此事件报告给 Citrix Analytics,该分析将更新的风险评分分配给 Georgina Kalou。尝试访问列入黑名单的 URL 风险指示器已添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 尝试访问黑名单 URL 风险指示器。活动的原因与活动的详细信息一起显示,例如活动的时间、网站详细信息。

要查看 尝试访问用户的列入黑名单的 URL 条目,请导航到 “ 安全” > “用户”,然后选择该用户。

当您从时间轴中选择 尝试访问列入黑名单的 URL 风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

访问控制尝试访问列入黑名单的 URL

  • 发生了什么 部分提供了风险指标的简要摘要。它包括用户在选定时间段内访问的列入黑名单的 URL 的详细信息。

    访问控制尝试访问列入黑名单的 URL 发生了什么

  • “事 件详细信息 ” 部分包括在选定时间段内发生的各个事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。事件发生的时间。

    • Web 站点站。用户访问的有风险的网站。

    • Category(类别)。访问控制为列入黑名单的 URL 指定的类别。

    • 声誉评级。访问控制为列入黑名单的 URL 返回的信誉等级。有关详细信息,请参阅 URL 信誉得分

      访问控制尝试访问黑名单 URL 事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

不寻常的上传量

Citrix Analytics 会根据异常上传量活动检测数据访问威胁,并触发相应的风险指示器。

当用户向应用程序或网站 上传过量的数据时,会报告异常 上传量风险指示器。

与异常上传量风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

什么时候触发异常上传量风险指示器

您可以将访问控制配置为监视用户活动,例如访问的恶意、危险或未知网站、占用的带宽以及有风险的下载和上传。当组织中的用户将数据上载到应用程序或网站时,访问控制将这些事件报告给 Citrix Analytics。

Citrix Analytics 会监控所有这些事件,如果它确定此用户活动与用户的通常行为相反,它将更新用户的风险评分。不寻常的上传量 风险指示器已添加到用户的风险时间表中。

如何分析异常上载量风险指示器?

考虑一个用户 Adam Maxwell,他将过多的数据上传到应用程序或网站。访问控制将这些事件报告给 Citrix Analytics,Citrix Analytics 将更新的风险评分分配给 Adam Maxwell。异常上传量 风险指示器添加到亚当·麦克斯韦的风险时间表中。

从亚当·麦克斯韦的风险时间表中,您可以选择报告的 “ 异常上传量 风险指标”。事件的原因与事件的详细信息一起显示,例如事件的时间和域名。

要查看 异常上传量 风险指示器,请导航到 “ 安全” > “用户”,然后选择用户。

当您从时间轴中选择 异常上传量 风险指示器条目时,右侧窗格中会出现相应的详细信息面板。

访问控制上传量异常

  • 发生了什么 ” 部分提供了风险指示器的简要摘要,包括所选期间上传的数据量。

    访问控制异常的上传量发生了什么

  • “事 件详细信息 ” 部分包括在选定时间段内发生的各个数据上传事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。将过多数据上传到应用程序或网站的时间。

    • 。用户将数据上传到的域。

    • Category(类别)。域类别。

    • 上传大小。上传到域的数据量。

      访问控制异常上传量事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

数据下载过多

Citrix Analytics 会根据网络中用户下载的过多数据检测数据访问威胁,并触发相应的风险指示器。

当组织中的用户从应用程序或网站下载过多数据时,会报告风险指示器。

何时触发过多数据下载风险指示器

您可以将访问控制配置为监视用户活动,例如访问的恶意、危险或未知网站、占用的带宽以及有风险的下载和上传。当组织中的用户从应用程序或网站下载数据时,访问控制将这些事件报告给 Citrix Analytics。

Citrix Analytics 会监控所有这些事件,如果它确定用户活动与用户的通常行为相反,它将更新用户的风险评分。数据下载过多风险指示器已添加到用户的风险时间表中。

与过多的数据下载风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

如何分析数据下载过多风险指标

假设用户 Georgina Kalou 从应用程序或网站下载过剩数据量。访问控制将这些事件报告给 Citrix Analytics,后者为 Georgina Kalou 分配更新的风险评分,并将 过多的数据下载 风险指示器条目添加到用户的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 过多数据下载 风险指标。事件的原因与事件的详细信息一起显示,例如时间和域名详细信息。

要查看数据下载过多风险指示器,请导航到“安全性”>“用户”,然后选择用户。

当您从时间轴中选择 过多的数据下载 风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

访问控制过多的数据下载

  • 发生了什么事 部分提供了风险指示器的简要摘要,包括在选定时间段内下载的数据量。

    访问控制过多数据下载发生了什么

  • “事 件详细信息 ” 部分包括在选定时间段内发生的各个数据下载事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。将过多数据下载到应用程序或网站的时间。

    • 。用户下载数据的域。

    • Category(类别)。域类别。

    • 下载大小。下载到域的数据量。

      访问控制过多的数据下载事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix 访问控制风险指示器