Citrix Content Collaboration 风险指示器

过度访问敏感文件

Citrix Analytics 会根据过多的文件访问活动检测数据威胁，并触发相应的风险指示器。

当用户 访问敏感文件的行为过度 时，触发对敏感文件的过度访问权限风险指示器。这种不寻常的活动可能表明用户帐户存在问题，例如对其帐户的攻击。

与过度访问敏感文件风险指示器相关的风险因素是基于文件的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发过度访问敏感文件风险指示器?

当用户访问了在给定时间段内被视为敏感的异常数据量时，您会收到通知。当用户访问由数据丢失防护 (DLP) 或云访问安全代理 (CASB) 解决方案标识的敏感数据时，会触发此警报。当 Content Collaboration 检测到此过度行为时，Citrix Analytics 会收到事件，并提高相应用户的风险评分。过度访问敏感文件 风险指示器已添加到用户的风险时间表中。

如何分析过度访问敏感文件的风险指示器?

以用户 Adam Maxwell 在 15 分钟内访问了 10 个敏感文件，这些文件是他在 15 分钟内下载到本地系统中的。 过度访问敏感文件 风险指示器会触发，因为它超出了阈值。阈值是根据在给定时间窗口下载的敏感文件数计算的，并考虑到下载机制等上下文信息。

从 Adam Maxwell 的时间线中，您可以选择报告的 敏感文件的过度访问权限 风险指示器。事件的原因以及事件的详细信息（如文件名、文件大小和下载时间）一起显示在屏幕上。

要查看对 敏感文件的过度访问 风险指示器，请导航到“安全”>“用户”，然后选择用户。

• 在 发生了什么 部分，您可以查看过度访问敏感文件风险指示器的摘要。您可以查看 Citrix Analytics 认为过多的敏感文件数量以及事件发生的时间。

  

• 事 件详细信息 — 敏感数据下载 部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 下载时间。下载文件的时间。

  • 文件名。下载的文件的名称和扩展名。

  • 文件大小。下载的文件的大小。

  

• 在“附加上下文信息”部分，在活动发生期间，您可以查看以下内容：

  • 下载的敏感文件总数。

  • 用户下载的文件的总大小。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

过多的文件共享

Citrix Analytics 会根据过多的文件共享活动检测数据威胁，并触发相应的风险指示器。

当用户的典型 文件共享行为偏离时，将触发“过多 的文件共享”指示器。任何偏离常规文件共享行为的情况都被视为不寻常，并且对用户的帐户是否有此可疑活动进行调查。

与文件共享过多风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发过多文件共享风险指示器?

当组织内的用户在正常行为下共享文件的频率超过预期时，您会收到通知。通过响应有关共享文件过多的用户的通知，您可以防止数据泄露。

Citrix Analytics 从“Content Collaboration”接收共享事件，分析这些事件，并提高显示过度共享行为的用户的风险分数。文件共享过多 风险指示器已添加到用户的风险时间表中。

如何分析过度文件共享风险指示器?

以用户 Adam Maxwell 为例，他在一天内共享了六次文件。通过此操作，Adam Maxwell 共享文件的次数比他通常基于机器学习算法的次数多。

从 Adam Maxwell 的时间表中，您可以选择报告的“过多文件共享 风险指示器”。事件的原因与详细信息一起显示，例如共享的 Content Collaboration 链接、共享文件的时间等。

要查看 过多的文件共享 风险指示器，请导航到“安全”>“用户”，然后选择用户。

• 在 发生了什么 部分，您可以查看过多文件共享事件的摘要。您可以查看发送给收件人的共享链接的数量以及共享发生的时间。

  

• 事 件详细信息 — 共享文件过多 部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 时间共享。共享文件的时间。

  • 共享 ID。用于共享文件的 Content Collaboration 链接。

  • 操作。用户使用 Content Collaboration 执行的操作。

  • 工具名称。用于共享文件的工具或应用程序。

  • 来源。共享文件的存储库（Citrix Files、OneDrive 等）。

    

• 在“附加上下文信息”部分，您可以查看事件发生期间用户共享的文件总数。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

• 当用户被禁用时，他们将无法登录 Content Collaboration。他们在登录页面上看到一条通知，提示他们联系其 Content Collaboration 帐户管理员以获取更多信息。

• 禁用共享链接后，任何用户或收件人都无法访问该共享链接。如果用户尝试再次访问共享链接，则页面会向收件人显示一条消息，指出该链接不再可用。

• 无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

文件上载过多

Citrix Analytics 会根据过多的文件上传活动检测数据威胁，并触发相应的风险指示器。

文件上传过多 风险指示器可帮助您识别异常的文件上传活动。每个用户都有一个他们遵循的文件上传模式，其中包括以下属性：

• 上传文件的时间

• 上传的文件的类型

• 文件上传量

• 文件上载源

与用户通常模式的任何偏差都会触发 文件上传过多 风险指示器。

与文件上传过多风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发过多文件上载风险指示器?

过多的文件上载可被归类为风险类，因为它表明受到攻击的用户或内部威胁可能试图上载恶意或加密内容。如果上传大量数据与用户的正常行为不一致，则从更普遍的意义上说，它可以被认为是可疑的。当上传的数据量超过基于机器学习算法的用户正常上传行为时触发此警报。

当 Citrix Analytics 检测到过多的上传行为时，会提高相应用户的风险评分。文件上传过多 风险指示器将添加到用户的风险时间表中。

如何分析文件上载过多风险指示器?

考虑用户 Lemuel，他在一小时内上传了大量数据。通过这一行动，Lemuel 超出了基于机器学习算法的正常上传行为。

从用户的时间线中，您可以选择报告的文件上传过多风险指示器。警报的原因以及事件的详细信息（如文件名、上传时间、工具名称和来源）一起显示。

要查看文件上传过多风险指示器，请导航到“安全”>“用户”，然后选择用户。

• 在 发生了什么 部分，您可以查看文件上传过多事件的摘要。您可以查看用户上传的数据量以及事件发生的时间。

• 事 件详细信息 — 文件上传过多 部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 上传时间。文件上传的时间。

  • 文件名。上传文件的名称和扩展名。

  • 工具名称。用于上传文件的工具或应用程序。

  • 来源。文件上传到的存储库（Citrix Files、OneDrive 等）。

  

• 在 其他上下文信息 部分，您可以查看事件发生期间用户上传的文件的总大小。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

文件下载过多

Citrix Analytics 会根据过多的文件下载活动检测数据威胁，并触发相应的风险指示器。

文件下载过多 风险指示器可帮助您识别异常的文件下载活动。每个用户都有一个他们遵循的文件下载模式，其中包括以下属性：

• 下载文件的时间。

• 已下载的文件的类型。

• 文件下载量等。

与用户通常模式的任何偏离都会触发 文件下载过多 风险指示器。

与文件下载量过多风险指示器相关的风险因素是基于文件的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发过多文件下载风险指示器?

过多的文件下载可能被归类为有风险，因为这表明用户受到威胁或内部人士可能试图泄露数据。如果下载大量数据不符合用户的正常行为，则从更普遍的意义上来说，它可能会被认为是可疑的。当下载的数据量超过基于机器学习算法的用户正常下载行为时触发此警报。

当 Citrix Analytics 检测到过多的下载行为时，会提高相应用户的风险评分。文件下载过多 风险指示器将添加到用户的风险时间表中。

如何分析文件下载过多风险指示器?

考虑用户 Lemuel，他在一小时内将大量数据下载到本地系统。通过这一行动，Lemuel 超出了基于机器学习算法的正常下载行为。

从用户的时间线中，您可以选择报告的 文件下载过多 风险指示器。将显示文件下载过多警报的原因以及事件的详细信息，例如文件名、文件大小和下载时间。

要查看文件下载过多风险指示器，请导航到“安全”>“用户”，然后选择用户。

• 在 发生了什么 部分，您可以查看文件下载量过多事件的摘要。您可以查看用户下载的数据量和事件发生的时间。

• 事 件详细信息 — 文件下载过多 部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 下载时间。下载文件的时间。

  • 文件名。下载的文件的名称和扩展名。

  • 来源。从中下载文件的存储库（Citrix Files、OneDrive 等）。

  • 文件大小。下载的文件的大小。

    

• 在“附加上下文信息”部分，您可以查看事件发生期间用户下载的文件的总下载大小。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

删除过多的文件或文件夹

Citrix Analytics 会根据过多的文件或文件夹删除活动检测数据威胁，并触发相应的风险指示器。

当用户 删除文件夹文件的行为过多时，将触发文件或 文件夹删除过多风险指示器。这种异常情况可能表明用户帐户存在问题，例如对其帐户的攻击。

与文件或文件夹删除过多风险指示器相关的风险因素是基于文件的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发过多的文件或文件夹删除风险指示器?

当组织中的用户在特定时间段内删除了过多数量的文件或文件夹时，您会收到通知。当用户根据机器学习算法删除了超出正常删除行为的文件或文件夹数量过多时，会触发此警报。

检测到此行为时，Citrix Analytics 会提高相应用户的风险评分。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。

如何分析过多的文件或文件夹删除风险指示器?

考虑一个用户 Lemuel，他在一天中删除了许多文件或文件夹。通过这一行动，Lemuel 超出了基于机器学习算法的正常删除行为。

从 Lemuel Kildow 的时间线中，您可以选择报告的文件或文件夹删除过多风险指示器。事件的原因与事件的详细信息一起显示在屏幕上，例如删除类型（文件或文件夹）、删除时间等。

要查看文件或文件夹删除过多风险指示器，请导航到“安全”>“用户”，然后选择用户。

• 在 发生了什么 部分，您可以查看删除过多文件或文件夹事件的摘要。您可以查看已删除的文件和文件夹的数量以及事件发生的时间。

  

• “事 件详细信息 — 已删除项目过多”部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 时间已删除。删除文件或文件夹的时间。

  • 类型。已删除的项目类型 — 文件或文件夹。

  • 名称。已删除的文件或文件夹的名称。

  • 来源。删除了文件的存储库（Citrix Files、OneDrive 等）。

    

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

不可能旅行

Citrix Analytics 检测到用户的登录存在风险，如果连续登录来自两个不同的国家/地区，且时间段少于这两个国家/地区之间的预期旅行时间。

不可能的旅行时间情景表明存在以下风险：

• 凭据泄露：远程攻击者窃取合法用户的凭据。
• 共享凭据：不同的用户使用相同的用户凭据。

不可能的旅行风险指示器何时触发

不可能旅行风险指示器评估每对连续用户登录之间的时间和估计距离，并在距离大于个人在这段时间内可能行驶的距离时触发。

注意

此风险指示器还包含用于减少以下情况的误报警报的逻辑，这些情况不反映用户的实际位置：

• 当用户通过代理连接登录到Content Collaboration 时。
• 当用户从托管客户端登录Content Collaboration 时。

如何分析不可能的风险指标

以用户 Adam Maxwell 为例，他在一分钟的时间内从印度班加罗尔和挪威奥斯陆这两个地点登录。Citrix Analytics 将此登录事件检测为不可能的旅行场景，并触发不可能旅行风险指示器。风险指标被添加到 Adam Maxwell 的风险时间表中，并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间表，请选择安全 > 用户。从“风险用户”窗格中，选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中，选择不可能的旅行风险指示器。您可以查看以下信息：

• 发生了什么 事部分简要概述了不可能旅行事件。

  

• 指标详情部分提供用户登录的位置、连续登录之间的持续时间以及两个位置之间的距离。

  

• 登录位置 - 最近 30 天部分显示了用户不可能的出行地点和已知位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上，以查看每个位置的总登录次数。

  

• 不可能旅行 - 事件详情部分提供了有关不可能旅行事件的以下信息：

  • 时间：表示登录的日期和时间。
  • 客户端 IP：表示用户设备的 IP 地址。
  • 位置：表示用户登录的位置。
  • 设备操作系统：指示用户设备的操作系统。

  

你可以对用户应用什么操作

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。
• 通知管理员。当用户帐户有任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。
• 禁用用户。Citrix Analytics 允许您通过禁用用户的Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。
• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。
• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的配置文件并选择相应的风险指示器。从“操 作”菜单中选择一个操作，然后单击“应用”。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

检测到恶意软件文件

Citrix Analytics 会根据Content Collaboration 中上载的受感染文件检测数据威胁，并触发风险指示器。

该指示器可显示恶意文件的详细信息，例如文件所有者、病毒名称和文件位置。您可以分析威胁的性质和用户的行为，并相应地及时采取措施，以防止组织中的任何数据泄露或勒索软件攻击。

与检测到的恶意软件文件风险指示器相关的风险因素是基于文件的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

检测到恶意软件文件的风险指示器何时触发

当 Content Collaboration 用户上载的文件感染了特洛伊木马、病毒或任何其他恶意威胁等恶意软件时，会触发检测到恶意软件文件风险指示器。

当Content Collaboration 检测到恶意文件时，它会将该事件发送给 Citrix Analytics for Security。此事件会触发风险指示器，并提高用户在 Citrix Analytics for Security 上的风险评分。“检测到恶意软件文件”风险指示器将添加到用户的风险时间表中。

如何分析检测到的恶意软件文件的风险指示器

假设用户 Kevin Smith 将受感染的文件上载到他的 Content Collaboration 帐户。Citrix Analytics 会触发 检测到的恶意软件文件 风险指示器，并将其显示在 Kevin 的时间轴上。

在 Kevin 的时间轴中，选择风险指示器和时间段以查看以下详细信息：

• “发生了什么”部分：用户事件和检测时间的摘要。

  

• 指标详细信息 部分：受感染文件的详细信息，例如病毒名称、文件哈希值以及用户的 Content Collaboration 帐户中受感染文件的路径。

  

• 相关风险 部分：有关恶意软件文件的其他信息：

  • 受感染文件具有相同文件哈希值的唯一用户数。单击用户数以查看其详细信息。

  • 与用户关联的风险指示器的总出现次数。单击出现次数以查看详细信息。

  

• 恶意软件内容已上载-事件详细 信息部分：触发风险指示器的事件的详细信息。

  • 日期和时间：指示事件的日期和时间。

  • 文件名：指示受感染文件的名称。

  • 病毒名称：表示感染文件的病毒的名称。

  • 文件夹：表示用户的Content Collaboration 帐户中存储文件的文件夹的名称。

  • 文件哈希：表示受感染文件的哈希值。

  单击 事件搜索 链接可查看与用户 Kevin Smith 的此风险指示器相关的所有事件。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 删除文件夹访问权限。您可以阻止上传受感染文件的用户的访问权限。用户无法访问上传受感染文件的文件夹。

• 移除文件夹的上传权限。您可以阻止上传受感染文件的用户的上传权限。用户无法将文件上传到已上传受感染文件的文件夹。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

怀疑勒索软件活动

Citrix Analytics 基于勒索软件活动检测数据威胁，并触发相应的风险指示器。

勒索软件是一种恶意软件，通过使用加密版本替换或更新文件来限制用户访问其文件。通过识别组织内用户共享的文件中的勒索软件攻击，您可以确保工作效率不受影响。

与勒索软件活动疑似风险指示器相关的风险因素是基于文件的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

何时触发勒索软件风险指示器?

当您帐户中的用户尝试删除并替换过多具有相似名称和扩展名不同的文件时，您会收到通知。当用户更新过多具有相似名称和扩展名不同的文件时，您也会收到通知。此活动表示用户的帐户已被盗用，可能发生了勒索软件攻击。Citrix Analytics 检测到此行为时，会增加相应用户的风险评分。勒索软件活动可疑 风险指示器已添加到用户的风险时间表中。

勒索软件活动疑似指示器可以有两种类型。具体如下：

• 怀疑勒索软件活动（已替换文件） 表示有人试图删除现有文件并替换为类似于勒索软件攻击的新版本的文件。攻击模式可能会导致上载次数超过已删除文件的数量。例如，赎金票据可能与其他文件一起上载。

• 怀疑勒索软件活动（文件已更新） 表示有人试图使用类似于勒索软件攻击的修改版本更新现有文件。

如何分析勒索软件风险指示器?

考虑用户 Adam Maxwell，他尝试在 15 分钟内更新许多文件修改后的版本。通过此操作，Adam Maxwell 根据机器学习算法认为对该特定用户的正常情况触发了异常和可疑的行为。

从 Adam Maxwell 的时间轴中，您可以选择报告的可疑勒索软件活动（文件已更新）风险指示器。事件的原因随文件名称和文件位置等详细信息一起显示在屏幕上。

要查看 怀疑勒索软件活动（文件已更新） 风险指示器，请导航到“安全”>“用户”，然后选择用户。从用户的风险时间表中，选择为用户触发的 怀疑勒索软件活动（文件已更新） 风险指示器。

• 在发生了什么部分，您可以查看勒索软件活动疑似事件的摘要。您可以查看以可疑方式更新的文件数量以及事件发生的时间。

  

• 事 件详细信息 — 文件操作 部分，事件以图形和表格格式显示。这些事件还在图表中显示为单个条目，并且该表提供了以下关键信息：

  • 时间。文件更新的时间。

  • 文件名。文件的名称。

  • 路径。文件所在的路径。

    

同样，您可以选择报告的可 疑勒索软件活动（已替换文件） 风险指示器。您可以查看此活动的详细信息，例如：

• 触发风险指示器的原因。

• 已删除并被新版本替换的文件数。

  

• 事件（被替换的文件）发生的时间。

• 文件的名称。

• 文件的位置。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

可疑登录

备注

• 此风险指示器取代了来自异常位置的访问风险指示器。

• 任何基于“从异常位置访问”风险指示器的策略都会自动链接到可疑登录风险指示器。

Citrix Analytics 会根据多个上下文因素（由用户使用的设备、位置和网络共同定义）来检测看起来异常或有风险的用户登录。

何时触发可疑登录风险指示器

风险指示器是由以下因素的组合触发的，根据一种或多种条件，每个因素都被视为潜在的可疑因素。

因数	条件
异常的设备	用户使用与过去 30 天内使用的设备不同的签名从设备登录。设备签名基于设备的操作系统和所使用的客户端工具（应用程序）。
位置不寻常	从用户在过去 30 天内未登录的城市或国家/地区登录。
	城市或国家/地区在地理上与最近（过去 30 天）的登录位置相距甚远。
	在过去 30 天内，从城市或国家/地区登录的用户数为零或最少。
异常的网络	使用用户在过去 30 天内未使用的 IP 地址登录。
	从用户在过去 30 天内未使用的 IP 子网登录。
	在过去 30 天内，从 IP 子网登录的用户数为零或最少。
IP 威胁	社区威胁情报源 Webroot 将该 IP 地址标识为高风险。
	Citrix Analytics 最近从其他用户的 IP 地址检测到高度可疑的登录活动。

如何分析可疑登录风险指示器

以用户 Adam Maxwell 为例，他是首次从美国北查尔斯顿登录。他使用带有不熟悉签名的设备访问Content Collaboration 服务。此外，他从过去30天没有使用过的网络进行连接。

Citrix Analytics 将此登录事件检测为可疑，因为位置、设备和网络因素与其通常的行为不同，并触发 可疑登录 风险指示器。风险指示器被添加到 Adam Maxwell 的风险时间表中，并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间，请选择“安全”>“用户”。从“风险用户”窗格中，选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中，选择可疑登录风险指示器。您可以查看以下信息：

• 发生了什么部分简要概述了可疑活动，包括风险因素和事件发生时间。

  

• 登录详细信息部分提供了与每个风险因素相对应的可疑活动的详细摘要。为每个风险因素分配一个表示怀疑水平的分数。任何单一风险因素都不表示来自用户的高风险。总体风险基于多个风险因素的相关性。

  怀疑等级	指示
  0–69	该因素看起来正常，不被视为可疑因素。
  70–89	该因素看起来有点不寻常，被认为与其他因素有中等可疑性。
  90–100	该因素是全新的或不寻常的，被认为与其他因素高度可疑。

  

• 登录位置 - 过去 30 天显示最近已知位置和用户当前位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上，以查看每个位置的总登录次数。

  

• 可疑登录 - 事件详细信息部分提供了有关可疑登录事件的以下信息：

  • 时间：表示可疑登录的日期和时间。

  • 设备操作系统：指示用户设备的操作系统。

  • 工具名称：用于登录Content Collaboration 应用程序。

  

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。

异常的验证失败

Citrix Analytics 根据来自异常 IP 地址的身份验证活动检测访问威胁

当用户从基于用户的历史访问模式视为异常的 IP 地址进行登录失败时，将触发异常身份验证失败风险指示器。通过识别身份验证失败的用户，根据以前的行为，管理员可以监视用户帐户的暴力攻击。

与异常身份验证失败风险指示器相关的风险因素是基于登录失败的风险指示器。有关风险因素的更多信息，请参阅 Citrix 用户风险指示器。

什么时候触发异常身份验证失败风险指示器

当组织中的用户有多次登录尝试失败时，系统会通知您，这些尝试与其通常行为相反。

当用户反复尝试登录 Content Collaboration 服务时，会触发 异常身份验证失败 风险指示器。检测到此行为时，Citrix Analytics 会提高相应用户的风险评分。异常身份验证失败 风险指示器添加到用户的风险时间表中。

如何分析异常身份验证失败风险指示器

考虑用户玛丽亚·布朗，他多次尝试登录 Content Collaboration。通过此操作，Maria Brown 触发了检测异常行为的机器学习算法。 从 Maria 的时间表中，您可以选择报告的异常身份验证失败风险指示器。活动的原因和活动详情将显示在屏幕上。

要查看异常身份验证失败风险指示器，请导航到“安全”>“用 户”，然后选择用户。

• 在“发生了什么”部分，您可以查看异常身份验证失败事件的摘要。您可以查看在特定时间段内发生的登录失败的次数。

  

• 在建议的操作部分，您可以找到可以应用于风险指示器的建议操作。Citrix Analytics for Security 会根据用户构成的风险的严重程度推荐操作。建议可以是以下操作之一，也可以是以下操作的组合：

  • 通知管理员

  • 添加到播放列表

  • 创建策略

  您可以根据建议选择操作。或者，您可以根据从操作菜单中选择要应用的操作。有关详细信息，请参阅手动应用操作。

  

• 在 异常身份验证失败-事件详细信息 部分中，您可以查看事件的时间轴及其详细信息。该表提供了以下关键信息：

  • 活动时间。每次登录尝试的时间。

  • 客户端 IP。用户网络的 IP 地址。

  • 位置。用户设备的位置。

  • 工具名称。用于共享文件的工具或应用程序。

  • 操作系统。用户设备的操作系统。

    

• 在“身份验证活动 — 前 30 天”部分中，该表提供了有关用户过去 30 天的身份验证活动的以下信息：

  • 子网 — 来自用户网络的 IP 地址。

  • 成功 — 用户成功的身份验证事件总数和最近一次成功事件的时间。

  • 失败 — 用户的失败身份验证事件总数和最近失败事件的时间。

  • 位置 — 发生身份验证事件的位置。

    

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作：

• 添加到播放列表。当您想要监视用户未来的潜在威胁时，可以将它们添加到监视列表中。

• 通知管理员。当用户帐户中存在任何异常或可疑活动时，系统会向所有管理员或选定的管理员发送电子邮件通知。

• 禁用用户。Citrix Analytics 允许您通过禁用用户的 Content Collaboration 帐户来限制或撤消用户的访问权限。您可以对员工用户和客户用户应用此操作。

• 使所有链接失效。Citrix Analytics 使您可以使用户的所有活动共享链接过期。共享链接过期后，链接将失效，并且与之共享链接的其他用户无法访问这些链接。

• 将链接更改为仅查看共享。Citrix Analytics 使您能够将用户的活动共享链接更改为仅查看模式。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息，请参阅 仅查看共享。

要了解有关操作以及如何手动配置操作的更多信息，请参阅 策略和操作。

要手动将操作应用于用户，请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中，选择一个操作，然后单击应用。

注意

无论触发风险指示器的数据源如何，都可以应用与其他数据源相关的操作。