Citrix Content Collaboration 风险指示器

不寻常的登录访问权限

Citrix Analytics 基于异常登录活动检测访问威胁,并触发相应的风险指示器。

当用户从可疑的位置 登录时触发异常登录访 问风险指示器。通过根据以前的行为识别具有异常登录位置的用户,管理员可以监视用户帐户的潜在攻击。

何时触发异常登录访问风险指示器?

当您的组织中的用户从与其通常行为相反的异常位置登录时,您可以收到通知。

当用户从用户通常不 登录的城市或国家访问 Content Collaboration 时,将触发异 常登录访问风险指示器。检测到此行为时,Citrix Analytics 会增加相应用户的风险分数。然后在“警报”面板中收到通知,并将“异常登录访问 风险指示器添加到用户的风险时间轴中。

如何分析异常登录访问风险指示器?

考虑用户 Georgina Kalou,谁从麦纳麦登录时,她以前只从罗利,北卡罗来纳州登录。通过此操作,Georgina Kalou 触发了检测异常行为的机器学习算法。

从 Georgina Kalou 的时间表中,您可以选择报告的 异常登录访问 风险指示器。事件的原因与登录时间、客户端 IP 地址等详细信息一起显示在屏幕上。

若要查看“异常登录访问风险”指示器,请导航到“ 安全”>“用户”,然后选择用户。

不寻常的登录访问 Content Collaboration

  • 发生了什么 事部分,您可以查看不寻常登录访问事件的摘要。您可以查看在特定时间段内发生的可疑登录数量。

不寻常的登录访问 Content Collaboration 发生了什么

  • 事件详细信息 — 登录位置部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 登录时间。每次登录尝试的时间。

    • 客户端 IP。使用的客户端 IP 地址。

    • 位置。尝试登录的位置。

    不寻常的登录访问 Content Collaboration 事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

如果触发的 异常登录访问 风险指示器不正确,您可以将其报告为误报并提供反馈。要了解有关如何提供反馈的详细信息,请参阅风险指示器反馈

过度访问敏感文件

Citrix Analytics 会根据过多的文件访问活动检测数据威胁,并触发相应的风险指示器。

当用户在 访问敏感文件方面的行为过度 时,触发过度访问敏感文件风险指示器。此异常活动可能表明用户帐户存在问题,例如用户帐户遭到攻击。

何时触发过度访问敏感文件风险指示器?

当用户访问了在给定时间段内被视为敏感的异常数据时,系统会通知您。当用户访问由数据丢失防护 (DLP) 或云访问安全代理 (CASB) 解决方案标识的敏感数据时,会触发此警报。当 Content Collaboration 检测到此过度行为时,Citrix Analytics 会接收事件,并增加相应用户的风险评分。然后在“警报”面板中收 到通知,并将过度访问敏感文件 的风险指示器添加到用户的风险时间线中。

如何分析过度访问敏感文件的风险指示器?

考虑用户亚当·麦克斯韦, 有访问 10 敏感文件, 他下载到他的本地系统在 15 分钟的跨度内.过多访问敏感文件 的风险指示器被触发,因为它超出了阈值。阈值的计算基础是在给定时间窗内下载的敏感文件的数量,并考虑上下文信息(如下载机制)。

从亚当·麦克斯韦的时间线中,您可以选择报告的 过度访问敏感文件 的风险指示器。事件的原因会显示在屏幕上,以及事件的详细信息,如文件名、文件大小和下载时间。

要查看 过多访问敏感文件 风险指示器,请导航到“ 安全”>“用 户”,然后选择用户。

过度访问敏感文件

  • 发生了什么事 部分,您可以查看过多访问敏感文件风险指示器的摘要。您可以查看 Citrix Analytics 认为过多的敏感文件数以及事件发生的时间。

过度访问敏感文件发生的情况

  • 事件详细信息 — 敏感数据下载部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 下载时间。下载文件的时间。

    • 文件名。已下载文件的名称和扩展名。

    • 文件大小。下载的文件的大小。

    过度访问敏感文件事件详细信息

  • 其他上下文信息 部分,在事件发生期间,您可以查看以下内容:

    • 下载的敏感文件总数。

    • 用户下载的文件的总大小。

    过度访问敏感文件附加上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

过多的文件共享

Citrix Analytics 会根据过多的文件共享活动检测数据威胁,并触发相应的风险指示器。

当偏离用户的典型 文件共享行为时,会触发过 多文件共享指示器。与常规文件共享行为的任何偏差都被认为是不寻常的,用户的帐户将被调查此可疑活动。

何时触发过多文件共享风险指示器?

当组织内的用户在正常行为下共享文件的频率超过预期时,系统会收到通知。通过响应有关过度共享文件的用户的通知,您可以防止数据泄漏。

Citrix Analytics 接收来自 Content Collaboration 的共享事件,对其进行分析,并提高表现过度共享行为的用户的风险分数。然后在“警报”面板中收到通知,并将 过多的文件共享 风险指示器添加到用户的风险时间线。

如何分析过度文件共享风险指示器?

考虑用户亚当·麦克斯韦,谁在一天内共享文件六次。通过这个动作,Adam Maxwell 共享文件的次数超过他通常基于机器学习算法的次数。

从 Adam Maxwell 的时间线中,您可以选择报告的 文件共享过多 风险指示器。事件的原因与详细信息一起显示,如共享的 Content Collaboration 链接、共享文件的时间等。

要查看 文件共享过多 风险指示器,请导航到“ 安全”>“用 户”,然后选择用户。

过多的文件共享

  • 发生了什么 事部分,您可以查看过多文件共享事件的摘要。您可以查看发送给收件人的共享链接的数量以及发生共享的时间。

过多的文件共享发生了什么

  • 事件详细信息 — 过多的文件共享部分,该事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 时间分享。共享文件的时间。

    • 共享 ID。用于共享文件的 Content Collaboration 链接。

    • 行动。用户使用 Content Collaboration 执行的操作。

    • 工具名称。用于共享文件的工具或应用程序。

    • 来源。文件共享的存储库(Citrix Files、OneDrive 等)。

    过多的文件共享事件详细信息

  • 其他上下文信息 部分,您可以查看事件发生期间用户共享的文件总数。

    过多的文件共享附加上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

注意

  • 禁用用户时,他们无法登录到 Content Collaboration。他们在登录页面上看到一条通知,提示他们联系其 Content Collaboration 帐户管理员以了解更多信息信息。

  • 禁用共享链接时,任何用户或收件人都无法访问共享链接。如果用户尝试再次访问共享链接,页面会向收件人显示一条消息,指出该链接不再可用。

文件上载过多

Citrix Analytics 会根据过多的文件上载活动检测数据威胁,并触发相应的风险指示器。

文件上载过多 风险指示器可帮助您识别异常的文件上载活动。每个用户都有他们遵循的文件上载模式,其中包括以下属性:

  • 上载文件的时间

  • 已上载的文件类型

  • 文件上载卷

  • 文件上载源

与用户通常模式的任何偏差都会触发文 件上载过多 风险指示器。

何时触发过多文件上载风险指示器?

过多的文件上载可被归类为风险类,因为它表明受到攻击的用户或内部威胁可能试图上载恶意或加密内容。如果上载大量数据与用户的正常行为不一致,则可以将其视为更普遍的可疑数据。当上载的数据量超过基于机器学习算法的用户正常上载行为时,会触发此警报。

Citrix Analytics 检测到过多的上载行为时,会提高相应用户的风险评分。然后在“ 警报 ”面板中收到通知,并 将文件上载过多 的风险指示器添加到用户的风险时间线中。

如何分析文件上载过多风险指示器?

考虑用户 Lemuel Kildow,谁已经在一个小时的跨度内上载了大量的数据。通过此操作,Lemuel Kildow 已经超出了基于机器学习算法的正常上载行为。

从用户的时间轴中,您可以选择报告的文件上载过多风险指示器。警报的原因与事件的详细信息一起显示,如文件名、上载时间、工具名称和源。

要查看文件上载过多风险指示器,请导航到“ 安全”>“用户”,然后选择用户。

文件上载过多

  • 发生了什么 事部分,您可以查看过多文件上载事件的摘要。您可以查看用户上载的数据量以及事件发生的时间。

过多的文件上载发生了什么

  • 事件详细信息 - 过多的文件上载部分,该事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 上载时间。文件上载的时间。

    • 文件名。上载文件的名称和扩展名。

    • 工具名称。上载文件所使用的设备类型。

    • 来源。文件上载到的存储库(Citrix Files、OneDrive 等)。

    过多的文件上载事件详细信息

  • 其他上下文信息 部分,您可以查看事件发生期间用户上载的文件的总大小。

    过多的文件上载附加信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

文件下载过多

Citrix Analytics 会根据过多的文件下载活动检测数据威胁,并触发相应的风险指示器。

文件下载过多 风险指示器可帮助您识别异常的文件下载活动。每个用户都有他们遵循的文件下载模式,其中包括以下属性:

  • 下载文件的时间。

  • 已下载的文件类型。

  • 文件下载卷等。

与用户通常模式的任何偏差都会触发 过多文件下载 风险指示器。

何时触发过多文件下载风险指示器?

过多的文件下载可以归类为风险,因为它表示受到攻击的用户或内部人员可能试图泄露数据。如果下载大量数据与用户的正常行为不一致,则可能会被认为是可疑的。当下载的数据量超过基于机器学习算法的用户正常下载行为时,会触发此警报。

Citrix Analytics 检测到过多的下载行为时,会提高相应用户的风险评分。然后在“警报”面板中收到通知,并将“ 过多文件下载 风险指示器添加到用户的风险时间线中。

如何分析文件下载过多风险指示器?

考虑用户 Lemuel Kildow,谁在一个小时的跨度内下载了大量的数据到他的本地系统。通过这个动作,Lemuel Kildow 已经超出了他基于机器学习算法的正常下载行为。

从用户的时间轴中,您可以选择报告的 文件下载过多 风险指示器。会显示文件下载警报过多的原因以及事件的详细信息,例如文件名、文件大小和下载时间。

要查看文件下载过多风险指示器,请导航到“ 安全”>“用户”,然后选择用户。

文件下载过多

  • 发生了什么 事部分,您可以查看过多文件下载事件的摘要。您可以查看用户下载的数据量和事件发生的时间。

过多的文件下载发生了什么

  • 事件详细信息 — 过多的文件下载部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 下载时间。下载文件的时间。

    • 文件名。已下载文件的名称和扩展名。

    • 来源。从中下载文件的存储库(Citrix Files、OneDrive 等)。

    • 文件大小。下载的文件的大小。

    过多的文件下载事件详细信息

  • 其他上下文信息 部分,您可以查看事件发生期间用户下载的文件的总下载大小。

    过多的文件下载额外的上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

文件或文件夹删除过多

Citrix Analytics 会根据过多的文件或文件夹删除活动检测数据威胁,并触发相应的风险指示器。

当用户 删除文件夹文件的行为过度 时,会触发过多的文件或文件夹删除风险指示器。这种异常可能表明用户帐户存在问题,例如用户帐户受到攻击。

何时触发过多的文件或文件夹删除风险指示器?

当组织中的用户在特定时间段内删除过多的文件或文件夹时,系统会收到通知。当用户在基于机器学习算法的正常删除行为之外删除过多的文件或文件夹时触发此警报。

检测到此行为时,Citrix Analytics 会增加相应用户的风险分数。然后在“警报”面板中收到通知,并将 过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。

如何分析过多的文件或文件夹删除风险指示器?

考虑用户 Lemuel Kildow,谁在一天的过程中删除了许多文件或文件夹。通过这个动作,Lemuel Kildow 已经超出了基于机器学习算法的正常删除行为。

从 Lemuel Kildow 的时间线中,您可以选择报告的文件或文件夹删除风险指示器。事件的原因与事件的详细信息一起显示在屏幕上,例如删除类型(文件或文件夹)、删除时间等。

若要查看文件或文件夹删除风险指示器,请导航到“ 安全”>“用户”,然后选择用户。

文件或文件夹删除过多

  • 发生了什么 事部分,您可以查看过多文件或文件夹删除事件的摘要。您可以查看已删除的文件和文件夹的数量以及事件发生的时间。

过多的文件或文件夹删除发生了什么

  • 事件详细信息 - 过多删除项目部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 时间已删除。删除文件或文件夹的时间。

    • 类型。已删除的项目类型 — 文件或文件夹。

    • 名称。已删除的文件或文件夹的名称。

    • 来源。存储库(Citrix Files、OneDrive 等)中删除了该文件。

    过多的文件或文件夹删除事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

登录失败过多

Citrix Analytics 会根据过多的登录活动检测访问威胁,并触发相应的风险指示器。

当用户遇到登录尝试失败时,将触发过多登录失败风险指示器。通过根据以前的行为识别登录失败过多的用户,管理员可以监视用户帐户的暴力攻击。

何时触发过多登录失败风险指示器?

当组织中的用户有多次失败的登录尝试与其通常行为背道而驰时,系统会通知您。

当用户重复尝试登录到 Content Collaboration 服务时,会触发过多登录失败风险指示器。检测到此行为时,Citrix Analytics 会增加相应用户的风险分数。然后在“警报”面板中收到通知,并将 过度登录失败 风险指示器添加到用户的风险时间轴中。

如何分析过度登录失败风险指示器?

考虑用户玛丽亚·布朗,他试图多次登录 Content Collaboration。通过此操作,玛丽亚·布朗触发了检测异常行为的机器学习算法。 从 Maria 的时间轴中,您可以选择报告的登录失败过多风险指示器。活动原因和活动详细信息显示在屏幕上。

若要查看过度登录失败风险指示器,请导航到“ 安全 ”>“用 ”,然后选择用户。

登录失败过多

  • 在“ 发生了什么 ”部分中,您可以查看过多登录失败事件的摘要。您可以查看特定时间段内发生的不成功登录次数。

登录失败过多

  • 事件详细信息部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 时间。每次登录尝试的时间。

    • 客户端 IP。使用的客户端 IP 地址。

    • 工具名称。用于共享文件的工具或应用程序。

    • 操作系统。客户端使用的操作系统版本。

登录失败过多

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

疑似勒索软件活动

Citrix Analytics 基于勒索软件活动检测数据威胁,并触发相应的风险指示器。

勒索软件是一种恶意软件,它可以加密用户的文件,并用已解密的文件替换或更新它们。通过识别组织内用户共享的文件之间的勒索软件攻击,可以确保工作效率不受影响。

何时触发勒索软件风险指示器?

当您账户上的用户开始删除和上载过多具有类似名称和不同扩展名的文件时,您会收到通知。当用户更新具有类似名称和不同扩展名的文件数量过多时,也会收到通知。此活动表明用户的帐户已被盗用,并且已经发生了可能的勒索软件攻击。Citrix Analytics 检测到此行为时,会增加相应用户的风险评分。然后在“警报”面板中收到通知,并将 勒索软件活动疑似 风险指示器添加到用户的风险时间表中。

勒索软件活动疑似指示器可以有两种类型。具体如下:

  • 疑似勒索软件活动(已替换的文件) 表示已删除文件,并以类似于勒索软件攻击的方式将新文件上载到其位置。攻击模式可能会导致上载次数超过已删除文件的数量。例如,赎金票据可能与其他文件一起上载。

  • 疑似勒索软件活动(已更新的文件) 表示文件以类似于勒索软件攻击的方式更新。

如何分析勒索软件风险指示器?

考虑用户亚当·麦克斯韦,谁删除了许多文件,并用不同的版本替换它们,在 15 分钟的跨度。通过此操作,Adam Maxwell 根据机器学习算法认为正常的特定用户触发了异常和可疑的行为。

从 Adam Maxwell 的时间线中,您可以选择报告的 勒索软件活动疑似(文件替换) 风险指示器。事件的原因显示在屏幕上,以及文件的名称,文件的位置等详细信息。

要查看 勒索软件活动可疑 风险指示器,请导航至“ 安全”>“用 户”,然后选择用户。从用户的风险时间表中,选择已为用户报告的可 疑勒索软件活动(已替换文件) 风险指示器。

勒索软件文件已更新

  • 发生了什么 事部分,您可以查看勒索软件活动疑似事件的摘要。您可以查看以可疑方式删除和替换的文件数以及事件发生的时间。

勒索软件文件更新了发生的事情

  • 事件详细信息 — 文件操作部分,事件以图形和表格格式显示。这些事件也显示为图表中的单个条目,并且表格提供了以下关键信息:

    • 时间。替换或删除文件的时间。

    • 文件名。文件的名称。

    • 路径。文件所在的路径。

    勒索软件文件更新的事件详细信息

同样,您可以选择报告的 疑似勒索软件活动(已更新文件) 风险指示器。您可以查看此事件的详细信息,例如:

  • 触发风险指示器的原因。

  • 使用加密版本更新的文件数。

  • 事件(正在更新的文件)发生的时间。

  • 文件的名称。

  • 文件的位置。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够过期与该指示符关联的所有链接。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。