Citrix Content Collaboration 风险指示器

从新位置首次访问

Citrix Analytics 基于异常登录活动检测访问威胁,并触发相应的风险指示器。

当用户从可疑位置登录时,将触发从新位置首次访问风险指示器。通过根据以前的行为识别具有异常登录位置的用户,管理员可以监视用户帐户的潜在攻击。

何时触发来自新位置风险指示器的首次访问?

当您组织中的用户从与其通常行为相反的异常位置登录时,您可能会收到通知。

当用户从用户通常不登录的城市或国家访问 Content Collaboration 时,将触发从新位置的首次访问风险指示器。检测到此行为时,Citrix Analytics 会增加相应用户的风险评分。然后在“警报”面板中收到通知,从新位置首次访问风险指示器将添加到用户的风险时间表中。

如何分析从新位置风险指示器首次访问?

假设用户 Georgina Kalou 从麦纳麦登录,但她以前只从北卡罗来纳州罗利登录。通过此操作,Georgina Kalou 触发了检测异常行为的机器学习算法。

从 Georgina Kalou 的时间表中,您可以 从新的位置风险指示器中选择报告的首次访问 。事件的原因以及登录时间、客户端 IP 地址等详细信息显示在屏幕上。

要查看从新位置的首次访问风险指示器,请导航到“安全性”>“用户”,然后选择用户。

从新位置内容协作中首次访问

  • 发生了什么部分,您可以查看从新位置首次访问事件的摘要。您可以查看特定时间段内发生的可疑登录次数。

不寻常的登录访问 Content Collaboration 发生了什么

  • 事件详细信息 — 登录位置部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 登录时间。每次登录尝试的时间。

    • 客户端 IP。使用的客户端 IP 地址。

    • 位置。进行登录尝试的位置。

    不寻常的登录访问 Content Collaboration 事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

如果触发的从新位置首次访问风险指示器不正确,您可以将其报告为误报并提供反馈。要了解有关如何提供反馈的详细信息,请参阅风险指示器反馈

对敏感文件的过度访问

Citrix Analytics 会根据过多的文件访问活动检测数据威胁,并触发相应的风险指示器。

当用户在 访问敏感文件方面的行为过度 时,触发过度访问敏感文件风险指示器。此异常活动可能表示用户帐户存在问题,例如对其帐户的攻击。

何时触发过度访问敏感文件风险指示器?

当用户在指定时间段内访问了被视为敏感数据的异常数量时,系统会通知您。当用户访问由数据丢失防护 (DLP) 或云访问安全代理 (CASB) 解决方案标识的敏感数据时,会触发此警报。当 Content Collaboration 检测到此过度行为时,Citrix Analytics 会接收事件,并增加相应用户的风险分数。然后在“警报”面板中收 到通知,并将过度访问敏感文件 的风险指示器添加到用户的风险时间线中。

如何分析过度访问敏感文件的风险指示器?

假设用户 Adam Maxwell 访问过 10 个敏感文件,并在 15 分钟内将其下载到本地系统。过多访问敏感文件 的风险指示器被触发,因为它超出了阈值。阈值是根据给定时间窗内下载的敏感文件数计算的,并考虑到上下文信息(如下载机制)。

从 Adam Maxwell 的时间线中,您可以选择报告的过度访问敏感文件风险指示器。事件的原因以及事件的详细信息(如文件名、文件大小和下载时间)显示在屏幕上。

要查看 过多访问敏感文件 风险指示器,请导航到“安全”>“用 户”,然后选择用户。

对敏感文件的过度访问

  • 发生了什么事 部分,您可以查看过多访问敏感文件风险指示器的摘要。您可以查看 Citrix Analytics 认为过多的敏感文件数以及事件发生的时间。

对敏感文件的过度访问发生了什么

  • 事件详细信息 — 敏感数据下载部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 下载时间。下载文件的时间。

    • 文件名。已下载文件的名称和扩展名。

    • 文件大小。下载的文件的大小。

    过度访问敏感文件事件详细信息

  • 在“附加上下文信息”部分中,在事件发生期间,您可以查看以下内容:

    • 下载的敏感文件总数。

    • 用户下载的文件的总大小。

    对敏感文件的过度访问附加上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

文件共享过多

Citrix Analytics 会根据过多的文件共享活动检测数据威胁,并触发相应的风险指示器。

当偏离用户的典型 文件共享行为时,会触发过 多文件共享指示器。与常规文件共享行为的任何偏差都被认为是不寻常的,用户帐户被调查是否存在此可疑活动。

何时触发过多文件共享风险指示器?

当组织中的用户在正常行为下共享文件的频率超过预期时,您可能会收到通知。通过响应有关具有过度共享文件的用户的通知,您可以防止数据泄漏。

Citrix Analytics 从“Content Collaboration”接收共享事件,分析这些事件,并提高显示过度共享行为的用户的风险分数。然后在“警报”面板中收到通知,并将 过多的文件共享 风险指示器添加到用户的风险时间线。

如何分析过度文件共享风险指示器?

假设用户 Adam Maxwell 在一天内共享文件六次。通过此操作,Adam Maxwell 共享文件的次数比他通常基于机器学习算法的次数多。

从 Adam Maxwell 的时间线中,您可以选择报告的 文件共享过多 风险指示器。此时将显示事件的原因以及详细信息,例如共享的 Content Collaboration 链接、文件的共享时间等。

要查看 文件共享过多 风险指示器,请导航到“安全”>“用 户”,然后选择用户。

文件共享过多

  • 发生了什么 部分,您可以查看过多的文件共享事件的摘要。您可以查看发送给收件人的共享链接的数量以及共享发生的时间。

过多的文件共享发生了什么

  • 事件详细信息 — 过多的文件共享部分,该事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 分享时间。共享文件的时间。

    • 共享 ID。用于共享文件的 Content Collaboration 链接。

    • 操作。用户使用 Content Collaboration 执行的操作。

    • 工具名称。用于共享文件的工具或应用程序。

    • 来源。文件共享的存储库(Citrix Files、OneDrive 等)。

    过多的文件共享事件详细信息

  • 在“附加上下文信息”部分中,您可以查看事件发生期间用户共享的文件总数。

    共享附加上下文信息的文件过多

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

注意

  • 禁用用户后,他们将无法登录到 Content Collaboration。他们在登录页面上看到一条通知,提示他们联系其 Content Collaboration 帐户管理员以了解更多信息信息。

  • 禁用共享链接时,任何用户或收件人都不能访问共享链接。如果用户尝试再次访问共享链接,页面将向收件人显示一条消息,指出该链接不再可用。

文件上载过多

Citrix Analytics 会根据过多的文件上载活动检测数据威胁,并触发相应的风险指示器。

文件上载过多 风险指示器可帮助您识别异常的文件上载活动。每个用户都有他们遵循的文件上载模式,其中包括以下属性:

  • 上载文件的时间

  • 已上载的文件类型

  • 文件上载卷

  • 文件上载源

与用户通常模式的任何偏差都会触发文 件上载过多 风险指示器。

何时触发过多文件上载风险指示器?

过多的文件上载可被归类为风险类,因为它表明受到攻击的用户或内部威胁可能试图上载恶意或加密内容。如果上载大量数据与用户的正常行为不一致,则可以将其视为更普遍的可疑数据。当上载的数据量超过基于机器学习算法的用户正常上载行为时,会触发此警报。

当 Citrix Analytics 检测到过多的上载行为时,会提高相应用户的风险分数。然后在“警报”面板中收到通知,并 将文件上载过多 的风险指示器添加到用户的风险时间线中。

如何分析文件上载过多风险指示器?

假设用户 Lemuel Kildow 已经在一个小时的跨度内上载了大量的数据。通过此操作,Lemuel Kildow 已经超出了基于机器学习算法的正常上载行为。

从用户的时间轴中,您可以选择报告的文件上载过多风险指示器。警报的原因与事件的详细信息一起显示,如文件名、上载时间、工具名称和源。

要查看文件上载过多风险指示器,请导航到“安全”>“用户”,然后选择用户。

文件上载过多

  • 发生了什么 事部分,您可以查看过多文件上载事件的摘要。您可以查看用户上载的数据量以及事件发生的时间。

过多的文件上载发生了什么

  • 事件详细信息 - 过多的文件上载部分,该事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 上载时间。文件上载的时间。

    • 文件名。上载文件的名称和扩展名。

    • 工具名称。上载文件所使用的设备类型。

    • 来源。文件上载到的存储库(Citrix Files、OneDrive 等)。

    过多的文件上载事件详细信息

  • 其他上下文信息 部分,您可以查看事件发生期间用户上载的文件的总大小。

    过多的文件上载附加信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

文件下载过多

Citrix Analytics 会根据过多的文件下载活动检测数据威胁,并触发相应的风险指示器。

文件下载过多 风险指示器可帮助您识别异常的文件下载活动。每个用户都有一个他们遵循的文件下载模式,其中包括以下属性:

  • 文件下载的时间。

  • 下载的文件类型。

  • 文件下载卷等。

与用户通常模式的任何偏差都会触发 过多文件下载 风险指示器。

何时触发过多文件下载风险指示器?

过多的文件下载可能被归类为有风险,因为它表示受到威胁的用户或内部人员可能试图泄露数据。如果下载大量数据不符合用户的正常行为,则可能会被认为是可疑的。当下载的数据量超过基于机器学习算法的用户正常下载行为时,将触发此警报。

当 Citrix Analytics 检测到过多的下载行为时,会提高相应用户的风险评分。然后在“警报”面板中收到通知,并将“过多文件下载 风险指示器添加到用户的风险时间线中。

如何分析文件下载过多风险指示器?

假设用户 Lemuel Kildow 已经在一小时内将大量数据下载到其本地系统。通过此操作,Lemuel Kildow 已经超过了他基于机器学习算法的正常下载行为。

从用户的时间轴中,您可以选择报告的 文件下载过多 风险指示器。将显示文件下载过多警报的原因以及事件的详细信息,例如文件名、文件大小和下载时间。

要查看文件下载过多风险指示器,请导航到“安全”>“用户”,然后选择用户。

文件下载过多

  • 发生了什么部分,您可以查看过多文件下载事件的摘要。您可以查看用户下载的数据量以及事件发生的时间。

过多的文件下载发生了什么

  • 事件详细信息 — 过多的文件下载部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 下载时间。下载文件的时间。

    • 文件名。已下载文件的名称和扩展名。

    • 来源。从中下载文件的存储库(Citrix Files、OneDrive 等)。

    • 文件大小。下载的文件的大小。

    过多的文件下载事件详细信息

  • 在“附加上下文信息”部分中,您可以查看用户在事件发生期间下载的文件的总下载大小。

    过多的文件下载额外的上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

文件或文件夹删除过多

Citrix Analytics 会根据过多的文件或文件夹删除活动检测数据威胁,并触发相应的风险指示器。

当用户 删除文件夹文件的行为过度 时,会触发过多的文件或文件夹删除风险指示器。此异常可能表示用户帐户存在问题,例如对其帐户的攻击。

何时触发过多的文件或文件夹删除风险指示器?

当组织中的用户在特定时间段内删除了过多的文件或文件夹时,您可能会收到通知。当用户根据机器学习算法在正常删除行为之外删除过多的文件或文件夹时,将触发此警报。

检测到此行为后,Citrix Analytics 会增加相应用户的风险评分。然后在“警报”面板中收到通知,并将 过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。

如何分析过多的文件或文件夹删除风险指示器?

假设用户 Lemuel Kildow 在一天内删除了许多文件或文件夹。通过此操作,Lemuel Kildow 已经超过了他基于机器学习算法的正常删除行为。

从 Lemuel Kildow 的时间线中,您可以选择报告的文件或文件夹删除风险指示器。事件的原因与事件的详细信息一起显示在屏幕上,例如删除类型(文件或文件夹)、删除时间等。

若要查看文件或文件夹删除风险指示器,请导航到“安全”>“用户”,然后选择用户。

文件或文件夹删除过多

  • 发生了什么部分,您可以查看过多文件或文件夹删除事件的摘要。您可以查看已删除的文件和文件夹的数量以及事件发生的时间。

过多的文件或文件夹删除发生了什么

  • 事件详细信息 - 过多删除项目部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 删除时间。删除文件或文件夹的时间。

    • 类型。已删除的项目类型 — 文件或文件夹。

    • 名称已删除的文件或文件夹的名称。

    • 来源。删除了文件的存储库(Citrix Files、OneDrive 等)。

    过多的文件或文件夹删除事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

身份验证失败过多

Citrix Analytics 根据过多的身份验证活动检测访问威胁,并触发相应的风险指示器。

当用户遇到登录尝试失败时,将触发过多的身份验证失败风险指示器。通过根据以前的行为识别身份验证失败过多的用户,管理员可以监视用户的帐户是否存在暴力攻击。

何时触发身份验证失败过多风险指示器?

当您的组织中的用户有多次失败的登录尝试与其通常行为相反时,系统会通知您。

当用户反复尝试登录到 Content Collaboration 服务时,会触发 过多的身份验证失败 风险指示器。检测到此行为时,Citrix Analytics 会增加相应用户的风险评分。然后在“警报”面板中收到通知,并将过多的身份验证失败风险指示器添加到用户的风险时间表中。

如何分析过多的身份验证失败风险指示器?

假设 Maria Brown 尝试多次登录 Content Collaboration。通过此操作,Maria Brown 触发了检测异常行为的机器学习算法。 从 Maria 的时间线中,您可以选择报告的过多身份验证失败风险指示器。事件的原因和事件详细信息显示在屏幕上。

要查看身份验证失败过多的风险指示器,请导航到“安全性”>“用户”,然后选择用户。

身份验证失败过多

  • 发生了什么部分,您可以查看过多的身份验证失败事件的摘要。您可以查看特定时间段内发生的不成功登录次数。

身份验证失败过多

  • 事件详细信息部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 时间。每次登录尝试的时间。

    • 客户端 IP。使用的客户端 IP 地址。

    • 工具名称。用于共享文件的工具或应用程序。

    • 操作系统。客户端使用的操作系统版本。

身份验证失败过多

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

怀疑勒索软件活动

Citrix Analytics 基于勒索软件活动检测数据威胁,并触发相应的风险指示器。

勒索软件是一种恶意软件,用于加密用户的文件并用解密的文件替换或更新这些文件。通过识别组织内用户共享的文件中的勒索软件攻击,您可以确保工作效率不受影响。

何时触发勒索软件风险指示器?

当您账户上的用户开始删除和上载过多具有类似名称和不同扩展名的文件时,您会收到通知。当用户使用相似的名称和不同扩展名更新过多的文件时,您也可以收到通知。本练习表示用户帐户已被盗用,并发生了可能的勒索软件攻击。当 Citrix Analytics 检测到此行为时,会增加相应用户的风险评分。然后在“警报”面板中收到通知,并将 勒索软件活动疑似 风险指示器添加到用户的风险时间表中。

勒索软件活动疑似指示器可以有两种类型。具体如下:

  • 疑似勒索软件活动(已替换的文件) 表示已删除文件,并以类似于勒索软件攻击的方式将新文件上载到其位置。攻击模式可能会导致上载次数超过已删除文件的数量。例如,赎金票据可能与其他文件一起上载。

  • 怀疑勒索软件活动(文件已更新) 表示文件以类似勒索软件攻击的方式更新。

如何分析勒索软件风险指示器?

假设用户 Adam Maxwell 在 15 分钟删除了许多文件,并用不同的版本进行替换。通过此操作,Adam Maxwell 根据机器学习算法认为对特定用户正常的情况触发了异常和可疑的行为。

从 Adam Maxwell 的时间线中,您可以选择报告的 勒索软件活动疑似(文件替换) 风险指示器。事件的原因将显示在屏幕上以及详细信息,例如文件的名称、文件的位置。

要查看 勒索软件活动可疑 风险指示器,请导航至“安全”>“用 户”,然后选择用户。从用户的风险时间表中,选择已为用户报告的可 疑勒索软件活动(已替换文件) 风险指示器。

更新勒索软件文件

  • 发生了什么部分,您可以查看勒索软件活动疑似事件的摘要。您可以查看以可疑方式删除和替换的文件数,以及事件发生的时间。

勒索软件文件更新了发生的事件

  • 事件详细信息 — 文件操作部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 时间。替换或删除文件的时间。

    • 文件名。文件的名称。

    • 路径。文件所在的路径。

    勒索软件文件更新的事件详细信息

同样,您可以选择报告的 疑似勒索软件活动(已更新文件) 风险指示器。您可以查看此事件的详细信息,例如:

  • 触发风险指示器的原因。

  • 使用加密版本更新的文件数。

  • 事件(正在更新的文件)发生的时间。

  • 文件的名称。

  • 文件的位置。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 禁用用户。通过 Citrix Analytics,您可以通过禁用其 Content Collaboration 帐户来限制或撤销其访问权限。

  • 过期所有共享链接。当用户触发过多的文件共享指示符时,Citrix Analytics 使您能够使与该指示符关联的所有链接过期。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

Citrix Content Collaboration 风险指示器