Citrix Analytics for Security

Citrix Endpoint Management 风险指示器

检测到非受管设备

Citrix Analytics 基于非托管设备活动检测访问威胁,并触发相应的风险指示器。

设备处于以下状态时触发检测到 的非托管设备风险指示器:

  • 由于自动化操作,远程擦除。

  • 由管理员手动擦除。

  • 用户已取消注册。

检测到非托管设备的风险指示器何时触发?

当用户的 设备处于非托管状态时,将报告检测到 的未受管设备风险指示器。由于以下原因,设备更改为非托管状态:

  • 用户执行的操作。

  • Endpoint Management 管理员或服务器执行的操作。

在组织中,使用 Endpoint Management 服务,您可以管理访问网络的设备和应用程序。有关详细信息,请参阅管理模式

当用户的设备更改为非托管状态时,Endpoint Management 服务会检测到此事件并将其报告给 Citrix Analytics。用户的风险评分已更新。检测到的未受管设备 的风险指示器将添加到用户的风险时间表中。

如何分析非托管设备检测到的风险指示器?

假设用户 Georgina Kalou 的设备是通过服务器上的自动化操作远程擦除。Endpoint Management 将此事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的检测到的非托管设备风险指示器。事件的原因与详细信息一起显示,如触发风险指示器的时间、事件描述等。

要查看用户 检测到的未托管设备 风险指示器,请导航到“安全”>“用户”,然后选择用户。

检测到非受管设备

  • 发生了什么部分,您可以查看事件的摘要。您可以查看检测到的未受管设备的数量以及事件发生的时间。

未受管设备检测到了什么

  • 事件详细信息 — 检测到设备部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到的时间。检测到事件的时间。

    • 设备。使用的移动设备。

    • 设备 ID。移动设备的设备 ID。

    • 操作系统。移动设备的操作系统。

    检测到未受管设备事件详情

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 中撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。设备上的所有数据都将被删除。对于 Android 设备,它还包括擦除所有存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 锁定设备。当设备上存在异常活动时,可以应用 “锁定设备” 操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上滑动,输入密码,然后继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户有任何异常或可疑活动时,Endpoint Management 员会收到通知。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

检测到越狱或获得 Root 权限的设备

Citrix Analytics 基于越狱或获得 Root 权限的设备活动检测访问威胁,并触发相应的风险指示器。

当用户使用越狱或获得 Root 权限的设备连接到网络时,触发越狱或获得 Root 权限的设备风险指示器。Secure Hub 检测设备并将事件报告给 Endpoint Management 服务。该警报可确保您组织的网络上只有授权用户和设备。

检测到越狱或获得 Root 权限的设备的风险指示器何时触发?

安全官员必须能够确保用户使用符合网络要求的设备进行连接。检测到越狱或获得 Root 权限的设备风险指示器会向具有越狱的 iOS 设备或获得 Root 权限的设备的 Android 设备的用户发出警报。

当注册的设备越狱或获得 Root 权限时,越狱或获得 Root 权限的设备风险指示器将触发。Secure Hub 检测设备上的事件并将其报告给 Endpoint Management 服务。

如何分析越狱或获得 Root 权限的设备检测到的风险指示器?

假设用户 Georgina Kalou 注册的 iOS 设备最近将成为越狱设备。Citrix Analytics 检测到这种可疑行为,并将风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 已越狱或已获得 Root 设备检测到 的风险指示器。事件的原因与详细信息一起显示,例如触发风险指示器的时间、事件的描述等。

要查看用户检测到越狱或获得 Root 权限的设备风险指示器,请导航到安全 > 用户,然后选择用户。

检测到越狱或获得 Root 权限的设备

  • 发生了什么部分,您可以查看事件的摘要。您可以查看检测到的越狱或获得 Root 权限的设备的数量以及事件发生的时间。

检测到越狱或获得 Root 权限的设备发生了什么

  • 事件详细信息 — 检测到设备部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到的时间。检测到越狱或获得 Root 权限的设备的时间。

    • 设备。使用的移动设备。

    • 设备 ID。有关用于登录会话的设备 ID 的信息。

    • 操作系统。移动设备的操作系统。

    检测到越狱或获得 Root 权限的设备的事件详细信息

注意

除了以表格格式查看详细信息之外,还可以单击警报实例对应的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 中撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。设备上的所有数据都将被删除。对于 Android 设备,它还包括擦除所有存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 锁定设备。当设备上存在异常活动时,可以应用 “锁定设备” 操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上滑动,输入密码,然后继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户有任何异常或可疑活动时,Endpoint Management 员会收到通知。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

检测到已列入黑名单的应用

Citrix Analytics 会根据具有列入黑名单的应用程序的设备中的活动来检测访问威胁,并触发相应的风险指示器。

当 Endpoint Management 服务在软件清单期间检测 到列入黑名单的应用程序时,触发检测到黑名单的应用程序的设 备风险指示器。该警报可确保只有授权的应用程序才能在组织网络上的设备上运行。

什么时候检测到带有黑名单应用程序的设备的风险指示器触发?

在用户的 设备上检测到黑名单应 用程序时,将报告检测到黑名单应用程序的设备风险指示器。当 Endpoint Management 服务在软件清点期间检测到设备上的一个或多个列入黑名单的应用程序时,会向 Citrix Analytics 发送事件。

Citrix Analytics 会监控这些事件并更新用户的风险评分。此外,它还将一个 设备添加到用户的风险时间表中,其中检测到了黑名单应 用程序的风险指示

如何分析设备与被列入黑名单的应用程序检测到的风险指示器?

假设用户 Andrew Jackson 使用了最近安装了黑名单应用程序的设备。Endpoint Management 将此情况报告给 Citrix Analytics,Citrix Analytics 将更新的风险评分分配给 Andrew Jackson。

从安德鲁·杰克逊的风险时间表中,您可以选择已报告的 设备,其中检测到了黑名单应用程序此时将显示事件的原因以及详细信息,例如列入黑名单的应用程序的列表、Endpoint Management 检测到列入黑名单的应用程序的时间等。

要查看 检测到用户风险指示器的黑名单应 用程序的设备,请导航到“安全”>“用户”,然后选择用户。

检测到已列入黑名单的应用

  • 在“发生了什么”部分,您可以查看事件的摘要。您可以查看 Endpoint Management 服务检测到的具有黑名单应用程序的设备数量以及事件发生的时间。

带有黑名单应用程序的设备检测到了

  • 事件详细信息 — 列入黑名单的应用程序设备访问部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到的时间-Endpoint Management 报告的黑名单应用程序存在时。

    • 列入黑名单的应用程序-设备上列入黑名单的应用。

    • 设备-使用的移动设备。

    • 设备 ID-有关用于登录会话的设备 ID 的信息。

    • 操作系统-移动设备的操作系统。

    检测到列入黑名单的应用程序的设备

注意:

除了以表格格式查看详细信息之外,您还可以单击警报实例对应的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 中撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。设备上的所有数据都将被删除。对于 Android 设备,它还包括擦除所有存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 锁定设备。当设备上存在异常活动时,可以应用 “锁定设备” 操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上滑动,输入密码,然后继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户有任何异常或可疑活动时,Endpoint Management 员会收到通知。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Endpoint Management 风险指示器